подскажите пожалуйста, что случилось у меня, скрины прилагаются. (и вот эти окошки последовательно появляются через каждые две секунды. Точнее первый потом уже не появляется, идут два- system32.exe обнаружена ошибка, и второй сразу за первым предупреждение NOD32 о трояне

http://forum.oszone.net/announcement-87-112.html

serg4271, Здравствуйте. Сделайте пожалуйста логи по правилам (http://forum.oszone.net/thread-98169.html)

serg4271, похоже вы словили общеизвестную "проблему 01.01.2070", обратите внимание на год. Вам на подготовку логов (http://forum.oszone.net/thread-98169.html)
HellFire_MZ, уж лучше сразу отправлять на выполнение правил оказания помощи

год как раз Вы указали правильно, счас внимательно проштудирую правила

Ну я вроди сделал три лога по правилам, только возможно я смазал картинку(до этого я вручную удалил sysmgr.exe, svcrt2.dll и ключ реестра для sysmgr.exe, погорячился так сказать, думал поможет). Очень жду ответа.впрочем эти файлы вновь образовались, я посмотрел

serg4271, Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей (http://forum.oszone.net/showpost.php?p=825101), включите брандмауэр windows
Запустите AVZ, d меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html), нажмите кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows.0\system32\system.exe');
TerminateProcessByName('C:\WINDOWS.0\system32\sysmgr.exe');
QuarantineFile('C:\WINDOWS.0\system32\sysmgr.exe','');
QuarantineFile('c:\windows.0\system32\system.exe','');
DeleteFile('c:\windows.0\system32\system.exe');
DeleteFile('C:\WINDOWS.0\system32\sysmgr.exe');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('C:\DOCUME~1\serg4271\LOCALS~1\Temp', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.
Запустите HiJackThis (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe), нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
Если не проверяли систему с помощью cureit и AVPTool, рекомендую проверить.
Сделайте новые логи.

Pili,

Здравствуйте, Вы знаете, сделал всё в точности следуя Вашим рекомендациям- улучшений никаких, (в смысле постоянно чередуются окошки с ошибкой system32, появляются сист.файлы в темп папке),сейчас запустил AVPTool- думаю проверка закончится около часа ночи, уже 250 зловредов удалил, я сегодня всё доделаю, отправлю логи, Вы если не трудно завтра посмотрите, а я вечерком после работы продолжу.

на второй странице написал

Написал serg4271 письмо в РМ, чтобы сообщил

Это пятизначная цифра,каждый раз новая,с расширением .sys весом 4кб, в док и сетт.,в локальной, в темп

Все те же спутники system.exe

Pili,

Блин! Большое спасибо, вроди бы справился с Вашей помощью, (я ещё раз выполнил скрипт),правда чуть-чуть вручную пришлось подчистить- но всё дурное пропало- система работает нормально. Ещё раз большущее спасибо(или куда-то надо кнопочку нажать "спасибо"? я просто не в курсе)

уже нажал

serg4271, логи повторите для контроля.

Pili,
обязательно, только домой с работы вернусь

Pili,

Добрый вечер. Передаю полученные после удачного лечения ОС логи. Ожидаю Вашего резюме

serg4271, Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html), нажмите кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('WindowsTelephony', 4);
QuarantineFile('C:\WINDOWS.0\system\svhost.exe','');
DeleteFile('C:\WINDOWS.0\system\svhost.exe');
DeleteService('WindowsTelephony');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('WindowsTelephony');
BC_Activate;
RebootWindows(true);
end.

Скачайте Malwarebytes' Anti-Malware здесь (http://malwarebytes.gt500.org/mbam-setup.exe), здесь (http://www.besttechie.net/mbam/mbam-setup.exe), здесь (http://www.malwaresupport.com/mbam/program/mbam-setup.exe) или здесь (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe). Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Рекомендую установить WindowsXP SP3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4) и все последующие обновления - http://windowsupdate.microsoft.com

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

Скачайте OTListIt2 (http://oldtimer.geekstogo.com/OTListIt2.exe), сохраните на рабочий стол и запустите, поставьте галочку Scan All Users, LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Я сейчас всё сделаю, просто интересно: что-то осталось(?) или для профилактики(?). Я сканировал недавно VRTools- чисто

Pili,
первый лог:

Malwarebytes' Anti-Malware 1.34
Версия базы данных: 1817
Windows 5.1.2600 Service Pack 2

04.03.2009 21:48:58
mbam-log-2009-03-04 (21-48-58).txt

Тип проверки: Полная (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Проверено объектов: 168876
Прошло времени: 20 minute(s), 56 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 1

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\WINDOWS.0\system32\drivers\etc\services (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

остальное по мене выполнения

Я сейчас всё сделаю, просто интересно: что-то осталось(?) или для профилактики(?) »
C:\WINDOWS.0\system\svhost.exe по логам AVZ, хотя это м.б. только упоминание в реестре осталось.

забыл AVZ лог прикрепить в первое сообщение. Кстати, после окончания всех операций выскочило окно, ошибка system32, приложение будет закрыто, отправить отчёт