В инете нашел много всего про эти файлы и в том числе как отключать его, но именно через Касперского. У меня никогда в жизни не было касперыча. Файл fidbox.dat растет не по дням, а по часам. Помогите плиззз што с этим делать?Файлы удаляются в безопасном режиме, но перезагрузившись в обычный режим, они снова появляются. Один раз fidbox.dat достиг размера 2,5 Гига, винда тупила не реально!
Логи выкладываю, мож чем помогут.

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('MEMSWEEP2', 4);
DeleteService('MEMSWEEP2');
QuarantineFile('C:\WINDOWS\system32\6F2F.tmp','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\epfwtdir.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\okojcc.sys','');
DeleteFile('C:\WINDOWS\system32\6F2F.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта Ваш компьютер автоматически перезагрузится. В папке с программой AVZ появится файл quarantine.zip. Его Вам необходимо прислать на E-Mail адрес: koshkin@rbcmail.ru

Котяра
Выслал на указаный адрес карантин

segafos, Найдите с помощью AVZ – сервис – поиск файлов на диске или с помощью файлового менеджера, например FAR (если через проводник – включите показ скрытых файлов) файлы:
C:\WINDOWS\system32\Drivers\okojcc.sys
C:\WINDOWS\system32\WinFl32.sys
запакуйте в архив с паролем infected и отправьте на newvirus@kaspersky.com, в письме укажите пароль на архив, когда придет ответ, сообщите, если оба окажутся зловредами, выполните скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('okojcc', 4);
QuarantineFile('C:\WINDOWS\system32\WinFl32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\okojcc.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\okojcc.sys');
DeleteFile('C:\WINDOWS\system32\WinFl32.sys');
DeleteService('WinFl32');
DeleteService('okojcc');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('okojcc');
BC_Activate;
RebootWindows(true);
end.
Если программа Folder Lock установлена и/или WinFl32.sys окажется чистым, уберите из скрипта строчки
DeleteFile('C:\WINDOWS\system32\WinFl32.sys');
DeleteService('WinFl32');
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file)

У вас jre1.5.0_10
Обновите Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp)
Скачайте JavaRA (http://raproducts.org/) здесь (http://raproducts.org/click/click.php?id=1) или здесь (http://prm753.bchea.org/javara.zip)
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp) с сайта производителя.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Рекомендую установить WindowsXP SP3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4) и все последующие обновления - http://windowsupdate.microsoft.com

Повторите логи.

Pili
отправил на newvirus@kaspersky.com архив с этими двумя файлами, оба чистые, не заражены!
какие дальнейшие действия? Надо в Хайджэке фиксить те строки?

Надо в Хайджэке фиксить те строки? »
Нужно

какие дальнейшие действия? »
И что с проблемами? Если есть, сделайте логи полиморфным AVZ (http://ifolder.ru/12095547)
Дополнительно скачайте gmer со случайным именем файла(рекомендуется) здесь (http://gmer.net/download.php), либо gmer.zip здесь (http://www.gmer.net/gmer.zip) или здесь (http://www2.gmer.net/gmer.zip), закройте все остальные программы и отключите антивирусное ПО (включите брандмауэр windows или отключите компьютер от локальной сети), запустите программу (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора). После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Внимание! Если при запуске gmer выйдет окно предупреждающее об обнаружении ROOTKIT activity, нажмите No и в правой панели уберите значки напротив следующих пунктов
• Sections
• IAT/EAT
• Show all

Pili
Проблема так и осталась! Хайджеком профиксил те строки. Гмером не получилось зделать лог (два раза пытался сделать полную проверку диска С, но почти под самый конец комп вырубается и некоторое время не включается)! AVZом сделал логи!

У вас jre1.5.0_10
Обновите Java Runtime Environment (JRE)
Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com »
Эти рекомендации вы проигнорировали.
отправил на newvirus@kaspersky.com архив с этими двумя файлами, оба чистые, не заражены! »
Если okojcc.sys и WinFl32.sys чистые , то больше по логам ничего плохого не вижу.
т.к. у вас NOD32 рекомендую отправить эти файлы также на samples@esetnod32.ru; samples@eset.com (отправлять в запароленном архиве, пароль infected) - http://www.esetnod32.ru/support/newvirus.php

