Артефакты

Доброго времени суток.
Еще до переустановки системы снес Windiows Vista Icon Drive. После этого полность переформатировал диск, установил все заново и выключил "Востановление системы". Но недавно врубиk его снова, и пошли артефакты. Востановились эти иконки откуда не возьмись... Мой Эсет Нод32 (вернее проверка в реальном времени) загружает ЦП на 100%. Думал баг какой, но в журнале логов пошли записи. Нашел пару бяк:
C:\Documents and Settings\Administrator\Local Settings\Temp\11.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\E.tmp и т.п.
==
C:\WINDOWS\system32\pqrs.tmo (постоянно создавался)
C:\WINDOWS\TEMP\F.tmp (тоже постоянно создавался)
Обращались к 6-ой джаве. снес.
==
:http:210.51.166.249:80/cache/anime9/13.exe (постоянно блокирует этот адрес)

Были еще два процеса непонятных, убрал в безопасном режиме. Теперь при каждом запуске вылетает окно "[b]RUNDLL[/b]", "[i]Ошибка при загрузке pqrs.tmo Не найден указанный модуль[/i]"

Логи прикрутил.
ПС: Базу забыл обновить... Потому virusinfo_syscure.zip до обновления, а virusinfo_syscure1.zip после.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В HiJackThis пофиксите:

[code]
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe pqrs.tmo printer
[/code]


В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteWizard('TSW',3,3,true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Удалите бунжур [url]http://virusinfo.info/showthread.php?t=27923&highlight=bonjour[/url]
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.

Бунжур снес, правда есть подозрение что с принтером не лады будут. (Ставится именно с драйвером...) Аск тулбар тоже вчера снес... Еще вчера, забыл отписать. (да и ругалось на него, не помню какого дернуло его поставить). Вообще архив пуст. Только ини файлы.
Да, окно RUNDLL пропало.
О, и прошу прощения за ссиль.
Новые логи прилагаются. :)

Бунжур както не до конца удалили.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.

В HiJackThis пофиксите:

[code]
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll (file missing)
[/code]

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('e:\4dc2b1d24c517f4801ee8e0f232e\wgasetup.exe','');
QuarantineFile('C:\Program Files\Ask.com\UpdateTask.exe','');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
DeleteFile('e:\4dc2b1d24c517f4801ee8e0f232e\wgasetup.exe');
DeleteFile('c:\windows\Tasks\Scheduled Update for Ask Toolbar.job');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\WgaSetup','EventMessageFile');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

Проблема решена?

Да, в принципе все. Спасибо за оперативную помощь.