[Pili]

Rexfist, Здравствуйте. У вас какая-то сборка ОС, возможно проблема ещё и из-за этого, многие системные файлы не прошли проверку по базе безопасных AVZ, рекомендую удалить всякие "украшательства" и установить официальный WindowsXP SP3
C:\WINDOWS\system32\DRIVERS\FStarForce.sys - проверьте на virustotal.com, результат сообщите.
Запустите HijackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\iiffGyAP.dll
O20 - Winlogon Notify: iiffGyAP - C:\WINDOWS\

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\iiffGyAP.dll','');
DeleteFile('C:\WINDOWS\system32\iiffGyAP.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.

Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Для защиты от вирусов типа autorun.inf рекомендую отключить автозапуск

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

[Rexfist]

2 Pili
Спасибо что откликнулись. Стоит сборка ZverCD, уже около полутора месяцев. Данный глюк начал наблюдаться примерно пару дней назад,после того,как KIS 7 нашел и вылечи полдесятка вирусов на диске С при очередной проверке. ПО новое не ставилось,соответственно,проблема с вирусом,который был,скорее всего,занесен на флешке. Результат проверки на virustotal.com:
http://www.virustotal.com/ru/analisi...103d86ef831292
Скрипты выполнил, проблемы исправил, пока результата нет. Единственное - при полной проверке системы в безопасном режиме утилитой CureIt было найдено и удалено 2 вируса,один из них в system 32

[igorgn]

Цитата Rexfist:

Стоит сборка ZverCD »

а почему бы вопросы у них на форуме не позадавать. Их глюки - их ответы.

[Pili]

Rexfist, странно, что карантин получился таким большим, к сожалению с fileshare.in.ua я скачать не могу, файл C:\WINDOWS\system32\iiffGyAP.dll отдельно можете запаковать с паролем virus и прислать на user15802[at]mail.ru
По логам AVZ и hijackthis больше ничего зловредного. Украшательства вы так и не удалили, официальный SP3 не установили...
С помощью CureIt систему проверяли?

Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Скачайте Malwarebytes' Anti-Malware здесь, здесь или здесь. Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrlv+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте (Ctrl+A, Ctrlv+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь

[Rexfist]

2 Pili
Спасибо за то, что стараетесь мне помочь.
По пунктам:
1. К сожалению, файла C:\WINDOWS\system32\iiffGyAP.dll в данном каталоге нет. Да и на диске С его не наблюдается.
2. Насчет украшательств - честно говоря,я не совсем понял,о чем идет речь. Удалить встроенные темы? Официальный SP3 стоит ли ставить поверх существующего? Если да,то скиньте,пожалуйста,ссылочку на сайт microsoft, где его можно скачать.
3.

Цитата:

Единственное - при полной проверке системы в безопасном режиме утилитой CureIt было найдено и удалено 2 вируса,один из них в system 32

4. Java Runtime Environment (JRE) скачал и установил
5. Лог Malwarebytes' Anti-Malware прикладываю сюда
6. SDFix выдал при окончании проверки в безопасном режиме сообщение о перезагрузке и просьбе запустить RunThis.bat и нажать F при следующей загрузке системы. После перезагрузки(в обычном режиме) выполнил все,как он написал,и получил отчет Report.txt, который также прикладываю сюда.
7. Скачал и установил ComboFix и Microsoft Recovery Console. Лог также присутствует

[Pili]

Цитата Rexfist:

К сожалению, файла C:\WINDOWS\system32\iiffGyAP.dll в данном каталоге нет. Да и на диске С его не наблюдается. »

Он удален скриптом и должен быть в карантине AVZ (AVZ-файл-просмотр карантина)

Цитата Rexfist:

Насчет украшательств - честно говоря,я не совсем понял,о чем идет речь. »

VistaDriveIcon, RocketDock, CursorXP

Цитата Rexfist:

Удалить встроенные темы? Официальный SP3 стоит ли ставить поверх существующего? Если да,то скиньте,пожалуйста,ссылочку на сайт microsoft, где его можно скачать. »

Поверх, ссылка была во 2-м посте WindowsXP SP3
По логу МВАМ

Цитата:

Not selected for removal.

Повторите ещё раз сканирование и удалите найденное.
Для файлов C:\WINDOWS\system32\user32.DLL, c:\windows\system32\dllcache\user32.dll не сошлись сигнатуры, возможно они патченные, скопируйте файлы с чистой системы (установка SP3 должна также заменить эти файлы)
Включите показ скрытых файлов и файлы

Цитата:

c:\windows\system32\spmsg2.dll c:\windows\system32\flvDX.dll c:\windows\system32\nbDX.dll c:\windows\system32\qttask.exe

проверьте на virscan.org или virustotal.com
C:\WINDOWS\System32\preh - это у вас что?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

File::
c:\windows\system32\r33.es
c:\windows\system32\eop.e
c:\windows\system32\zed.pa
c:\windows\system32\kj.je
c:\windows\system32\v1.e2
c:\windows\QTFont.qfn
c:\windows\QTFont.for

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение
Сделайте новый лог Hijackthis.

[Rexfist]

Карантин AVZ:

читать дальше »

Украшалки удалил, SP3 поставил.
Проверка системных файлов на вирусы:
http://www.virustotal.com/ru/analisi...3939a87b153611
http://www.virustotal.com/ru/analisi...541685ffeee15b
http://www.virustotal.com/ru/analisi...4a19988bc6fa38
http://www.virustotal.com/ru/analisi...c5f241ca0878cf
C:\WINDOWS\System32\preh - не знаю,что это.Но удалилось без проблем.

[Rexfist]

Проблема решена. Правда,не знаю,как именно. В одном уверен точно - дело было не в кривом сервис паке, т.к. даже с официальным при запуске системы вылетала данная папка. Pili еще раз спасибо за Ваши советы.

[Pili]

Файлы

Цитата:

c:\windows\system32\flvDX.dll c:\windows\system32\msfDX.dll c:\windows\system32\nbDX

рекомендую запаковать с паролем virus и отправить на анализ по адресу newvirus@kaspersky.com

По логу HJT можете пофиксить строчки

Код:

O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection 
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

Они остались от сборки (имхо кривой)
По логам больше придраться не к чему.
Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и следовать рекомендациям, описанным в этой книге.
Полезная информация (на англ. яз):
Malware_Prevention:_Prevent_Re-infection
Malware Removal and Prevention Overview