автозагрузка

неро нах, а остальные дайте посмотреть - покажите их полный путь.

комп домашний, вечером прикреплю жпег с полным путем, чето не сообразил сразу

winsys2 на 99% вирус

на компе стоит Nod 32 + проверял сегодня свежескачаной утилитой Dr.Web cureit , вроде ничего небуло выявлено

http://virusinfo.info/showthread.php?t=17403
http://www.greatis.com/appdata/d/w/winsys2.exe.htm
google

спасибо, очень полезная информация и ссылочки!

Я б все удалил нах, кроме NvCpl, cftmon и soundman

soundman тоже можно смело удалять

а вот и слепок с путями

винсис2 на 100% вирус:)

не прикрепился файл =( попробуйте его выложить наwww.radikal.ru к примеру

думаю, что наиболее полную информацию мы получим, если АВЗой выполнить стандартный скрипт (файл-стандартные скрипты) и там второй скрипт (сбор информации для раздела "помогите") и полученный отчет прикрепить к мессаджу, ибо наверняка что нить на уровне ядра сидит, возможно что то сервисами прописано, да и других мест запуска из реестра полно.

вот что получилось:
Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 30.10.2008 19:09:41
Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 70476
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07BFA0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552FA0
KiST = 80501B8C (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 20
Анализатор - изучается процесс 344 C:\Program Files\ESET\ESET Smart Security\ekrn.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Прослушивает порты TCP !
[ES]:Прослушивает порты, применяемые протоколом HTTP !
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 576 C:\Program Files\Opera AC 3.6\opera.exe
[ES]:Может работать с сетью
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Процесс c:\program files\opera ac 3.6\opera.exe Может работать с сетью (net.dll)
Количество загруженных модулей: 256
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\Denis\Local Settings\Temp\_ir_vp2_temp_0\Backup\stlport.5.0.dll.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Documents and Settings\Denis\Local Settings\Temp\_ir_vp2_temp_0\Backup\tincat3.dll.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Documents and Settings\Denis\Local Settings\Temp\_ir_vp2_temp_0\Backup\unicows.dll.bak - PE файл с нестандартным расширением(степень опасности 5%)
C:\Documents and Settings\Denis\Local Settings\Temp\_ir_vp2_temp_0\Backup\zlib1.dll.bak - PE файл с нестандартным расширением(степень опасности 5%)
Прямое чтение C:\Program Files\Opera AC 3.6\mail\indexer\indexer.ax
Прямое чтение C:\Program Files\Opera AC 3.6\mail\lexicon\lexicon.ax
Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0000\url.ax
Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0000\w.ax
Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0000\wb.vx
Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0001\url.ax
Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0001\w.ax
Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0001\wb.vx
Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0002\url.ax
Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0002\w.ax
Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0002\wb.vx
Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0003\url.ax
Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0003\w.ax
Прямое чтение C:\Program Files\Opera AC 3.6\Profile\vps\0003\wb.vx
C:\Program Files\Uniblue\DriverScanner\LicenseCommon.dll.BAK - PE файл с нестандартным расширением(степень опасности 5%)
C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP11\A0006667.msi/{MS-OLE}/\86 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP11\A0006667.msi/{MS-OLE}/\92 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP11\A0006667.msi/{MS-OLE}/\94 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP20\A0012152.msi/{MS-OLE}/\86 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP20\A0012152.msi/{MS-OLE}/\92 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP20\A0012152.msi/{MS-OLE}/\94 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP20\A0012175.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP20\A0012176.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\System Volume Information\_restore{524C501A-FCBF-412E-9E20-DDAE383A7377}\RP20\A0012178.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\2be29.msi/{MS-OLE}/\86 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\2be29.msi/{MS-OLE}/\92 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\2be29.msi/{MS-OLE}/\94 >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeeDesktopShortcu_F99F74B4972B4B06B8936B3B0DB0128B.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeePMShortcut_F99F74B4972B4B06B8936B3B0DB0128B.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ARPPRODUCTICON.exe >>> подозрение на AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Меню Пуск - заблокированы элементы
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 102906, извлечено из архивов: 84538, найдено вредоносных программ 0, подозрений - 15
Сканирование завершено в 30.10.2008 19:19:48
Сканирование длилось 00:10:08
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Выполняется исследование системы
Исследование системы завершено :

да вроде прикрепился, попробуйте обновить страничку

ага, только это протокол проверки, а не отчет, создаваемый после выполнения скрипта, должно быть в итоге сгенерировано пара файлов avz_sysinfo. так вот их бы желательно зипнуть и аттачить.

Да и так видно что в точках восстановления вирусяга.
Топикстартеру:
Из автозагрузки я всегда все убиваю кроме ctfmon'a.
Если антивири не видят, то придется ручками удалять.