Как это саму програму?А,точно :)
Сори,меня тут просто отвлекали :)
Вот,вылаживаю

Выполните в AVZ скрипт, на время выполнения скрипта отключите антивирус
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Documents and Settings\Админ\Рабочий стол\мультимедиа\Picture Package Applications\Residence.exe','');
QuarantineFile('C:\Documents and Settings\Кристина\ntuser.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\win32.exe','');
QuarantineFile('C:\WINDOWS\system32\ewts.dll','');
QuarantineFile('C:\qqd.sys','');
QuarantineFile('E:\Fxdrv.sys','');
QuarantineFile('C:\WINDOWS\Mrshield.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteFile('C:\Crack\WinXp SP2 Crack\Windows_XP_Key_Viewer.exe');
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
DeleteFile('C:\WINDOWS\Mrshield.exe');
DeleteFile('C:\qqd.sys');
DeleteFile('C:\WINDOWS\system32\ewts.dll');
DeleteFile('C:\WINDOWS\system32\drivers\win32.exe');
DeleteFile('C:\Documents and Settings\Кристина\ntuser.exe');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DeleteService('Microsoft register shield');
DeleteService('qqd.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки, выполните ещё один скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложите на ifolder.ru или slil.ru или другой файлообменник, ссылку лучше в ПМ.
Пофиксите в HJT
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: SharedDLLs - C:\WINDOWS\system32\ewts.dll (file missing)
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\
Повторите все логи,

Так,все зделал...При загрузке Нод уже не ругается по поводу вируса..Что с реестром посоветуете делать?

Сет, логи старые, сделайте новые логи.
после лечения поменяйте все пароли, они скорее всего ушли. Диск E это у вас что?
C:\WINDOWS\system32\sysfldr.dll Backdoor.Win32.SdBot.cpr
поищите через AVZ - сервис - поиск файлов, если найдутся, добавьте в карантин вручную и выложите ещё раз так же
C:\WINDOWS\Mrshield.exe
E:\Fxdrv.sys
C:\qqd.sys
C:\WINDOWS\system32\ewts.dll

Диск Е - это сидюк. Там диск какой-то умник положил,я не заметил, сори.
C:\WINDOWS\system32\sysfldr.dll Backdoor.Win32.SdBot.cpr
поищите через AVZ - сервис - поиск файлов, если найдутся, добавьте в карантин вручную и выложите ещё раз так же
Цитата:C:\WINDOWS\Mrshield.exe
E:\Fxdrv.sys
C:\qqd.sys
C:\WINDOWS\system32\ewts.dll »
Ничего нету.
Сделал новые логи. Щас загружаю на файлообменник.
Паролей на винде не стояло. На квипе поменять?

Пришел ответ из ЛК
C:\Documents and Settings\Кристина\ntuser.exe
C:\WINDOWS\system32\drivers\win32.exe
Trojan-Downloader.Win32.Small.hqy
Детектирование файлов будет добавлено в следующее обновление.
мы их уже удалили
пофиксите
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
возможно придется переустанавливать аську (рекомендую qip - qip.ru)
по логам зловредов больше не видно.
Выполните скрипт
var
X : integer;
begin
X := ExecuteWizard('TSW', 1, 1, true);
AddToLog('Количество найденных проблем = '+inttostr(X));
end.
Или, вместо выполнения этого скрипта, запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы.
Отключите не нужные сервисы, гуглтулбар можно снести, если не критично.

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
что из этого не нужно?
Сделайте лог исследования системы и лог HJT (virusinfo_syscheck.zip, hijackthis.zip), вложите в тему (теперь не надо на файлообменник)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" (http://security-advisory.newmail.ru/) и выполнить рекомендации описанные в ней.

зы. пароли поменять все, у вас был пинч!

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
ставьте SP2 и все обновления после него! Рекомендую поставить фаервол.

пофиксите
Цитата:O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing) »
Профиксил.
Сообщение реестра перестало выходить после удаления Нода. Установил - снова стало выпадать при загрузке.
Зделал все,как сказано,решил проверить - поставил Нод поновой - снова выпадает сообщение реестра...
Как же без антивируса? :)

логи чистые
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
что из этого не нужно?
выпадает сообщение реестра... »
что за сообщение? скрин выложит можете?
а вообще, рекомендую на Avira перейти, потому что нод у вас не понятно чем занимался
ещё можете удалить Picture Package и пофиксить
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by120fd.bay120.hotmail.msn.com/resources/MsnPUpld.cab
восстановление системы теперь можно снова включить
Для спокойствия, ещё можете найти c:\program files\media key\magickey.exe и самостоятельно проверить на virustotal.com, скорее всего окажется чистым

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику »
служба SSDPSRV (Служба обнаружения SSDP);служба Alerter (Оповещатель);служба Schedule (Планировщик заданий) - отключил
Прикрепил скриншот
Антивирус определяет начальство(по стоимости:))
ещё можете удалить Picture Package »
Нужен,говорят

Хмм... avz не видит, что редактирование реестра запрещено, скорее всего это глюк самого NOD, на всякий случай можете выполнить скрипт AVZ
begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(7);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
end.

перезагрузится и переустановить нод, кстатиAvira AntiVir PE (http://www.free-av.com/index.htm) free, но на англ. яз.

Ну, до этого стоял Касперский, скорее всего это его отголоски были...Но нам уже не суждено узнать - вчера вечером подошол шеф(начальник IT отдела, порылся в реестре и теперь винда виснет при загрузке :biggrin: ), так что буду все сносить...Pili, огромное спасибо, ты ввел меня в большой AVZ, если так можно сказать,это был очень познавательный и увлекательный урок для меня! Огромное спасибо Blast, за первую помощь.

Сет, пожалуйста :)
винду лучше сразу ставь с интегрированным SP2 и все обновления после SP2

Сет, всегда пожалуйста, рад, что тема была для вас полезной и интересной :)

Винду поставлю свою, полную.
До новых встречь! :up