Здравствуйте!
Заранее извиняюсь за возможную безграмотность: я совсем-совсем непродвинутый пользователь, возле компьютера почти неандерталец. Да еще писать почти невозможно: постоянно выскакивает окошко "explorer.exe вызвало ошибку и будет закрыто. Необходимо перезапустить программу. Создан журнал ошибок". На сайте microsoft.com в разделе Поддержка Windows 2000 (а у меня на компьютере Windows 2000 Professional) именно про такое окошко написано, что оно появляется тогда, когда установлен Internet Explorer 6, а базовое программное обеспечение более старое и надо удалить Internet Explorer 6 и поменять ее на более старую версию. У меня для выхода в Интернет установлена только Opera, соответственно выполнить рекомендованные действия в моем случае просто невозможно, к тому же эта ошибка появилась только в мае, а раньше я работала на тех же программах нормально. Но дело не только в назойливо появляющемся окошке, а также в том, что возникают сбои в работе электронной почты (то не получается прикрепить к письму файл из Word, то не открывается как положено полученнный по почте прикрепленный файл, сделанный в Exel, т.е. не открываются все страницы и нет даже ссылки на страницы, то при попытке зарегистрироваться на Вашем сайте мой адрес электронной почты распознавался как неверный и никак не удавалось связаться с Администрацией сайта по обозначенным на сайте путям и в итоге пришлось зарегистрироваться с новым ником), поначалу все выходила ссылка на неполадки Рабочего стола, потом и она перестала появляться, а Рабочий стол утерял красивую заставку.
По совету подруги (ник на Вашем сайте TINA) попыталась проделать все процедуры, которые описаны в теме "Вам нужна помощь? Нам нужны Ваши логи..." Скачала Curelt и запустила: он нашел 8 зараженных объектов, но нормальная работа компьютера не возобновилась. При попытке сделать Очистку временных файлов на лиске С очистка просто не происходила, т.е. не было даже намека на какие-то производимые действия, диск D хотя бы просканировался. Сторонняя утилита ATF Cleaner загрузилась и работала. AVP Tool сначала вообще не загружался, а потом не установился полностью и запустить автоматическое сканирование не удается, при загрузке появляется окошко " Runtime Error (at 65:990) could not call proc" , а при попытке запустить эту утилиту через Startup внутри скачанного файла вылезло окошко "startup.exe вызвало ошибку и будет закрыто. Необходимо перезапустить программу". AVZ и HijackThis тоже полностью не загружались, например, AVZ, как я поняла, загружается не полностью, т.к. при попытке обновления выдает "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip c http://www.z-oleg.com/secur/avz_up/[21,00000002], а не обновляясь, она, выполняя скрипты, не формирует необходимых файлов. AVZ и HejackThis для формирования требуемых логов использовала те, которые прислала мне по почте TINA, полностью ею обновленные и "подготовленные к употреблению".
Вот что из этого получилось.
Сейчас постараюсь прикрепить.
Еще раз извиняюсь за возможные неграмотные фрагменты изложения.
Подскажите мне пожалуйста мои дальнейшие действия по приведению компьютера в здоровое состояние.
Прикрепить пока не удается. Сейчас попробую еще

Кажется, один прикрепился

Где логи AVZ virusinfo_syscure.zip и virusinfo_syscheck.zip?

Кажется удалось. Не знаю, правильно ли сделала

Serka!, Привет. :)

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\recycler\s-1-5-21-4800971509-6303548437-026769309-2893\syscr.exe','');
QuarantineFile('c:\winnt\system32\infocard.exe','');
QuarantineFile('c:\winnt\system32\78.exe','');
DeleteFile('c:\winnt\system32\78.exe');
QuarantineFile('c:\winnt\system32\14.exe','');
DeleteFile('c:\winnt\system32\14.exe');
QuarantineFile('c:\winnt\system32\41.exe','');
QuarantineFile('C:\WINNT\System32\x','');
DeleteFile('C:\WINNT\System32\x');
DeleteFile('c:\winnt\system32\41.exe');
DeleteFile('c:\recycler\s-1-5-21-4800971509-6303548437-026769309-2893\syscr.exe');
DeleteFile('c:\winnt\system32\infocard.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Framework module library');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Framework module library');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


После чего выполните этот скрипт.

