Непонятные файлы .dll

Почему-то эти файлы (см. Приложение) находятся в системном каталоге в двойном экземпляре. Первые, которые нормальные, файрволь знает, а вот вторые - не знает, но дает им добро (в закладке "Контроль компонентов"). Файлы одинаковы по названию, но значительно отличаются от оригиналов по размеру, и находятся в одной из подпапок оригинального файла. Только-что "замочил" вируса - поэтому и вопрос такой возник.
Что-то я никак не могу загрузить архив. Все время сообщение "Не указана ссылка на тему...", хотя я точно указываю.
Ладно, будем так.
н-р:
C:\WINMCE\assembly\NativeImages1_v1.1.4322\System\1.0.5000.0__b77a5c561934e089_1ab145f4\System.dll - 1995 кБ
Оригинальный файл:
C:\WINMCE\assembly\GAC\System\1.0.5000.0__b77a5c561934e089\System.dll - размер 1224 кБ,
а также есть еще несколько таких чудиков

Ссылка на тему: [url]http://virusinfo.info/showthread.php?t=7028[/url]

А логи будут?

Извините пож. С логами пока будет задержка. Но, прошу тему не закрывать. Просто сей момент совсем нет времени. Спасибо.

При сем направляю требуемые логи. Делал логи не в чистом режиме, т.к. AVZ теперь с монитором. Но если не правильно - переделаю.

А логи hijackthis где?

Заархивированы.

сорри. привычка- два zip - avz, log - hijack

1 Выполните скрипт
[QUOTE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\Program Files\1st Security Agent\newadmin.exe saskda','');
QuarantineFile('C:\WINMCE\system32\HPZipm12.exe','');
QuarantineFile('D:\PROGRAM FILES\ACCESS ADMINISTRATOR\acadma.exe','');
QuarantineFile('C:\WINMCE\system32\BCGCBPRO674.dll','');
QuarantineFile('c:\winmce\system32\winlogon.exe','');
end.[/QUOTE]
скорее всего в безопасные, но вот это подозрительно: BCGCBPRO674.dll'

Я его должен как .bat в ДОС написать, или как? Извините за серость.

AVZ - Файл - Выполнить скрипт - вставьте текст из рамки в окно и нажмите "Выполнить".

[quote=pig;88374]AVZ - Файл - Выполнить скрипт - вставьте текст из рамки в окно и нажмите "Выполнить".[/quote]

Все сделал как сказали. Я должен теперь новые логи сделать? acadma.exe - это, вообще-то программа. Но хрен его знает. Во всех строках "функции перехвачены, перехватчик ... (или не определен) восстановлено, код перехватчика нейтрализован." И что теперь? Ах, да. 'd:\Program Files\1st Security Agent\newadmin.exe saskda' этот почему-то в карантин не помещен, но это тоже прога.

По последним наблюдениям - сразу после выполнения скрипта - все мои привилегии к черту. Даже блокнот не мог открыть. Не загружается Инструмент "Локальные политики безопастности". После перезагрузки привилегии вернулись, но "политики" нет. Все файлы, якобы перемещенные в карантин - на своих местах. После восстановления из карантина - остаются в карантинном списке.

Да, надо было перезагрузиться, а то AVZ перехваты поотключала. Естественно, что мало что работало.

А карантин по правилам прислать?
- Все файлы, якобы перемещенные в карантин - на своих местах..
Мы их и не удаляли- мы их копии сделали

Извиняйте, прохлопал.Все файлы кроме 1-го из поста 8, скопированы в карантин, но я его уже очистил. Это очень плохо?
Но все-таки, что с политиками безопастности? При запуске "Локальных политик" выходит такое сообщение: "Ошибка инициализации оснастки. Имя: Редактор объекта групповой политики CLSID:{8FCOB734-AOE1-11D1-A7D3-0000F87571E3}"

Тогда повторите скрипт. Вот доработанный вариант, чтобы автоматически перезагрузился:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\Program Files\1st Security Agent\newadmin.exe','');
QuarantineFile('C:\WINMCE\system32\HPZipm12.exe','');
QuarantineFile('D:\PROGRAM FILES\ACCESS ADMINISTRATOR\acadma.exe','');
QuarantineFile('C:\WINMCE\system32\BCGCBPRO674.dll','');
QuarantineFile('c:\winmce\system32\winlogon.exe','');
RebootWindows(true);
end.[/code]

Люди, всем огромное спасибо. Извиняюсь за долгое отсутствие. Все уже само установилось. Наверное не было вирусов. С уважением.
Прошу тему закрыть.

Вам виднее, наверное...