Доброго времени суток! И так как пытался решить проблему. На флэшке из папки RECYCLER удалил сам исполняемый файл, который папки превращает в ярлыки в свойствах ярлыка в поле объект прописывает:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\e5188982.exe &&%windir%\explorer.exe %cd%новая папка
Просканировал флэшку AVZ и Dr.web CureIt, начал сканировать систему но не хватило терпения и рещил разбираться дальше, через TC в атрибутах убрал все галочки скрытый системный и т.д. после чего папочки стали видимыми всё хорошо, всё отлично, но после того как флэшку вынуть вставить, все папки по одной начинют скрываться на глазах, (НО ОТКУДА ОН ВЗЯЛ ОПЯТЬ ЭТОТ EXE??? Перед этим установил "Анти-ауторан") Антивирусник ESS 4 конечно на все это сразу начинает ругаться и удалять все ярлычки и ещё не понял почему он нашёл этот вируса, к сожалению при подключении флэшки выдаёт сразу: модифицированный Win32/Dorkbot.A червь очистка невозможна (путь вируса: оперативная память O_o)

После долгих мучений, вирус начал себя проявлять немного по другому, все папки которые были ярлычками, теперь просто скрытые, стандартными средствами винды атрибут скрытый не доступен, правил реестр не помогло и к этому не работают в опере сайты HiJackThis касперский microsoft, хотя в ie вроде нормально кроме сайта http://free.antivirus.com/hijackthis/.

Здравствуйте!

Остальные логи?

Подключите флешку и не вынимая её подготовьте следующие логи.

Сделайте логи AVZ\RSIT (http://www.forum.oszone.net/thread-98169.html).

• Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Лог MBAM сделаю чуть позже, не могу скачать ни одним браузер ни DM

Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Cpzozq.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Cpzozq.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Cpzozq');BC_Impo rtAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.Отправьте c:\quarantine.zip при помощи этой формы (http://www.oszone.net/virusnet/)

Сделайте новые логи

Log MBAM

Запустите полную проверку МВАМ
После сканирования выберите Ок и далее Show Results (Показать результаты), отметьте только указаные ниже пункты, нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и прикрепите его к сообщению.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> Value: kr_done1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit (Hijack.Regedit) -> Value: DisableRegedit -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Зараженные файлы:
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\kr_done1 (Malware.Trace) -> No action taken.

thyrex, запустил на ночь сканирование MBAMом и пошёл спать, с утричка хотел выложить логи, встал с утра и увидел что комп перезагрузился, вошёл в систему, выплала всплывающая подсказка что windows (xp) был обновлен :-D Первое что пришло в голову вставить флэшку, но о ЧУДО nod не показал никакого вируса как было до этого, все папки были не скрытыми и атрибут скрытый был доступен) Вот так обновление, но я cегодня вечерком ещё попробую просканировать mbamom, удалю параметры реестра которые написал выше и выложу. Большое спасибо за помощь!