[DVDshnik]

Попробуйте загрузиться с любого Live-CD диска и поудаляйте левые ехе-шники. Также вычистите все каталоги временных файлов, корзину и удалите все точки восстановления.

[Pili]

filthy, папку c:\windows\temp\ очистите, удалите временные файлы с помощью ATF Cleaner и/или через Пуск-Программы-Стандартные-Служебные-Очистка диска
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Winbh51', 4);
 SetServiceStart('Schedule', 4);
 SetServiceStart('LPTRDCsrv', 4);
 QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
 QuarantineFile('C:\xoblite\Brutus FTP Cracker.exe','');
 QuarantineFile('C:\Documents and Settings\FTP Cracker.exe','');
 QuarantineFile('c:\windows\temp\init.exe','');
 QuarantineFile('C:\WINDOWS\system32\rem.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\vadmulti.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\csrbc01.sys','');
 QuarantineFile('Schedule.sys','');
 QuarantineFile('C:\WINDOWS\ctfmon.exe','');
 QuarantineFile('C:\Program Files\DynDNS Updater\DynUpSvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winbh51.sys','');
 QuarantineFile('C:\WINDOWS\system32\syssrv.sys','');
 QuarantineFile('C:\WINDOWS\Temp\6vLR2ZLP.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('c:\blackbox\plugins\bbleanskin\BBLEANSKINENG.DLL','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\Temp\6vLR2ZLP.sys');
 DeleteFile('C:\WINDOWS\system32\syssrv.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winbh51.sys');
 DeleteFile('C:\WINDOWS\ctfmon.exe');
 DeleteFile('Schedule.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('c:\windows\temp\init.exe');
 DeleteFile('C:\Documents and Settings\FTP Cracker.exe');
 DeleteFile('C:\xoblite\Brutus FTP Cracker.exe');
 DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
 DeleteService('Winbh51');
 DeleteService('Schedule');
 DeleteService('LPTRDCsrv');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('Winbh51');
 BC_DeleteSvc('Schedule');
 BC_DeleteSvc('LPTRDCsrv');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\temp\init.exe,
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix и здесь

Повторите логи virusinfo_syscheck.zip и hijackthis

[filthy]

All done.

Не стал только recovery console устанавливать.

Карантин отправлен на мыло. Новые логи прикладываю.

[filthy]

Забыл самое основное: Спасибо!

[Pili]

filthy, в карантин ничего интересного не попало, подозрение только на rem.exe ушел в вирлаб, csrbc01.sys физически нет в системе, поэтому можете почистить скриптом

Код:

begin
 ClearQuarantine;
 DeleteFile('C:\WINDOWS\system32\Drivers\csrbc01.sys');
 DeleteService('CSRBC01');
ExecuteSysClean;
end.

По логу больше ничего зловредного, лог Combofix не выложили.
Рекомендую удалить Bonjour Service см. здесь или здесь
Скачайте Malwarebytes' Anti-Malware - здесь, здесь, здесь или с сайта . Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.
Рекомендую установить WindowsXP SP3
Что с проблемой?

[filthy]

Проблема решена. Сильно рад.

Rem.exe - это Rem Sticky Notes скачаная с softodrom. Уж лет 5 стоит, на нее не грешу.

Combofix - простите, забылось прикрепить. Исправил.

[Pili]

filthy, лог проверки MBAM ещё выложите.

[filthy]

Обязателньо. Как только проверюсь.

[filthy]

Лог MBAM прикладываю.

Java будет обновлена позже. Вот SP3 пока сомнения берут )