Можно продолжить проверку другими утилитами.
Скачайте Malwarebytes' Anti-Malware здесь (http://malwarebytes.gt500.org/mbam-setup.exe), здесь (http://www.besttechie.net/mbam/mbam-setup.exe), здесь (http://www.malwaresupport.com/mbam/program/mbam-setup.exe) или здесь (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe). Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
Базы МВАМ можно обновить отдельно - downloading the update MBAM (http://malwarebytes.gt500.org/mbam-rules.exe)

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) и здесь (http://support.microsoft.com/kb/310994) - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=535d248d-5e10-49b5-b80c-0a0205368124).
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) (на англ.яз.) и здесь (http://www.spyware-ru.com/combofix/) (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте OTListIt2 (http://oldtimer.geekstogo.com/OTListIt2.exe), сохраните на рабочий стол и запустите, выберите: Scan All Users, Minimal Output, File Age: 30 Days, поставьте галочку LOP Check, Purity Check и в Extra Registry - Use Safe list.
Под строчкой Custom Scan вставьте
netsvcs
drivers32
Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Скачайте RootRepeal (http://rootrepeal.googlepages.com/RootRepeal.zip), распакуйте и запустите. Перейдите на вкладку Report и нажмите Scan. Поставьте все галки, а затем на вновь появившемся окне выберите диск С. После окончания исследования системы нажмите на кнопку Save Report, сохраните лог и вложите в сообщение.

блин, сложновато все эти логи делать!вот в роде бы все, что просили, сделал. в РутРепил нашел этот файл fidbox.dat, думаю, что сейчас все решится с ним!

Что за файлы fidbox? (http://forum.kaspersky.com/index.php?showtopic=28802)

_Falcon_
я фсе это читал. В самом первом сообщении я написал , что у меня никогда не было антивируса Касперского, поэтому через консоль я не могу его отключить! а другие ссылки в форуме, что ты мне дал, приходят на страницу регистрации на этом форуме. не могу прочитать что там написано, но думаю, что все тоже, что и везде.

segafos, SP3 и обновления снова не установили. Что ответил по файлам вирлаб Eset?
Проверьте на virustotal.com файлы
c:\windows\system32\drivers\okojcc.sys
c:\windows\system32\sfcfiles.dll
c:\windows\system32\SVKP.sys
C:\WINDOWS\QTFont.qfn
Результат сообщите или дайте ссылку на результат проверки
Рекомендую sfcfiles.dll, tcpip.sys заменить на оригинальные (sfcfiles.dll можете проверить и взять из C:\WINDOWS\System32\dllcache)
у меня никогда не было антивируса Касперского »
Вы проверялись с помощью AVPTool, его драйвер есть в системе, впрочем можете проверить на VT и C:\WINDOWS\system32\drivers\fidbox.dat, если очень хотите.

Pili
ЕСЕТ чтото еще не ответил!
вот ссылки на ВТ:
http://www.virustotal.com/ru/analisis/78b6ff48dba8bd0772630129f1ad6b08dfe4be55429934c0f93948a12d42fd24-1243773234
http://www.virustotal.com/ru/analisis/6f2f92f8927132cccb021110e3d039657c27ad5d6cb47a7b1bcee29f395e2734-1243772158
http://www.virustotal.com/ru/analisis/c43a744c18d12b8214e75f67c557974564f24ec318807bbe796b26619fce7154-1243772342
http://www.virustotal.com/ru/analisis/1a355634a47a01ce03e05328c2835a86926818bacdcb663db2136d691319dd18-1243772553

А как выгрузить этот драйвер АВПТулз? может быть это из-за него эти файлы появились?
еще мне кажется, что из-за этих файлов (фидбокс) скорость пропадает на инете!

Pili
Еще хотел спросить! по поводу СП3, он просто установится поверх СП2?? и все конфигурации системы останутся без изменений?

segafos, по трем последним ссылкам "Ваш файл просрочен или не существует.", выложите рез-т проверки в сообщение (методом copy/paste)
А как выгрузить этот драйвер АВПТулз? »
Можете его деинсталлировать.
по поводу СП3, он просто установится поверх СП2??»
Да.
и все конфигурации системы останутся без изменений? »
Нет. Здесь (http://download.microsoft.com/download/6/8/7/687484ed-8174-496d-8db9-f02b40c12982/Overview%20of%20Windows%20XP%20Service%20Pack%203.pdf) можете почитать обзор по SP3

