Сначала появилась проблема с влетом svchost.exe. Ветку в форуме прочитал. Заплаток поставил. ОБнаружил svchost.exe вне егородной дерриктории. Удалил. Так же был найден файлы a.exe. Проблема решилась.

Прошла неделя. Внезапная перезагрузка и понеслось. В процессах неизестные administrator.exe, head-22-10-02, лишные svchost c 1 thread, запущенные от имени пользователя ctfmon, services (с уже имеющимися от system). В этот раз svchost.exe и administrator.exe находились уже в document and setting/administrator.

Поведение системы: при загрузке примерно минута есть на какие либо дейсвтия, потом - 100% CPU и через какое-то время произвольный ребут.

В итоге поотключав что успел из msconfiga получилось загрузиться в safe mode, там все поубивать и доотключать и таки попасть сюда (смайл).

Тема "Вам нужна помощь" - прочитана. Проследованна по пунктам.

Попробуйте загрузиться с любого Live-CD диска и поудаляйте левые ехе-шники. Также вычистите все каталоги временных файлов, корзину и удалите все точки восстановления.

filthy, папку c:\windows\temp\ очистите, удалите временные файлы с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) и/или через Пуск-Программы-Стандартные-Служебные-Очистка диска
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Winbh51', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('LPTRDCsrv', 4);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('C:\xoblite\Brutus FTP Cracker.exe','');
QuarantineFile('C:\Documents and Settings\FTP Cracker.exe','');
QuarantineFile('c:\windows\temp\init.exe','');
QuarantineFile('C:\WINDOWS\system32\rem.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\vadmulti.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\csrbc01.sys','');
QuarantineFile('Schedule.sys','');
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
QuarantineFile('C:\Program Files\DynDNS Updater\DynUpSvc.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winbh51.sys','');
QuarantineFile('C:\WINDOWS\system32\syssrv.sys','');
QuarantineFile('C:\WINDOWS\Temp\6vLR2ZLP.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\blackbox\plugins\bbleanskin\BBLEANSKINENG.DLL','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\Temp\6vLR2ZLP.sys');
DeleteFile('C:\WINDOWS\system32\syssrv.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winbh51.sys');
DeleteFile('C:\WINDOWS\ctfmon.exe');
DeleteFile('Schedule.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('c:\windows\temp\init.exe');
DeleteFile('C:\Documents and Settings\FTP Cracker.exe');
DeleteFile('C:\xoblite\Brutus FTP Cracker.exe');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
DeleteService('Winbh51');
DeleteService('Schedule');
DeleteService('LPTRDCsrv');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winbh51');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('LPTRDCsrv');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\temp\init.exe,
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix), и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) и здесь (http://www.spyware-ru.com/combofix/)

Повторите логи virusinfo_syscheck.zip и hijackthis

All done.

Не стал только recovery console устанавливать.

Карантин отправлен на мыло. Новые логи прикладываю.

Забыл самое основное: Спасибо!

filthy, в карантин ничего интересного не попало, подозрение только на rem.exe ушел в вирлаб, csrbc01.sys физически нет в системе, поэтому можете почистить скриптом
begin
ClearQuarantine;
DeleteFile('C:\WINDOWS\system32\Drivers\csrbc01.sys');
DeleteService('CSRBC01');
ExecuteSysClean;
end.
По логу больше ничего зловредного, лог Combofix не выложили.
Рекомендую удалить Bonjour Service см. здесь (http://virusinfo.info/showthread.php?t=27923) или здесь (http://forum.oszone.net/post-659376.html)
Скачайте Malwarebytes' Anti-Malware (http://www.malwarebytes.org/) - здесь ( http://malwarebytes.gt500.org/mbam-setup.exe), здесь ( http://www.besttechie.net/mbam/mbam-setup.exe), здесь (http://www.malwaresupport.com/mbam/program/mbam-setup.exe) или с сайта (http://www.gt500.org/malwarebytes/mbam.jsp ). Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Обновите Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp)
Скачайте JavaRA (http://raproducts.org/) здесь (http://raproducts.org/click/click.php?id=1) или здесь (http://prm753.bchea.org/javara.zip)
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp) с сайта производителя.
Рекомендую установить WindowsXP SP3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4)
Что с проблемой?

Проблема решена. Сильно рад.

Rem.exe - это Rem Sticky Notes скачаная с softodrom. Уж лет 5 стоит, на нее не грешу.

Combofix - простите, забылось прикрепить. Исправил.

filthy, лог проверки MBAM (http://www.besttechie.net/mbam/mbam-setup.exe) ещё выложите.

Обязателньо. Как только проверюсь.

Лог MBAM прикладываю.

Java будет обновлена позже. Вот SP3 пока сомнения берут )

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
File::
c:\documents and settings\Administrator\Start Menu\Programs\Startup\userinit.exe
c:\windows\pss\userinit.exe
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A7A75E37-429F-BD51-CE31-22AA38BE915D}]


http://virusnet.info/images/CFScript.gif

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение

Выполнено. Откуда снова?

filthy, хмм... имхо, это combofix некорректно отображает записи в реестре, поищите userinit.exe в папке c:\documents and settings\Administrator\Start Menu\Programs\Startup\ скорее всего его нет.
На всякий случай сделайте лог OTViewIt. Скачайте OTViewIt (http://oldtimer.geekstogo.com/OTViewIt.exe) сохраните на рабочий стол и запустите, запакуйте полученные логи OTViewIt.txt и Extras.txt и прикрепите к сообщению.

fixed.

По указаному пути пусто.

filthy, по логам чисто, tcpip.sys скорее всего патченный, в связи с этим в журнале событий есть ошибки.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt (http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe), запустите, нажмите Clean up
Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться браузером Opera или Firefox (http://www.mozilla-europe.org/ru/firefox/) c плагином NoScript (https://addons.mozilla.org/firefox/addon/722) и AdBlock Plus (https://addons.mozilla.org/ru/firefox/addon/1865)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" (http://security-advisory.virusinfo.info) и следовать рекомендациям, описанным в этой книге.
Полезная информация (на англ. яз):
Malware_Prevention:_Prevent_Re-infection (http://wiki.castlecops.com/Malware_Prevention:_Prevent_Re-infection)
Malware Removal and Prevention Overview (http://wiki.castlecops.com/Malware_Removal_and_Prevention:_Overview)