Периодические сообщения "исполняемый файл был изменён".

[FONT=Times New Roman][SIZE=3]На компьютере установлен лицензионный антивирус Касперского (6.02), обновляется регулярно (1-3дня).[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Примерно неделю назад, начали появляться сообщения антихакера «Исполняемый файл был изменён (spoolsv.exe;svchost.exe;smss.exe…) и много других. Нажимал кнопку – запретить. На каком-то запрете, комп завис. После перезагрузки начались сообщения «Исполняемый файл (spoolsv.exe;svchost.exe;smss.exe…) был изменён. Разрешить сетевой доступ?» Запрет доступа приводит к зависаниям или к перезагрузкам.[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]Последнее время постоянно выскакивает сообщение- «Потенциально опасное ПО Hidden object. C:\windows\system32\smss.exe Обнаружен скрытый процесс…….Который является результатом работы программ-маскировщиков (rootkit).» [/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]Сегодня появлялось сообщение, что файл CmdMapping пытается изменить состав загружаемых модулей- запретил с созданием правила, наблюдал несколько повторных попыток.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Что делал:[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1.[/SIZE] [SIZE=3]Снял диск и проверил на «чистой» машине – были обнаружены несколько вирусов («Trojan-Downloader.JS.Agent.dxb`; Backdoor.Win32.Bifrose.ajzj`; Email-Worm.Win32.Dumaru.x`) , их удалил- вылечил. Не помогло.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]2.[/SIZE] [SIZE=3]Последовал инструкции Касперского по созданию аварийного СД_диска с помощью утилиты «PEBuilder», после загрузки с аварийного диска, при попытке проверить диск, получил сообщение- повреждены сигнатуры. [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]3.[/SIZE] [SIZE=3]В защищённом режиме установил (скаченный на чистой машине), "AVPtool" и запустил проверку,- ничего не нашлось. [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]4.[/SIZE] [SIZE=3]Запускал AVZ на лечение, не помогло.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]5.[/SIZE] [SIZE=3]Заменил файлы (svchost.exe, services.exe) с чистой системы, совсем удалил подозрительный файл mssrv32.exe – всё равно идут сообщения, что файлы (не только эти) изменены.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]6.[/SIZE] [SIZE=3]Высылаю 3 файла, согласно правилам форума. Пожалуйста помогите избавится от "чужих".:([/SIZE][/FONT]

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe');
DeleteFile('C:\WINDOWS\services.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
BC_Importall;
BC_DeleteSvc('msupdate');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=44372"]http://virusinfo.info/upload_virus.php?tid=44372[/URL]
Повторите логи по правилам.

Пофиксил, скрипт выполнил. Загрузка гораздо быстрее, сообщений пока нет. Зверь побеждён?

Больше ничего плохого
[URL="http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Установите Service Pack 3[/URL](может потребоваться активация) + последующие обновления.

Благодарю за помощь. 3-й пак, теперь поставлю обязательно.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\services.exe - [B]Email-Worm.Win32.Joleee.aes[/B][/LIST][/LIST]