Pili,
а как деинсталировать АВПтулз? я даже не помню был он у меня или нет!как его найти и удалить? Не хотят все результаты вставляться, тока один, который с угрозой.
вот результаты проверки ВТ:
sfcfiles.dll Файл sfcfiles.dll получен 2009.06.01 08:05:33 (UTC) Текущий статус: закончено Результат: 1/40 (2.5%)
Антивирус Версия Обновление Результат
a-squared 4.0.0.101 2009.05.31 -
AhnLab-V3 5.0.0.2 2009.05.31 -
AntiVir 7.9.0.180 2009.05.30 -
Antiy-AVL 2.0.3.1 2009.05.31 -
Authentium 5.1.2.4 2009.05.31 -
Avast 4.8.1335.0 2009.05.30 -
AVG 8.5.0.339 2009.05.31 -
BitDefender 7.2 2009.05.31 -
CAT-QuickHeal 10.00 2009.05.29 -
ClamAV 0.94.1 2009.05.30 -
Comodo 1223 2009.05.31 -
DrWeb 5.0.0.12182 2009.05.29 -
eSafe 7.0.17.0 2009.05.27 -
eTrust-Vet 31.6.6530 2009.05.30 -
F-Prot 4.4.4.56 2009.05.31 -
F-Secure 8.0.14470.0 2009.05.31 -
Fortinet 3.117.0.0 2009.05.31 -
GData 19 2009.05.31 -
Ikarus T3.1.1.57.0 2009.05.31 -
K7AntiVirus 7.10.749 2009.05.29 -
Kaspersky 7.0.0.125 2009.05.31 -
McAfee 5631 2009.05.30 -
McAfee+Artemis 5631 2009.05.30 -
McAfee-GW-Edition 6.7.6 2009.05.29 Trojan.LooksLike.Patched
Microsoft 1.4701 2009.05.31 -
NOD32 4117 2009.05.30 -
Norman 6.01.05 2009.05.29 -
nProtect 2009.1.8.0 2009.05.31 -
Panda 10.0.0.14 2009.05.30 -
Prevx 3.0 2009.05.31 -
Rising 21.31.63.00 2009.05.31 -
Sophos 4.42.0 2009.05.31 -
Sunbelt 3.2.1858.2 2009.05.30 -
Symantec 1.4.4.12 2009.05.31 -
TheHacker 6.3.4.3.334 2009.05.29 -
TrendMicro 8.950.0.1092 2009.05.29 -
VBA32 3.12.10.6 2009.05.31 -
ViRobot 2009.5.29.1761 2009.05.29 -
VirusBuster 4.6.5.0 2009.05.30 -
Дополнительная информация File size: 1548288 bytes MD5...: f21bb58941c128665e49b7a1c6e95df7 SHA1..: b25bafe280395ea0de6b86f23c9b702a4d4c7fdc SHA256: 6f2f92f8927132cccb021110e3d039657c27ad5d6cb47a7b1bcee29f395e2734 ssdeep: - PEiD..: - TrID..: File type identification Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x120d timedatestamp.....: 0x41107c39 (Wed Aug 04 06:03:37 2004) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xcbf 0xe00 5.88 bd70c5877cb045c4b74b2d5eebbf8009 .data 0x2000 0x16eb70 0x16ec00 3.27 f20a0a37b04889f01639d64959a8d9b5 .rsrc 0x171000 0x418 0x600 2.54 c123fdd41b8b0efeb7beb0a0084a77f0 .reloc 0x172000 0x9a68 0x9c00 5.76 184237a95c5925893d4361a4f630cd69 ( 1 imports ) > ntdll.dll: LdrDisableThreadCalloutsForDll, NtClose, NtQueryValueKey, NtOpenKey, RtlInitUnicodeString, RtlGetVersion, NtTerminateProcess, RtlUnhandledExceptionFilter, RtlUnwind, NtQueryVirtualMemory ( 1 exports ) SfcGetFiles PDFiD.: - RDS...: NSRL Reference Data Set

а как деинсталировать АВПтулз? »
Как удалить AVPtool с компа? (http://virusinfo.info/showthread.php?t=22413)

вот результаты проверки ВТ:
sfcfiles.dll »
Файл можете отправить в вирлабы ЛК и ESET
Рекомендую sfcfiles.dll, tcpip.sys заменить на оригинальные (sfcfiles.dll можете проверить и взять из C:\WINDOWS\System32\dllcache) »

_Falcon_
у меня нету этого АВПтулз. как мне его удалить? или может быть просто его следы остались вместе с этими файлами?

Pili
а где взять оригинальные файлы? sfcfiles.dll в C:\WINDOWS\System32\dllcache нету!