hijackthis-R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\WebMoney Advisor\tbhelper.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: TBSB03374 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O4 - HKLM\..\Run: [wmagent.exe] "C:\Program Files\WebMoney Agent\wmagent.exe"
O4 - HKLM\..\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKCU\..\Run: [Hot Keyboard] C:\Program Files\Hot Keyboard\HotKeyb.exe -minimized
O4 - HKCU\..\Run: [WinRoll] "K:\0 Programm\TVIKS\0Тонкая настройка WinXP\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-2470889665-2210972027-671569471-1001\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-2470889665-2210972027-671569471-1001\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O4 - HKUS\S-1-5-18\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'система')
O4 - HKUS\.DEFAULT\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'Default user')
O8 - Extra context menu item: Assign &hot key - C:\Program Files\Hot Keyboard\IEScript.htm
O8 - Extra context menu item: Скачать FLV видео содержимое с помощью IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Скачать все ссылки с помощью IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Скачать с помощью IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA958AC8-F9FC-43B8-BDD8-C532B7EB8E59}: NameServer = 195.38.32.3 195.38.33.2
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe

--
End of file - 4991 bytes

mbam-log-2011-05-04-Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 6502

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

04.05.2011 14:38:10
mbam-log-2011-05-04 (14-37-56).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 149074
Времени прошло: 3 минут, 13 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 1
Заражённые параметры в реестре: 0
Объекты реестра заражены: 1
Заражённые папки: 0
Заражённые файлы: 0

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
(Вредоносных программ не обнаружено)

R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\WebMoney Advisor\tbhelper.dll
O2 - BHO: TBSB03374 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll
O4 - HKLM\..\Run: [wmagent.exe] "C:\Program Files\WebMoney Agent\wmagent.exe"

А также секцию 08, 09

http://zalil.ru/30983295

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\hpfll6en.dll','');
QuarantineFile('C:\Windows\system32\psxss.exe','');
QuarantineFile('progman.exe','');
QuarantineFile('E:\9049bf9ac38959f28a\DW\DW20.exe','');
QuarantineFile('C:\Windows\system32\READREG','');
QuarantineFile('C:\PROGRA~1\AUSLOG~1\AUSLOG~1\AUSSHE~1.DLL','');
QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
QuarantineFile('C:\Windows\system32\drivers\tsusbhub.sys','');
QuarantineFile('C:\Windows\system32\drivers\synth3dvsc.sys','');
QuarantineFile('C:\Users\dima\AppData\Roaming\NVIDIA\HWAccess.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{5DD7B0A4-F6D0-45FB-B827-6D8C8A9114C3}\MpKslf748f5ef.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DC037A06-0745-4F67-9E03-52BFDB8ED32A}\MpKslf51d1a7f.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{9B5499A2-0D35-4E33-9347-C9AB1FFEC6CC}\MpKslddfffa79.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A097A99C-7A87-45B3-9C06-11FD9CE142A3}\MpKslc6c7ec79.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DA48E14C-9930-43CC-83CF-B31FCF317305}\MpKsl8d13c853.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A8984812-3370-42D1-9DC4-0D0A04570117}\MpKsl80e04039.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{AFA54846-025A-4155-A54C-2FE23A08E5EA}\MpKsl7656e0ea.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DC037A06-0745-4F67-9E03-52BFDB8ED32A}\MpKsl63ab32fe.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A8984812-3370-42D1-9DC4-0D0A04570117}\MpKsl596db7b0.sys','');
QuarantineFile('C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{19509F39-E143-45F7-9678-B4340BE2B320}\MpKsl262e83e8.sys','');
DeleteFile('E:\9049bf9ac38959f28a\DW\DW20.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',3,3,true);
ExecuteWizard('SCU',3,3,true);
BC_Activate;
RebootWindows(true);
end.

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end

http://zalil.ru/30988575

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\dima\AppData\Roaming\NVIDIA\HWAccess.sys','');
QuarantineFile('C:\Windows\system32\psxss.exe','');
QuarantineFile('progman.exe','');
DelCLSID('CA3EB689-8F09-4026-AA10-B9534C691CE0');
DelCLSID('FCBCCB87-9224-4B8D-B117-F56D924BEB18');
DelCLSID('3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840');
DelCLSID('D27CDB6E-AE6D-11CF-96B8-444553540000');
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

Проверенный файл:   6fc7c2e6-7098fd1a - Инфицирован

Статистика проверки:
6fc7c2e6-7098fd1a/META-INF/MANIFEST.MF - в порядке
6fc7c2e6-7098fd1a/bpac/Bombapack$1.class - в порядке
6fc7c2e6-7098fd1a/bpac/Bombapack.class - инфицирован Trojan-Downloader.Java.OpenStream.aq
6fc7c2e6-7098fd1a/bpac/KAVS.class - инфицирован Trojan-Downloader.Java.OpenConnection.cg
Известных вирусов:    5364238     Дата последнего обновления:    07-05-2011
Размер файла (Kb):    4     Тел вирусов:    2
Файлов:    4     Предупреждений:    0
Архивов:    1     Подозрительных:    0
ну и собственно описание http://www.securelist.com/ru/descriptio … nection.cg и http://www.securelist.com/ru/descriptio … nStream.aq