RavMon.exe amvo.exe и другие

здравствуйте!
обратил внимание в диспетчере на процесс RavMon.exe.
раньше которого не было. Поиск источника процесса ничего не показал. Поискал другой процесс - тут же был найден искомый файл. Странно показалось. Полез в Поиск в инете, который конечно же выдал диагноз, подтверждение которому нашёл и у себя с некоторыми новшествами, которых не было вроде ни у кого.
симтомы болезни:
1. спрятались системные и скрытые файлы и папки, установка галочки в Свойствах папки конечно не помогала.
2. Диск С открывался в новом окне.
3. Не работает правокнопочное меню - WinRar - "Извлечь/Извлечь в текущую папку/Извлечь в (имя)". такого эффекта пока вроде не встречал. Сама программа запускается и драг*н*дропом даёт извлечь файл.

других каких-то специфических признаков искать не стал, так как инет анлимитед и обратить внимание на трафик трудно. Косвенно никаких признаков левого трафика не было, загрузка процессора стабильна, активности винта нет, единственное что показалось что в последнее время часто и длительно работает вентилятор охлаждения, чего ранее за ним не наблюдалось (ноутбук брендовый и работает тихо). грешил на eMul, так как качалось много фильмов и музыки и в диспетчере было видно что осёл работает хорошо.

CureIt проверил, нашёл, вроде убил несколько гадостей, но судя по логу ХайДжека - amvo.exe остался.
процедуры выполнил согласно правилам. Как добить заразу?

из подозрительных процессов
CnxDslTb.exe
dllhost со странным именем пользователя (остановил процесс вручную)
svchost - 6 штук (?) - их всегда так много?
S24EvMon
и ещё ряд процессов которые были и ранне вроде но сейчас вызывают подозрение

Выполните скрипт в АВЗ

[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\DDosaev\Главное меню\Программы\Автозагрузка\RavMonE.exe','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\Documents and Settings\DDosaev\Главное меню\Программы\Автозагрузка\RavMonE.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

После выполнения скрита компьютер перезагрузится. Занрузите карантин согласно приложению 3 правил по сылке [url]http://virusinfo.info/upload_virus.php?tid=17720[/url]
Повторите логи.

Файл сохранён как 080207_180344_virus_47ab9c60a54e3.zip
Размер файла 1824177
MD5 194f539792febbf5bba0e89dfe96590c

сорри, пароль не задан, винрар кажется сломался

логи

Так а логи то где?

AVZ первый лог минут 35 делает((((

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\DDosaev\LOCALS~1\Temp\adxapie.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O20 - AppInit_DLLs: msafd.dll,[/CODE]
Загрузите карантин согласно приложению №3 правил.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Скрипт выполнил.
С Хайджеком возникли проблемы

"An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: msafd.dll,)
Error #5 - Invalid procedure call or argument

Please email me at [email][email protected][/email], reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan."

AVZ нашёл системные проблемы
"Нарушение ассоциации SCR файлов."
Фиксация сделана.

С браузером - сделано.

Файл сохранён как 080208_001502_virus-2_47abf366053b2.zip
Размер файла 622
MD5 5ec74239cb0cdaf7a64390cb2b0ac48c

присланный карантин пустой ....
попробуйте поискать файл через авз - сервис - поиск файлов на диске ....

по логам Хайджека - О20 отсутсвует. пофиксен?

в карантине было всего две строки, архив AVZ создаётся и на диске появляется, НО - сделать архив вручную невозможно. ВинРар через контекстное меню не запускается.
Это что за прикол - от системы или вирусом сломан ВинРар?

в карантине AVZ находит два файла с нулевым размером (?) поэтому и архив нулевой получается. прикладываю скрин

скрин.

в карантине эти файлы идут уже с расширением *ini

> попробуйте поискать файл через авз - сервис - поиск файлов на диске ....

архивный файл карантина? всё тоже самое
Файл сохранён как 080208_005856_virus_47abfdb0b84c0.zip
Размер файла 622
MD5 24c29ff0b5cf2d01c61d548d1f01e3e7

Пришлите вручную

сами файлы? ребята, уточните пожалуйста какие именно файлы нужно искать и прислать
- *ini - что сейчас лежат в карантине?
- *dat - что пишет в своём окне AVZ
-или adxapie.sys что лежат в Temp?

"Поиск файлов по маске adxapie.sys
Поиск файлов завершен
Просмотрено 73863, найдено 0"

Конечно файл лежащий в папке Temp.......зачем нам файл 0 длины?

AVZ ничего не находит в папке Тemp
поиск по маске по всему диску выдал 700 файлов в перечне которых adxapie.sys отсутсвует.

Посмотрите присуствует этот файл, физически на диске в папке Temp

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('adxapie', 4);
DeleteService('adxapie');
DeleteFile('C:\DOCUME~1\DDosaev\LOCALS~1\Temp\adxapie.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи начиная с пункта 10 правил ...

нет. Физически этих файлов в окне папки Temp не видно.

ПС. Чекбокс "Показывать скрытые папки и файлы" по прежнему не работает

пошёл на запуск крипта и сбор логов.

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Должно помочь

упс....
предпоследний скрипт прошёл.
А последний скрипт выполнить до или после сбора логов?

логи до...