pmkhf.exe и компания

Всё началось с того что nod32 стал грузить процессор на 100% и им стало невозможно пользоваться. После перезагрузки системы стало появляться окошко "Файл .../system32/pmhkf.exe содержит недопустимые инструкции". Я нашёл в папке файлы pmkhf.exe и одноимённый .dll. Пошёл в гугл, попал на ваш (превосходный, кстати) форум и (по незнанию правил - ну что с меня, чурки, взять) выполнил в AVZ первый приведённый в теме скрипт (удалив перед этим nod).
При перезагрузке Windows стала ругаться на эти два отсутствующие файла. А nod несмотря на несколько переустановок, с удалением и без удалений, стал выглядеть ущербно (будто непрогружаются некоторые детали интерфейса, отутствуют некоторые кнопочки; базы при этом последние).
CureIt в безопасном режиме удалил файл (очень сожалею, название пропустил - что-то похожее на opnnnnn.dll), дошёл до 9% проверки и сказал что она закончена. Когда я закрыл CureIt, Появилось сообщение - не знаю от кого - "setup.exe требует перезагрузки". Я согласился, комп при попытке выключиться замер.
AVZ скачал пару часов назад. Не знаю, обновлены ли в этом случае его базы.
В любом случае, обновляться он отказался.
Ну и вот, предоставляю то, что осталось :)
Если ничего страшного в логах не окажется - подскажите что сделать с этими двумя сообщениями при запуске Windows (я про отсутствующие pmkhf.dll и pmkhf.exe) :)
PS В инете я с работы, посмотрю, что мне напишут, только в понедельник :(
PPS Судя по характеру форума, должны написать :)

Пофиксите в HijackThis:
[code]
F3 - REG:win.ini: load=C:\WINDOWS\system32\pmkhf.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pmkhf.exe','');
QuarantineFile('C:\WINDOWS\system32\pmkhf.dll','');
QuarantineFile('C:\WINDOWS\system32\opnnnol.dll','');
DeleteFile('C:\WINDOWS\system32\opnnnol.dll');
DeleteFile('C:\WINDOWS\system32\pmkhf.exe');
DeleteFile('C:\WINDOWS\system32\pmkhf.dll');
DelBHO('{43BE0112-D072-437B-9CB5-7E2DBC700821}');
DelBHO('{2423041F-8B96-4280-95DC-709250944B8D}');
DelWinlogonNotifyByKeyName('opnnnol');
RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16964[/url]).
Обновите базы AVZ и сделайте новые логи.

Базы обновил (не додумался сразу что с помощью стандартного скрипта надо было).
Логи присылаю. Проблема, вроде бы, исчерпала себя (сообщения при загрузке и тормоза нода, вроде, исчезли).
А вот в карантине ничего из тех файлов нет - напоминаю, всё убито CureIt'ом в первой серии.
Однако появилась теперь какая-то ещё гадость. Видимо, нашлась после обновления :( Поэтому карантин всё же высылаю.

Пофиксьте в HijackThis:
[code]O2 - BHO: (no name) - {2423041F-8B96-4280-95DC-709250944B8D} - (no file)
O20 - Winlogon Notify: opnnnol - C:\WINDOWS\[/code]
Больше плохого не видно..
Что из этого не нужно?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Ну так большое же вам спасибо, люди добрые :)
Насчёт служб - комп в локалке, используется интернет через хаб, общие принтеры, общие папки. Т. е. что-то из вышеуказанных служб отключать нельзя?

давайте такой скрипт ....
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('TlntSvr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
прпробуйте не скажется ли это на работе сетевых принтеров ... (если что включим )

Всё замечательно, охватывает чувство очищенности. Всем спасибо!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]