Все виснет!

Вобщем перед тем как запустить Combofix, просканил комп через MalwareBytes. Он нашел несколько зараженных файлов. После того как я их удалил и перезагрузился снова вылез розовый порно-баннер. Заблокировал его через KIS, перезагрузился, а он снова вылез. Ввел код с сайта dr.web, перезагрузился, баннера нет. Запустил ComboFixit. В вылезшем окне надпись гласила что времени на проверку займет не более 10 минут. Спустя несколько минут комп быстро перезагрузился, при этом окно ComboFixit никуда не исчезало. Стали появляться сообщения об ошибках, я их все позакрывал. Появилось снова синее окошко cmd. Надпись в окошке гласила чтобы ни в коем разе не перегружать комп самому. Прождал 10 минут, ничего не произошло, пошел попил чаю, также ничего не произошло, побрился - ничего. Потом понял что ждать уже безсмысленно и перегрузил комп сам. После этого в окошке CF появилась надпись что сейчас будет сделан лог, подождите. Ждал минут 10 и когда мое терпение уже вышло и я собирался перезагрузить комп появилось окно с логом. После перезагрузки стало заметно что ничего уже не тормозит. А теперь логи:

МВАМ и ComboFix поработали. Сейчас проблем нет я так понимаю?

Рано я обрадовался! Winamp тормозит как сумашедший! Думаю еще сидит где-то червь.

[size="1"][color="#666686"][B][I]Добавлено через 9 часов 4 минуты[/I][/B][/color][/size]

Чем еще можно проверить ? А то виснет все неимоверно, ничего сделать нельзя.

Сегодня вдруг ни с того ни с сего стал загораться индикатор у DVD-Rom'а и он пытался что-то прочитать, хотя в приводе ничего не было. При попытке открыть лоток он снова задвигался. Я перезагрузился и зашел в безопасном режиме, сделал быструю проверку через cure it! Ничего не обнаружил. Потом зашел в обычном режиме и сделал поиск через Мой Компьютер по запросу [B]*.exe[/B]. В папке C:\WINDOWS\ обнаружил некий файл PEV.exe. В google набрал [B]PEV.exe[/B] и обнаружил весьма интересное описание:
Your computer has been severely infected by malware, that is PEV.EXE. This is quite dangerous and unsafe for your PC and there may be other infections on your PC. You should urgently check your PC and remove any malicious application including PEV.EXE as soon as possible.

Location : C:\WINDOWS\pev.exe

[url]http://www.spywareremovalblog.com/remove-pevexe/[/url]

Также был обнаружен файл [B]sed.exe[/B]. По нему есть такое описание:
If the sed.exe process is running on your computer, the spyware program known as 'look2me' may be installed on your computer. The 'look2me' process will monitor activity on your computer and potentially send this information to a third party.

[url]http://www.auditmypc.com/process/sed.asp[/url]
еще файлы которые найдены в папке C:\WINDOWS и подозреваются как вирусы:
[B]grep.exe[/B]
[url]http://www.fbmsoftware.com/spyware-net/process/grep_exe/3125/[/url]
[B]innounp.exe[/B]
Отправил их все на экспертизу в лаботраторию dr.web.
Файлы решил убрать из папки C:\WINDOWS и поместить в архив до выяснения результата.

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

Самостоятельно проверил [URL="http://online.us.drweb.com/"]тут[/URL] эти файлы на вирисы, вирусов не обнаружено.

Кстати вот как выглядит верхняя панель у меня в IE8:
[IMG]http://img72.imageshack.us/img72/8807/ie8j.jpg[/IMG]
После запуска сразу виснет что IE8, что Maxthon. В диспетчере задач жрут сразу от 100 Мб и больше.

сегодня сделал полную проверку с помощью cure it! и нашел C:\Program Files\plugin.exe_. Потом еще KIS нашел
C:\Program Files\plugin.exe.
Я конечно и дальше могу самостоятельно пытаться бороться с вирусом, но все же хотелось бы надеяться на помощь специалистов virusinfo.info.
p.s. Кстати после установки IE 8 проблематично стало набирать текст, положение метки курсора не следует после нажатия левой кнопкой мыши за курсором в нужное место. Не знаю с чем это связано, но это неудобно.

Логи новые делайте

Итак, вот новые логи:

Отключите восстановление системы!
Пофиксить в Hijack
[CODE]O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)[/CODE]
Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wuauclt.exe','');
QuarantineFile('C:\Program Files\ArcSoft\TotalMedia Theatre\uDTStart.exe','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).

Сделайте лог MBAM

[QUOTE=shapel;601788]Отключите восстановление системы!
[/QUOTE]
фигасе! я ж его уже отключал! Снова включилось каким-то макаром :?

- проверить и заменить исходными версиями системные файлы Windows XP [CODE]sfc.exe /scannow[/CODE]...возможно, [URL="http://support.microsoft.com/kb/310747/ru"]потребуется доступ к установочным файлам Windows[/URL](установочный диск)

[QUOTE=Alex Plutoff;601821]- проверить и заменить исходными версиями системные файлы Windows XP [CODE]sfc.exe /scannow[/CODE]...возможно, [URL="http://support.microsoft.com/kb/310747/ru"]потребуется доступ к установочным файлам Windows[/URL](установочный диск)[/QUOTE]
Блин! Это после обновления до SP3 у меня виснуть все стало, стопудовско! И IE почернел ни с того ни с сего. В SP1 вообще все летало! Хоть обратно не возвращайся в него!

