подцепил не знаю где) обращаюсь первый раз сильно не ругайте логи прикрепил

Смотрю логи.

Здравствуйте!

Пофиксите в HijackThis (http://safezone.cc/forum/showthread.php?t=9) следующие строчки:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dubsearch.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAB419C3-FD6A-4159-A99E-7463EE6D6D20}: NameServer = 5.199.140.178
Если после этого пропадет подключение к интернету - в настройках сетевого подключения - ipv4 - свойства - dns пропишите вручную dns своего провайдера или публичные 8.8.8.8 alt 8.8.4.4

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\admin\LOCALS~1\Temp\h02rf9l3.exe','');
DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\h02rf9l3.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT.

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%MalwarebytesMalwarebytes' Anti-MalwareLogs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe) Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)

прикрепляю файлы) кстати рекалмы вроди бы уже нету

ой извиняюсь за два поста(

Файл C:\WINDOWS\system32\GreenFields.scr проверьте на Virustotal (http://virustotal.com) , результат выложите тут.

Подготовьте такой лог: Загрузите SecurityCheck by glax24 отсюда (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска, например C:SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. Подробнее читайте в этом разделе (http://safezone.cc/forum/showthread.php?t=19622) форума поддержки утилиты.

Данный файл уже был проверен на VirusTotal 2013-03-17 03:45:58 .

Показатель выявления: 11/45

Можно посмотреть результаты предыдущего анализа, либо выполнить анализ ещё раз.
вот так?

Имя файла: GreenFields.scr
Тип файла: Win32 EXE
Показатель выявления: 12 / 46

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 23.03.2013 17:41:56
Program directory: C:\Documents and Settings\admin\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=3.5
Диск C:\ ФС: NTFS Емкость: (25 Гб) Занято: (9.3 Гб) Свободно: (15.7 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 17.01.2013 20:36:38
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 6.0
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------OtherUtilities-----------------------
Foxit Reader 3.1.2.1013 v.v3.1.2.1013 Внимание! Скачать обновления (http://www.foxitsoftware.com/downloads/latest.php?product=Foxit-Reader)
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 17 v.6.0.170 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/jdk6downloads-1902814.html)
^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^
-------------Browser------------------------------
Google Chrome v.25.0.1364.172 [+]
Mozilla Firefox 19.0.2 (x86 uk) v.19.0.2 [+]
Opera 10.10 v.10.10 Внимание! Скачать обновления (http://www.opera.com/browser/)
Opera 12.12 v.12.12.1707 Внимание! Скачать обновления (http://www.opera.com/browser/)
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.12.1707.0
C:\Program Files\Mozilla Firefox\firefox.exe v.19.0.2.4814
-------------EndLog-------------------------------

либо выполнить анализ ещё раз. »
Нужно было так сделать.
Проверьте еще раз и выложите ссылку на результат.

Обновитесь по ссылкам из вашего лога.

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 24.03.2013 10:08:48
Program directory: C:\Documents and Settings\admin\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=3.5
Диск C:\ ФС: NTFS Емкость: (25 Гб) Занято: (9.9 Гб) Свободно: (15.1 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 17.01.2013 20:36:38
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 6.0
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------OtherUtilities-----------------------
Foxit Reader v.5.4.5.124 [+]
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 43 v.6.0.430
Java(TM) SE Development Kit 6 Update 43 v.1.6.0.430
Java DB 10.6.2.1 v.10.6.2.1
-------------Browser------------------------------
Google Chrome v.25.0.1364.172 [+]
Mozilla Firefox 19.0.2 (x86 uk) v.19.0.2 [+]
Opera 12.14 v.12.14.1738
-------------RunningProcess-----------------------
C:\Program Files\Opera\Opera.exe v.12.14.1738.0
-------------EndLog-------------------------------

и вот ссылка
https://www.virustotal.com/ru/file/20e54a0b4cd50817096d9f32efd813cd839de5ed39e21dc7861bd2811ccae030/analysis/1364112478/

что с проблемой?

та проблема я же написал уже давно проппала спасибо вам)