Руткит! Помогите!

Доброго времени суток!
Ситуация следующая
В таскбаре не отображаются значки запущенных приложений
не работает копи/паст файлов
не работет кнопка "пуск" на клавиатуре

это пока то что обнаружил
логи ниже
[ATTACH]427250[/ATTACH]
[ATTACH]427251[/ATTACH]
[ATTACH]427252[/ATTACH]

Уважаемый(ая) [B]Shadow Builder[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

1) [QUOTE][B][COLOR=Navy]Внимание !!![/COLOR][/B] База поcледний раз обновлялась 30.01.2013 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.39.[/QUOTE]
Скачайте [U]актуальную версию AVZ[/U], обновите базы.

2)
Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteAVUpdate;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\WINDOWS\apppatch\teoiho.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\3fd9b.exe','');
DeleteFile('C:\WINDOWS\apppatch\teoiho.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\3fd9b.exe');
DeleteFile('C:\WINDOWS\Tasks\0gl1.job');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[ATTACH]427280[/ATTACH]
[ATTACH]427279[/ATTACH]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Ничего не изменилось
заметил что при выполнении скрипта он не смог скопировать карантийные фалы (((

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
ClearQuarantineEx(true);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\3fd9b.exe','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\3fd9b.exe','32');
DeleteFile('C:\WINDOWS\Tasks\0gl1.job','32');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;[B]hijackthis.log[/B][/color])

[ATTACH]427288[/ATTACH]
[ATTACH]427289[/ATTACH]

[b]Shadow Builder[/b], вы умышленно не прикрепляете

[quote="regist;1019910"]hijackthis.log[/quote]
?
В последнем сообщение специально выделил, какой второй лог надо прикрепить.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

прикрепите этот лог и отпишите, что с проблемой ?

сорри завал просто не обратил внимание
сейчас сделаю

а проблема все та же как и в первом посте

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[ATTACH]427594[/ATTACH]

ProxyServer = 192.168.3.254:3128 - сами прописывали ?

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

[QUOTE=regist;1020601]ProxyServer = 192.168.3.254:3128 - сами прописывали ?

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/URL][/QUOTE]

по этому адресу роутер стоит, порт только не указывается.

лог сейчас сделаю и пришлю

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[ATTACH]427607[/ATTACH]

[quote="Shadow Builder;1020621"]по этому адресу роутер стоит, порт только не указывается.[/quote]
я правильно понял, что прокси сервер вы сами не настраивали ? В таком случае

[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis

[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.3.254:3128[/CODE]

сделайте новый лог HijackThis

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

что сейчас с проблемой ?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

+ посмотрите, что находится в папке

[CODE]c:\program files\danncing\[/CODE]

[QUOTE=regist;1020627]я правильно понял, что прокси сервер вы сами не настраивали ? В таком случае

[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis

[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.3.254:3128[/CODE]

сделайте новый лог HijackThis[/QOUTE]

пофиксено
[ATTACH]427611[/ATTACH]

[QUOTE]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]

что сейчас с проблемой ?

[/QUOTE]

пока все без изменений
офис перестал работать (может он с самого начала не работал, не проверяли тогда)
В панели задач все так же не отображаются значки запущенных процессов
пропали все настроенные принтеры
В дистпетчере задач нет имени от которого запущен процесс.

[QUOTE]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]

+ посмотрите, что находится в папке

[CODE]c:\program files\danncing\[/CODE][/QUOTE]

сейчас пусто
когда работал комбофикс он оттуда что то удалял.

[quote="Shadow Builder;1020639"]сейчас пусто
когда работал комбофикс он оттуда что то удалял.[/quote]
удалите тогда целиком папку
[CODE]c:\program files\danncing\[/CODE]

[url="http://virusinfo.info/showpost.php?p=493610&postcount=2"]Удалите ComboFix[/url]

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

не запускается
ругается так
[ATTACH=CONFIG]427622[/ATTACH]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

так же не работает drag and drop

у меня пока больше нет идей.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]