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExists('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExists('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

Спасибо Вам огромное!

Только я не знаю, получится ли у меня выполнить скрипты, которые самой вставлять надо. Попробую...

Выполнила все скрипты, которые велел Drongo. Написала запрос в лабораторию Касперского. Снова выполнила 3 и 2 скрипты AVZ , а также HejackThis

В логах ничего не заметил, а в папке AVZ у вас есть такой лог - fystemRoot.log - найдите и прикрепите его. Да, кстати, а что с проблемой?

Копирую ответ Лаборатории Касперского:


Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

14.exe,
41.exe,
78.exe

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru

Попробую найти файл fystemRoot.log

Проблема ведет себя непредсказуемо: позавчера окошко появлялось постоянно, сегодня пока не появлялось. AVZ так и не обновляет. Сегодня Eset Nod32 выдал сообщение, что один из файлов в папке AVZ4 содержит подозрительный код. К сожалению, я не записала какой и направила этот файл на анализ. Но развернутого описания поведения проблемы дать не могу, т.к. стараюсь до полного излечения компьютер по возможности не беспокоить и лезу в интернет только в случае крайней необходимости.

Попробую найти файл fystemRoot.log »Хорошо, будем ждать.

Файл FystemRoot у меня оказался пустой, когда его раскрываешь, чистый лист, когда подсвечиваешь - 0 байт.Возможно именно его и забраковал Eset Nod32, но я не уверена. Теперь жалею, что не записала.
А окошко с напоминанием об ошибке опять появляется, и довольно навязчиво...

Serka!, Тогда давайте пройдёмся этими утилитами.

• Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

• Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/soft/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Combofix поработал. Попробую прикрепить файл

Serka!, Хорошо проработала утилита, как самочувствие компьютера после выполнения утилиты?

Прикрепляю файл, сформировавшийся RSIT. Он получился не сразу, т.к. в первый раз компьютер завис во время выполнения Listing of event logs или как-то так было написано в появившемся окошке с описанием процесса. Пришлось перезагрузить компьютер и снова запустить RSIT. Во время работы RSIT интернет был отключен, а Eset nod32 не отключала, т.к. Вы не написали это сделать. Если надо было отключить, то повторю как надо

После выполнения утилиты Combofix на рабочем столе появилась красивая картинка. Муж сказал, что эта та, которую он пытался последней установить после появления "беспорядка" на Рабочем столе, но она не устанавливалась, как впрочем и все остальные, потому что компьютер уже был серьезно болен.
Окошко про ошибку пока не появляется, но эта мина замедленного действия не сегда проявлялась сразу, поэтому я больше ни на какие сайты сегодня не заходила, кроме Вашего и не делала ничего, кроме того, что Вы указывали.
Жду дальнейших указаний.

Прикрепляю второй файл, сформировавшийся RSIT.

Serka!, Вот этот скрипт выполните и вроде всё.

• Скачайте OTM by OldTimer (http://www.virusnet.info/forum/downloads.php?do=file&id=21) и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINNT\tasks\At1.job

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Пока смотрела другие темы на Вашем сайте, опять появилось злополучное окно с ошибкой и опять повторяется...
Пробую последние скрипты

Пока не удается даже скачать OTM by OldTimer. Вот, что выходит Warning: copy(./downloads/82068-OTM.zip) [function.copy]: failed to open stream: No such file or directory in [path]/downloads.php on line 704
ERROR: File not found.
Может я что-то делаю не так.
Попробую еще.