EXE в процессах и скрытый автозапуск

С компом неделю твориться что-то непонятное,уже и касперским гонял, и Dr Web
постоянно непонятный процессы, автозапуск - выпадают ошибки.
из Моего компьютера пропали диски С и Д.
Возле часов (Вин ХР) надпись:
15:43:VIRUS ALERT (сейчас)

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\wnlmdakqlag.dll','');
QuarantineFile('C:\WINDOWS\system32\purvxo.dll','');
QuarantineFile('C:\WINDOWS\system32\khfgdDtS.dll','');
QuarantineFile('C:\WINDOWS\system32\hgGwTjKa.dll','');
QuarantineFile('c:\windows\lsas.exe','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('c:\windows\lsas.exe');
DeleteFile('C:\WINDOWS\system32\hgGwTjKa.dll');
DeleteFile('C:\WINDOWS\system32\khfgdDtS.dll');
DeleteFile('C:\WINDOWS\system32\purvxo.dll');
DeleteFile('C:\WINDOWS\wnlmdakqlag.dll');
DeleteFile('C:\Documents and Settings\Администратор\DoctorWeb\Quarantine\Games.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F3 - REG:win.ini: run="C:\Documents and Settings\shao\Application Data\Adobe\Manager.exe"
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\lsas.exe
O4 - HKLM\..\Policies\Explorer\Run: [lsas] C:\WINDOWS\lsas.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present[/CODE]
Загрузите карантин согласно приложению №3 правил.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.

все выполнил как описано.

только не нашел:
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\lsas.exe
O4 - HKLM\..\Policies\Explorer\Run: [lsas] C:\WINDOWS\lsas.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

Где же логи?

log

:-(((

Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\mpnxyl.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\mpnxyl.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
DelBHO('{DF6C9A95-CDD0-4EFC-9C2A-B6CA365F7396}');
DelBHO('{98B4DBAC-9D5B-4E40-BBB6-3F75A7172908}');
DelBHO('{1DBD3F8D-ABC8-4FBA-9CDB-0FEFA3C5AF84}');
DelBHO('{14129cc4-f7c5-42a5-a481-0839f9633736}');
DelWinlogonNotifyByKeyname( 'hgGwTjKa');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи, начиная с п.10 правил.

готово

а hijackthis.log что-то не могу вложить

Попробуйте его переименовать например в hijack.log или упакуйте в зип-архив.

:)

пофиксите...
[code]
O2 - BHO: {6373369f-9380-184a-5a24-5c7f4cc92141} - {14129cc4-f7c5-42a5-a481-0839f9633736} - C:\WINDOWS\system32\purvxo.dll (file missing)
O2 - BHO: (no name) - {1DBD3F8D-ABC8-4FBA-9CDB-0FEFA3C5AF84} - C:\WINDOWS\system32\hgGwTjKa.dll (file missing)
O2 - BHO: (no name) - {98B4DBAC-9D5B-4E40-BBB6-3F75A7172908} - C:\WINDOWS\system32\khfgdDtS.dll (file missing)
O2 - BHO: QXK Olive - {DF6C9A95-CDD0-4EFC-9C2A-B6CA365F7396} - C:\WINDOWS\wnlmdakqlag.dll (file missing)
O20 - Winlogon Notify: hgGwTjKa - hgGwTjKa.dll (file missing)
[/code]
выполните скрипт
[code]
begin
RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss');
RebootWindows(true);
end.
[/code]
повторите логи начиная с пункта 10 правил ...

немогу профиксить т.к не найдет код :-(

[QUOTE=shao;268411]немогу профиксить т.к не найдет код :-([/QUOTE]Кто что не найдет? :> Вы запись не можете найти или не знает, что такое [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]?

профиксить то я знаю как, но дело в том что немогу найти этот код, есть куча других , но таких нет вообще.:(

[QUOTE=shao;268422]профиксить то я знаю как, но дело в том что немогу найти этот код, есть куча других , но таких нет вообще.:([/QUOTE]Это называется не код , [I]Код - это что-то зашифрованное[/I], а [B]запись реестра[/B]. Не нашлась - и не надо, делайте дальше, что Вам рекомендовали.

log

второй где ?

пришлось поменять название, т.к не пропускало вложение - писало что в данной теме уже есть такое вложение, для архива тоже самое

спасибо

лог старый ...

новый

Лог чистый. Нужно поставить Сервис Пак 3 (ссылка в моей подписи) и потом - IE7 - найдете на сайте Микрософта или через Гугл :).

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\doctorweb\\quarantine\\games.exe - [B]Worm.Win32.Fujack.aa[/B] (DrWEB: Win32.HLLP.Whboy.20)[*] c:\\windows\\lsas.exe - [B]Trojan.Win32.Autoit.cx[/B] (DrWEB: Trojan.Siggen.177)[*] c:\\windows\\system32\\csrcs.exe - [B]Trojan-Banker.Win32.Banker.ukz[/B] (DrWEB: BackDoor.IRC.Harak)[*] c:\\windows\\system32\\hggwtjka.dll - [B]Trojan.Win32.Monderb.fpb[/B] (DrWEB: Trojan.Virtumod.448)[*] c:\\windows\\system32\\khfgddts.dll - [B]Trojan.Win32.Monder.flf[/B] (DrWEB: Trojan.Virtumod.based.18)[*] c:\\windows\\system32\\purvxo.dll - [B]not-a-virus:AdWare.Win32.SuperJuan.cof[/B] (DrWEB: Trojan.Virtumod.based.18)[*] c:\\windows\\wnlmdakqlag.dll - [B]Trojan.Win32.Vapsup.key[/B] (DrWEB: Trojan.Popuper.7335)[/LIST][/LIST]