все симптомы руткита

cure it ничего не находит, при старте винды (xp) куча процессов syscache.exe, плюс ещё подозрительные процессы, ну и ещё куча симптомов, я думаю из логов все станет ясно.
...я надеюсь на это.

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syscache.exe','');
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-8428837126-6900611604-026273402-6403\syscr.exe','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\93215.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\4278460.exe','');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\4278460.exe');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\93215.exe');
DeleteFile('J:\autorun.inf');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MSODESNV7');
DeleteFile('C:\WINDOWS\system32\syscache.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','91027');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','222');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8043458');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1915');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6542566');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','563513');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','48572');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1813843');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','774');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','453584');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1395291');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','0568');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4307');
QuarantineFile('C:\RECYCLER\S-1-5-21-8443612752-2449545126-738226147-6439\syscr.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4738227956-1290998238-666705187-3548\syscr.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-8443612752-2449545126-738226147-6439\syscr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4738227956-1290998238-666705187-3548\syscr.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8428837126-6900611604-026273402-6403\syscr.exe');
DeleteFileMask('C:\RECYCLER\S-1-5-21-8443612752-2449545126-738226147-6439', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-8443612752-2449545126-738226147-6439');
DeleteFileMask('C:\RECYCLER\S-1-5-21-4738227956-1290998238-666705187-3548', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-4738227956-1290998238-666705187-3548');
DeleteFileMask('C:\RECYCLER\S-1-5-21-8428837126-6900611604-026273402-6403', '*.*', true);
DeleteDirectory('C:\RECYCLER\S-1-5-21-8428837126-6900611604-026273402-6403');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
QuarantineFile(' C:\Program Files\Prevx\prevx.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

- [URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis, что останется из этого
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [91027] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\DOCUME~1\9335~1\LOCALS~1\Temp\3097764.exe
O4 - HKLM\..\Run: [222] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [8043458] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [1915] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [6542566] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [563513] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [MSODESNV7] C:\WINDOWS\system32\msvmiode.exe
O4 - HKLM\..\Run: [48572] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [1813843] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [5356807] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [774] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [453584] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [1395291] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [0568] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [4307] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Run: [8770] C:\WINDOWS\system32\syscache.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cfdrive32.exe
O9 - Extra button: (no name) - DctMapping - (no file)
[/CODE]
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([B]virusinfo_syscheck.zip[/B]; [B]hijackthis.log[/B])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][B]MBAM[/B][/URL]

значит так, сперва лечение частично помогло, сделал логи, кроме MBAM, ибо ставлю сканиться, долго сканирует, чё то находит, потом все подвисает чутка и синий экран.
я пару дней пробовал, потом забросил это дело, и между тем опять вот ща ошибка svchost.exe вылезла, глянул в процессы - опять syscache висят два, глянул в папку RECYCLER - там тоже че то насоздавалось, хотя после выполнения скриптов какое то время все было нормально.
Пофиксить в Hijack некоторые строки неудалось, т.к. не нашёл их.
присылаю вам те логи, которые сделал сразу после проверки, следующим сообщением пришлю свежие.

[QUOTE=nkrdbl;694018]следующим сообщением пришлю свежие.[/QUOTE]
будем ждать свежие

удалил cure ut'ом syscache.exe и cfdrive32.exe.
а ща опять смотрю они висят :O

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\Installer\{B0B46A1F-EC96-44A4-A9FB-62FE33BAF7DE}\_E5B757FF894DB7599014FE.exe','');
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('C:\Program Files\Netdrive\ndfs.sys','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
DeleteFile('C:\WINDOWS\system32\27.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\12.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0469070880-0564948555-849771714-8489\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\application data\\ltzqai.exe - [B]Trojan.Win32.Agent2.loa[/B] ( DrWEB: Win32.HLLW.Autoruner.22584, BitDefender: Trojan.Generic.5248473, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )[*] c:\\documents and settings\\администратор\\doctorweb\\quarantine\\4278460.exe - [B]Net-Worm.Win32.Kolab.kiu[/B] ( DrWEB: Trojan.AVKill.2168, BitDefender: Trojan.Dropper.TOY, NOD32: IRC/SdBot trojan, AVAST4: Win32:Flot-Q [Wrm] )[*] c:\\documents and settings\\администратор\\doctorweb\\quarantine\\93215.exe - [B]Net-Worm.Win32.Kolab.kiu[/B] ( DrWEB: Trojan.AVKill.2168, BitDefender: Trojan.Dropper.TOY, NOD32: IRC/SdBot trojan, AVAST4: Win32:Flot-Q [Wrm] )[*] c:\\windows\\cfdrive32.exe - [B]Email-Worm.Win32.Joleee.fee[/B] ( DrWEB: Trojan.AVKill.2218, BitDefender: Trojan.Agent.AQND, NOD32: IRC/SdBot trojan, AVAST4: Win32:Flot-U [Wrm] )[*] c:\\windows\\system32\\msvmiode.exe - [B]Trojan.Win32.Scar.cpyb[/B] ( DrWEB: Trojan.Spambot.9106, BitDefender: Trojan.Generic.4655847, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Flot-U [Wrm] )[*] c:\\windows\\system32\\syscache.exe - [B]Email-Worm.Win32.Joleee.fee[/B] ( DrWEB: Trojan.MulDrop1.42701, BitDefender: Trojan.Agent.AQND, NOD32: Win32/VB.PFT trojan, AVAST4: Win32:Flot-U [Wrm] )[*] j:\\autorun.inf - [B]Worm.Win32.AutoRun.hhv[/B] ( BitDefender: Trojan.Script.472894, AVAST4: INF:AutoRun-BK [Wrm] )[/LIST][/LIST]