Здравствуйте, при загрузки виндовс (XP) появляется окно с иероглифами, после нажатия на ОК в систему заходит нормально. Проверка доктором вэбом и нодом ничего не показала.
вот логи avz.

почему не полный набор логов?

лог RSIT подготовьте

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ExecuteRepair(16);
RebootWindows(true);
end.


пк перезагрузится

этот файл проверить на http://www.virustotal.com

c:\windows\system32\sxgtkbar.exe


ссылку на результат сюда.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Сделал , после перезагрузки появляется тоже окно.
http://www.virustotal.com/file-scan/report.html?id=04b259a78e656834233c2f9dbd2a7f957c8b743e697f075561b92ddbe340a0a8-1307374527

Попробуйте так: AVZ - файл - восстановление системы - отметьте "7.Удаление сообщения, выводимого в ходе WinLogon", нажмите "выполнить отмеченные операции"

если окно не исчезнет: Пуск - выполнить - regedit. Откроется редактор реестра. Найдите в нем ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Кликните правой кнопкой мыши по слову Winlogon в левой половине окна. Выберите "экспортировать" Тип файла укажите - текстовые. Сохраните файл под любым именем с расширением .txt Файл выложите сюда.

Первое не помогло. Вот ветка реестра

1.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\jilqiu.exe','');
DeleteFile('C:\WINDOWS\system32\jilqiu.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'usrint');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://www.oszone.net/virusnet). Укажите ссылку на тему и ник на форуме.

2. Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

Сделал, вот Лог.






После перезагрузки вроде проблема исчезла.
Спасибо.

Удаленное управление windows вами активизировано?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"20513:TCP"=-
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Удалите "остатки" Др.Веб утилитой drweb remover (ftp://ftp.drweb.com/pub/drweb/tools/drw_remover.exe)

Так, как я понимаю делать последние предложенное пользователем Katharsis не нужно?


* Остатки удалил.

Grif, как это не нужно? нужно!

новый отчет ComboFix предоставьте и отпишитесь о проблеме

Ну просто я подумал что если проблема ушла то и незачем.

вот новый лог.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы:
Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Сделал, Спасибо.


ps так что это было в итоге, и как этого избежать в дальнейшем?

нам не ведомо, где вы это нашли, поэтому уберечь вас от повторного заражения можем чисто теоретически

придерживайтесь рекомендаций:
- не работать за компьютером с правами администратора
- при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.