HB-Raven

Согласно инструкции http://pchelpforum.ru/f26/t6442/#post37758 даю ссылку на скрипт AVZ http://exfile.ru/134615 и HiJackThis http://exfile.ru/134619
Проблема была вот в чем: Security Task Manager указал на опасность в файле comctl32.dll, после удаления его и перезагрузки ПК. Почти все процессы и ПО кроме антивируса(KIS8) начали выдавать отсутствие этого файла. Файл скачал с DLL.ru, STM стал указывать на угрозу в других файлах.
Заранее благодарен.

Гризлик

В этих логах плохого ничего ненашел.
Сделайте такой лог http://pchelpforum.ru/showpost.php?p=206554&postcount=5

HB-Raven

Проверка выдала 3 объекта я их удалил. Здесь лог http://exfile.ru/134626. В SecurityTM снова появился comres.dll опять со странным значком и еще знак '? это может быть касперский'. В принципе вот PrtSc http://exfile.ru/134627

Гризлик

Ну это ложное срабатывание. Можно было их и не удалять. Но это не критично.

Возможно у вас файловый вирус. Вот этим проверьте комп http://www.freedrweb.com/livecd/

HB-Raven

Файлы, наиболее часто создаваемые или модифицируемые вредоносными программами

Если файл из представленного рейтинга присутствует на вашем компьютере, это не обязательно означает заражение, и не спешите его удалять! Часто вредоносные программы только видоизменяют легальные файлы программ, как например, файл HOSTS. Этот файл всегда присутствует в операционных системах семейства Windows, однако, вредоносные программы любят изменять его содержание, чтобы блокировать работу антивирусных средств, для показа рекламы и т.д. В следующих выпусках мы рассмотрим использование файла HOSTS вредоносными программами, а сейчас остановимся подробней на файле mmsfc1.dll, оказавшемся на 1-й позиции в нашем рейтинге. Этот файл создается в системном каталоге Windows (обычно, C:\Windows\System32\mmsfc1.dll) вредоносными программами, относящимися к рассмотренному ранее классу Trojan-GameThief. Как видно из рисунка, название файла подобрано таким образом, что он выглядит как обычный системный файл, каких много в указанном каталоге.

На самом же деле этот файл является копией другого системного файла %System%\sfc_os.dll. Файл sfc_os.dll является частью механизма защиты файлов Windows (WFP, Windows File Protection), который защищает наиболее важные системные файлы Windows от удаления или изменения. Опишем теперь последовательность действий вредоносной программы при ее запуске:
1. Копирует файл C:\WINDOWS\system32\sfc_os.dll под новым именем C:\WINDOWS\system32\mmsfc1.dll.
2. Запускает файл C:\WINDOWS\system32\mmsfc1.dll и использует один из методов обхода технологии WFP.
3. Перемещает системный файл C:\WINDOWS\system32\comres.dll в C:\WINDOWS\system32\sysgth.dll.
4. Подменяет оригинальный файл C:\WINDOWS\system32\comres.dll своей компонентой с тем же именем.
В процессе работы библиотека C:\WINDOWS\system32\comres.dll загружает библиотеку C:\WINDOWS\system32\sysgth.dll (под этим файлом была сохранена копия стандартной системной библиотеки Windows) и импортирует одну- единственную функцию COMResModuleInstance. Вредоносная компонента в списке экспорта тоже имеет функцию COMResModuleInstance. Причина такого устройства проста. Теперь, если какой-либо программе понадобится функция COMResModuleInstance, то вредоносная компонента передаст указатель на оригинальную функцию, которая теперь находится в файле C:\WINDOWS\system32\sysgth.dll. Таким образом, описанная подмена файлов никак не скажется на работе операционной системы Windows.

Зачем же нужен этот маскарад? Подмена вредоносной программой системного файла осуществляется для того, чтобы данная вредоносная программа загружалась каждый раз при загрузке операционной системы Windows, т.к. библиотека comres.dll используется другими компонентами Windows. Такой нестандартный способ автозапуска существенно затрудняет обнаружение присутствия вредоносной программы в системе.