[size="1"][color="#666686"][B][I]Добавлено через 49 секунд[/I][/B][/color][/size]

Файл сохранён как 100311_202937_virus_4b99288145048.zip
Размер файла 108031
MD5 8baf677e64678e2233f2ffcd410ffa8d

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=Alex Plutoff;601821]- проверить и заменить исходными версиями системные файлы Windows XP [CODE]sfc.exe /scannow[/CODE]...возможно, [URL="http://support.microsoft.com/kb/310747/ru"]потребуется доступ к установочным файлам Windows[/URL](установочный диск)[/QUOTE]
А мне понадобится диск с SP2 с которого я устанавливал ОС ?

[QUOTE='webdesigner;601829']А мне понадобится диск с SP2 с которого я устанавливал ОС ?[/QUOTE]
Да

Че-то все время пишет что не тот диск предоставлен, хотя точно помню что с него ОС ставил. Может мне снова обновление до SP3 установить ?

[size="1"][color="#666686"][B][I]Добавлено через 51 минуту[/I][/B][/color][/size]

А могут быть подвисоны связаны с тем что старая версия биоса к примеру ? Сейчас имею дело с винтами 1-1,5 Тб, может старый биос их трудно переваривает просто ?

[QUOTE=webdesigner;601857]Че-то все время пишет что не тот диск предоставлен, хотя точно помню что с него ОС ставил. Может мне снова обновление до SP3 установить ?[/QUOTE]
Все просто, у Вас[QUOTE]Platform: Windows XP SP3 (WinNT 5.01.2600)[/QUOTE]поэтому требуется диск с интегрированным SP3.

[QUOTE=shapel;601890]Все просто, у Васпоэтому требуется диск с интегрированным SP3.[/QUOTE]
У меня такого нету. Я устанавливал обновление скачанное с инета.

- если по каким-либо причинам после установки сервис-пака система стала работать хуже, всегда есть возможность его удалить

* Пуск > Настройка > Панель управления > Установка и удаление программ > Windows XP Service Pack 3 > Удалить;

ЗЫ потом, разобравшись в причинах некорректной установки, установить снова...

А если мне нужно вернуть IE7 вместо IE8, то как это сделать ? Или это произойдет автоматически после деинсталляции SP3 ?
Кстати, в списке программ Windows XP Service Pack 3 обнаружено не было.

- всё так же
* Пуск > Настройка > Панель управления > Установка и удаление программ

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

- кстати имейте ввиду, при попытке повторно установить SP-3 на компьютер с уже установленным SP-3, вы можете ещё больше усугубить ситуацию... поэтому, сначала следует выполнить отмену установки и только потом устанавливать повторно

может покажете где в списке программ находится [B]Windows XP Service Pack 3[/B] ?
[URL="http://10pix.ru/view/225556/973146/"][IMG]http://10pix.ru/img1/225556/973146.th.jpg[/IMG][/URL]

- галка 'Показывать обновления' стоит?..

Нет, не было. И как теперь понять где какое обновление установлено?:
[URL=http://10pix.ru/view/2586/973293/][IMG]http://10pix.ru/img1/2586/973293.th.jpg[/IMG][/URL]

- KB936929 и есть SP3

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

ЗЫ [URL="http://support.microsoft.com/kb/950718/ru"]Устранение неполадок, связанных с неудачной установкой пакета обновления 3 (SP3) для Windows XP[/URL]

MBAM ничего не нашел:

[QUOTE=Alex Plutoff;601968]- KB936929 и есть SP3
[/QUOTE]
что-то я не вижу в списке такого

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Деинсталлируйте ComboFix[/URL]

[QUOTE=thyrex;602236][URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Деинсталлируйте ComboFix[/URL][/QUOTE]
а потом что ?

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 26 минут[/I][/B][/color][/size]

Кстати, ComboFix не нуждается в установке, насколько я помню.

[QUOTE='webdesigner;602281']Кстати, ComboFix не нуждается в установке, насколько я помню.[/QUOTE]А зачем Вам лишние драйвера в системе

[QUOTE='webdesigner;602281']а потом что ?[/QUOTE]Ответ выше в этом сообщении

[QUOTE=thyrex;602513]А зачем Вам лишние драйвера в системе

Ответ выше в этом сообщении[/QUOTE]
Не совсем понял о чем вы, какие еще драйвера ?

От ComboFix.

Все, удалил. кстати, в инструкции как удалить ComboFix нелишним будет сказать что следует закрыть все приложения перед выполнением деинсталляции т.к. после деинсталляции последует автоматическая перезагрузка системы.

Деинсталлировал KIS2010 и все летать снова стало! Даже IE8 уже без этих черных панелей!

- т.е. проблем не осталось, считаем 'излечено'?

Погодите пока, еще ночью полную проверку на вирусы прогоню и потом скажу если все ОК.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]41[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\dfcj.yqo - [B]Trojan-Downloader.Win32.Agent.dfyv[/B] ( DrWEB: Trojan.Oficla.26, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\sdra64.exe - [B]Trojan-Spy.Win32.Zbot.agck[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]