У меня вот перезагружать каждый раз не получается.
Сделал наконец-то логи.
Антивирь(avast) забыл вырубить.

Перед выполнением скрипта отключите все защитное ПО (антивирус, файрвол). Включите брандмауэр Windows

Пофиксить в HiJack
O2 - BHO: (no name) - autorunsdisabled - (no file)
O20 - Winlogon Notify: __c00F73E1 - C:\WINDOWS\

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program Files\ThunMail\testabd.exe','');
QuarantineFile('C:\WINDOWS\system32\svcnost.exe,','');
QuarantineFile('C:\WINDOWS\TEMP\zchMiB.exe','');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run-','Java Syncro');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run-','Java Syncro');
DeleteFile('C:\WINDOWS\system32\svcnost.exe,');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon-','System');
DeleteFile('c:\program Files\ThunMail\testabd.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','svc');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','svc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. Компьютер перезагрузится.

Выполнить скрипт в AVZ.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Выполните дополнительно
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Письмо от Касперского(newvirus@kaspersky.com)

Hello,

No malicious software was found in the attached file.

>
>
--
Best regards, Sergey Prokudin
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.
_________________________________________________________

Лог от GMER.

roksi, Сохраните текст ниже в файл cleanup.bat, в ту же папку, где находится 5q6jjzbe.exe - случайное имя (gmer)
5q6jjzbe.exe -del service qfjpnb
5q6jjzbe.exe -del file "C:\WINDOWS\system32\zfyspqu.dll"
5q6jjzbe.exe -del file "C:\WINDOWS\system32\qmgr.dll"
5q6jjzbe.exe -del reg "HKLM\SYSTEM\controlset001\Services\qfjpnb"
5q6jjzbe.exe -del reg "HKLM\SYSTEM\controlset004\Services\qfjpnb"
5q6jjzbe.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qfjpnb"
5q6jjzbe.exe -del reg "HKLM\SYSTEM\controlset006\Services\qfjpnb"
5q6jjzbe.exe -rebootИ запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

+ к Drongo

Обычные логи тоже новые сделайте

При запуске батника вылетело что толи qfjpnb толи zfyspqu.dll не найден :( не успел посмотреть.
Ещё комп захотел диск ХР, вроде как системный файл удалился. Комп перезагрузился, делаю новые логи.

Вроде как ничё не нашло, но при попытке включить BITS - кричит Ошибка 5: Отказано в доступе.
В реестре нашёл это:

Раздел: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS
Название класса: <Класс отсутствует>
Последнее время записи: среда 04.11.2009 - 0:45 Elmar
Параметр 0
Название: StateIndex
Тип: REG_DWORD
Значение: 0x1
Параметр 1
Название: ServiceDLL
Тип: REG_SZ
Значение: C:\WINDOWS\system32\BITS\qmgr.dll

5q6jjzbe.exe -del file "C:\WINDOWS\system32\qmgr.dll" удалялся с папки system32
а в реестре он ещё и в папке system32\BITS (хотя папки BITS в system32 нету)


Логи (AVZ, HijackThis, gmer)

Попробуйте зайти на сайт обновления и загрузить по новой службу BITS (Обновление для фоновой интеллектуальной службы передачи )
Методы устранения неполадок со службой BITS - http://support.microsoft.com/kb/842309/ru

или

Вставьте диск с дистрибутивом windows в dvd-привод, выполните: пуск->выполнить-> наберите в строке sfc /scannow дождитесь окончания проверки и перезагрузите компьютер.

Вам также необходимо обновить вашу Windows XP SP2 до SP3 . Загрузив сервис пак SP3 с центра загрузки Майкрософт . Сервис-пак SP3 (http://www.microsoft.com/downloads/results.aspx?pocId=7&freetext=SP3&DisplayLang=ru)

можно загрузить и образ диска с SP3 (http://www.microsoft.com/downloads/details.aspx?FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e&DisplayLang=ru)

Вставьте диск с дистрибутивом windows в dvd-привод, выполните: пуск->выполнить-> наберите в строке sfc /scannow дождитесь окончания проверки и перезагрузите компьютер »

Я изменил пуск - выполнить, на новый, тот что с заметкой. При проверке системных файлов изменится он?
Ибо можно их диска разархивировать только файлы которые нужны для BITS?

Можете найти нужные файлы на аналогичной системе СП2 и скопировать к себе.

Ибо можно их диска разархивировать только файлы которые нужны для BITS »
Насколько я помню - когда обновлял систему через апдейт(о-о-очень давно) то сначала обновлялась BITS . Через веб - апдейт

Получилось!!!
BITS - кричит Ошибка 5: Отказано в доступе.
Решил тем что HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS добавил сюда SYSTEM с полными правами.
И всё пошло сразу.

Решил тем что... »

Молодец!

Всем большое спасибо за помощь.
Но, вышла ещё одна проблема, появился файл qmgr.dll.tmp (не удаляется)
Антивирь каждые 3 секунды проверяет его, и комп каждые 10 секунд как бы виснет с малым интервалом.

появился файл qmgr.dll.tmp (не удаляется) »Попробуйте удалить его программой - Unlocker (http://soft.oszone.net/program/1773/)

C:\WINDOWS\system32\SetupNT.sys проверьте на virustotal (http://www.virustotal.com/ru) Ссылку на результат проверки сообщите

Выполните скрипт в AVZ
var j:integer; NumStr, Str:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
Str:= 'Текущее значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS - ' + RegKeyStrParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath');
AddToLog(Str);
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
Str:= 'Текущее значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv - ' + RegKeyStrParamRead('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath');
AddToLog(Str);
end;
end;
SaveLog('c:\updates.log');
end.c:\updates.log прикрепите к сообщению

Сделал копию файлов(взял их с такой же ХР но только с другого компа и вставил себе), их постоянно начал проверять антивирь и естественно зависая:
Bitsprx2.dll
Bitsprx3.dll
Qmgr.dll
Qmgrprxy.dll
Временно занёс их в "белый" список чтоб не проверял антивирус. Комп нормально начал работать.



C:\WINDOWS\system32\SetupNT.sys проверьте на virustotal Ссылку на результат проверки сообщите »

MD5: 549ea830a5d9edd9cd14311126c2849b
First received: 2007.06.28 11:07:22 UTC
Дата: 2009.11.03 15:14:44 UTC [>4D]
Результаты: 0/40
Permalink: analisis/86dc275015fc44f1bf0538a2ccadd38aa510145e1d96f3673ef6f4ba85f8c3ce-1257261284

Выполните скрипт в AVZ »

BITS включается/выключается нормально.

А если включить Автом. Обнов. - выходит Ошибка 2: Не найден указанный файл.

Строки в порядке

Какой файл не находит?

Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1

Получилось!!!
BITS - кричит Ошибка 5: Отказано в доступе.
Решил тем что HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS добавил сюда SYSTEM с полными правами.
И всё пошло сразу. »
Может тоже самое с Авт. Обн. - где-то в реестре не правильный путь к файлу идёт?

Готовлю лог Malwarebytes Antimalware.

Выложил скрины событий.

Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1 »