Засела зараза

Здравствуйте, уважаемые хелперы. Прошу у Вас помощи. Ситуация следующая: при подключении злополучной USB-флешки прорвался на комп какой то зверь, хоть и стоит прога USB Disk Security + проверка доктором Вебом (с последними базами). После перезагрузки компа сотворилось чудо - пропала половина служб, значки возле часов, а именно звук (хоть сам он есть в системе), скайп (который вовсе не запускается), подключение к нету (хоть нет и есть), пропал ко всему еще общий доступ к файлам и папкам на компе (используется локальная сеть). Комп стал необычно долго загружаться. Пропали значки сетевых подключений в папке Сетевое окружение на рабочем столе. Прошу помочь в данной критической ситуации.Логи высылаю.Спасибо.П.С. Прогу StatWin пожалуйста не трогайте - она нужна.

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[b]- Антивирус и Файрвол.[/b]
- [url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт:[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
StopService('afnjmvd');
QuarantineFile('C:\WINDOWS\system32\Drivers\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\admdll.dll','');
QuarantineFile('H:\Lineage II - Gracia\system\npkcrypt.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\wudfrd.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nmwcdnsuc.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\nmwcdnsu.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ccdcmbo.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ccdcmb.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tiacxln.sys','');
QuarantineFile('C:\WINDOWS\system32\021B.tmp','');
DeleteFile('C:\WINDOWS\system32\021B.tmp');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('afnjmvd');
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/url]
[b]- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/b]
- Сделайте повторные логи согласно [url="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/url]
[i]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/i]
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [url="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/url].
- Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.

Всё сделал, высылаю повторно логи...Посмотрите, что тут и как...Карантин тоже выслал...

Выполните скрипт:
[CODE]Procedure FixUpdate;
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
end;

begin
FixUpdate;
SetAVZPMStatus(false);
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
Сделайте повторный лог только согласно пункта 2 [url="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/url]
[i]virusinfo_syscheck.zip[/i]

Скрипт выполнил, лог сделал, выслал...Проблемы по прежнему есть...Посмотрите что тут и как...

Очень странно: у Вас не восстанавливаются параметры службы обновления Windows. Выполните полное сканирование системы с помощью свежей версии [url=ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe]CureIt[/url] или [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url]. Что найдёт - лечить, при невозможности лечения - удалять. [b]Обо всём найденном и вылеченном сообщите в этой ветке![/b]

Выполнил сканирование CureIt - ом: обнаружил и переместил файл avz_1632_raw.tmp в папке Local Settings\Admin\Temp зараженный вирусом Trojan.MulDrop.61643

Удалены многие системные службы.
Ищите диск Windows XP SP3.
Как выполнить обновление (переустановку) Microsoft Windows XP:
[url]http://support.microsoft.com/kb/315341/ru[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]35[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\admdll.dll - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.20[/B] ( DrWEB: Program.RemoteAdmin.31 )[/LIST][/LIST]