System Error!

После чистки Нодом, потом CureIt'ом осталось много всякой нечисти. Больше всего раздражает что при открытии каждого окна в браузере, или в проводнике выскакивает System Error и сообщает, что
Yor computer was infected by unknown trojan ... и т.п.
Помогите почистить, пожалуйста.

Remote Administrator Service - вы сами устанавливали?

Да, устанавливал я сам. Это не мой компьютер. Это компьютер знакомой. Времени зайти к ней в гости нет, поэтому пытаюсь помочь ей удаленно.

[color=blue]ОТКЛЮЧИТЕ ВОСТАНОВЛЕНИЕ СИСТЕМЫ![/color]
ну у вас и гадюшник
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('kcp', 4);
SetServiceStart('Microsoft PS Service', 4);
SetServiceStart('PolicyAgent', 4);
SetServiceStart('WinSecurServ05', 4);
StopService('kcp');
StopService('PolicyAgent');
StopService('Microsoft PS Service');
StopService('WinSecurServ05');
QuarantineFile('C:\WINDOWS\system32\Fsd9mk4g.dll','');
QuarantineFile('C:\System Volume Information\_restore{DFF9D3A3-CB8C-4911-9B46-236D8F95DBCD}\RP160\A0139054.exe','');
QuarantineFile('C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL','');
QuarantineFile('C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('ibutu.dll','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('LogCrypt.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\NvMcTray.dll','');
QuarantineFile('C:\WINDOWS\mmhren1.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
QuarantineFile('C:\WINDOWS\TEMP\lsass.exe','');
QuarantineFile('C:\PROGRA~1\SCREEN~1\Timati.scr','');
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sye51.sys','');
QuarantineFile('C:\WINDOWS\system32\itcom.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\kcp.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe','');
QuarantineFile('C:\WINDOWS\system32\Microsoft\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\UAService7.exe','');
QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\svc32_1.exe','');
QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\WINDOWS\AcroIEHelper.dll','');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\AcroIEHelper.dll');
DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\svc32_1.exe');
DeleteFile('C:\WINDOWS\system32\Microsoft\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spool.exe');
DeleteFile('C:\WINDOWS\system32\drivers\kcp.sys');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
DeleteFile('C:\WINDOWS\TEMP\lsass.exe');
DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
DeleteFile('C:\WINDOWS\mmhren1.exe');
DeleteFile('C:\WINDOWS\system32\NvMcTray.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('LogCrypt.dll');
DeleteFile('WLCtrl32.dll');
DeleteFile('sysfldr.dll');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL');
DeleteFile('C:\WINDOWS\system32\Fsd9mk4g.dll');
DeleteFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL');
DeleteFile('ibutu.dll');
DeleteFile('C:\System Volume Information\_restore{DFF9D3A3-CB8C-4911-9B46-236D8F95DBCD}\RP160\A0139054.exe');
DelBHO('{07B18EA9-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}');
DelBHO('{07B18EA1-A523-4961-B6BB-170DE4475CCA}');
DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
DelBHO('{44970071-468F-432F-8F5E-429B2414619A}');
DeleteService('kcp');
DeleteService('Microsoft PS Service');
DeleteService('PolicyAgent');
DeleteService('WinSecurServ05');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18491[/url]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe,C:\WINDOWS\system32\ntos. exe,
F3 - REG:win.ini: run=C:\WINDOWS\mmhren1.exe
O20 - Winlogon Notify: ibutu - ibutu.dll (file missing)
O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)[/CODE]

Повторите логи

карантин загрузил, пофиксить не удалось, выдало ошыбку: Редактирование реестра запрещено администратором, хоть этот пользователь и есть администратор.
Как исправить? Подскажите пожалуйста.
Так-же в HijackThis строки:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe,C:\WINDOWS\system32\ntos. exe,
F3 - REG:win.ini: run=C:\WINDOWS\mmhren1.exe
не обнаружил.
Логи ща выложу

выполните скрипт ...
[code]
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]
после него пофиксится ...

Скрипт выполнил

выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\mmhren1.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sye51.sys','');
QuarantineFile('C:\WINDOWS\system32\itcom.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Sye51.sys');
DeleteFile('C:\WINDOWS\mmhren1.exe');
DeleteFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL');
DelBHO('{FE063DB9-4EC0-403e-8DD8-394C54984B2C}');
DelBHO('{FE063DB1-4EC0-403e-8DD8-394C54984B2C}');
BC_DeleteSvc('Ktt60');
BC_DeleteSvc('Sye51');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...

Поищите при помощи AVZ [code]mmhren1.exe[/code] должно найти в нагрузку файл mmhren2.ini(в названии неуверен):)

В карантине ничего нету. Файл mmhren1.exe AVZ не нашел

mmhren - с расширением *.ini не находило?

[size="1"][color="#666686"][B][I]Добавлено через 41 секунду[/I][/B][/color][/size]

Да повторите логи

mmhren - с расширением *.ini не нашло
вроде чистенько уже.
вот логи:

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\NdisWon.sys','');
SetServiceStart('NdisWon', 4);
DeleteService('mnmsrvc');
DeleteFile('C:\WINDOWS\system32\DRIVERS\NdisWon.sys');
DeleteFile('C:\WINDOWS\mmhren1.exe');
BC_DeleteSvc('NdisWon');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите virusinfo_syscheck.zip

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]57[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\acroiehelper.dll - [B]Spoofer.Win32.Gogle.k[/B] (DrWEB: Trojan.Acrospoof)[*] c:\\windows\\system32\\microsoft\\svchost.exe - [B]Trojan.Win32.Delf.bao[/B] (DrWEB: Trojan.DownLoader.49107)[*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.ait[/B] (DrWEB: Trojan.Proxy.2634)[/LIST][/LIST]