Вообщем, после небольшого перерыва от недавней проверки, система начала снова вести сея странно.
При загрузке винды, как появилось сообщение "Добро пожаловать" по середине вылезает пустое окно с какими то иероглифами. + Интернет стал тормозить, но это м у провайдера, хотя не знаю.
Вообщем, подготовил логи.

также, прошу убрать 30 секнудное ожидание в boot.ini

Временно отключите:
Антивирус/Файерволл

• Нужно Пофиксить (http://forum.oszone.net/post-1430293-2.html) в эти строки в HiJackThis.

O4 - .DEFAULT User Startup: Game-Edition.Ru.bat (User 'Default user')


• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
QuarantineFile('C:\WINDOWS\iun6002.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
QuarantineFile('C:\WINDOWS\system32\mrt.exe','');
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

что у вас в папках
C:\zhltt
C:\54d0e995dcd96e06e105eedcbe
C:\0b2a3acc6a1dcf22a5afbaf4

все выполнил. Отправил quarantine через форму.
Логи прикрепил.

В папке zhltt компиляторы, необходимые для работы одной программы.
В C:\54d0e995dcd96e06e105eedcbe лежат файлы с названием WapRes.1049.dll , WapUI.dll
В C:\0b2a3acc6a1dcf22a5afbaf4 лежит WapUI.dll

upd: quarantine.zip через форму отправляется слишком долго. до сих пор пишет что загружается.

не могу отправить карантин через форму. жду уже который час, он не отправляет.

Отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

отправил на мыло.

Cохраните следующий текст с расширением reg и запустите полученный файл.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"legalnoticecaption"=""
"legalnoticetext"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""

Повторите сканирование в MBAM и удалите:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.

Подготовьте лог OTL by OldTimer (http://safezone.cc/forum/showpost.php?p=64662&postcount=1)

Все выполнил, логи прикрепил.
По своей глупости, удалил все найденные вирусы в MBAM >_<

ну что?

Запустите повторно OTL by OldTimer (http://oldtimer.geekstogo.com/OTL.exe)

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

В окно Custom Scans/Fixes скопируйте следующую информацию:

:processes

:OTL
IE - HKU\S-1-5-21-57989841-1958367476-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=111434&babsrc=HP_ss&mntrId=c419c332000000000000001b38d05cc3
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found
MsConfig - StartUpFolder: C:^Documents and Settings^All Users.WINDOWS^Главное меню^Программы^Автозагрузка^Tabs.lnk - - File not found
[2012.04.29 17:54:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Администратор\Application Data\BabylonToolbar
[2012.04.24 21:38:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Администратор\Local Settings\Application Data\Babylon
[2012.04.24 21:37:59 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Администратор\Application Data\Babylon
[2012.04.24 21:37:59 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS\Application Data\Babylon
[2012.04.24 21:37:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users.WINDOWS\Application Data\Babylon
[2012.04.24 21:37:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Администратор\Application Data\Babylon
[2012.04.29 17:54:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Администратор\Application Data\BabylonToolbar

:Commands
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


Как самочувствие системы?

========== PROCESSES ==========
========== OTL ==========
HKU\S-1-5-21-57989841-1958367476-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{98889811-442D-49dd-99D7-DC866BE87DBC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpFolder\C:^Documents and Settings^All Users.WINDOWS^Главное меню^Программы^Автозагрузка^Tabs.lnk\ deleted successfully.
C:\WINDOWS\pss\Tabs.lnkCommon Startup moved successfully.
C:\Documents and Settings\Администратор\Application Data\BabylonToolbar\BabylonToolbar folder moved successfully.
C:\Documents and Settings\Администратор\Local Settings\Application Data\Babylon\Setup\HtmlScreens folder moved successfully.
C:\Documents and Settings\Администратор\Local Settings\Application Data\Babylon\Setup folder moved successfully.
C:\Documents and Settings\Администратор\Local Settings\Application Data\Babylon folder moved successfully.
C:\Documents and Settings\Администратор\Application Data\Babylon folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\Babylon folder moved successfully.
Folder C:\Documents and Settings\All Users.WINDOWS\Application Data\Babylon\ not found.
Folder C:\Documents and Settings\Администратор\Application Data\Babylon\ not found.
C:\Documents and Settings\Администратор\Application Data\BabylonToolbar folder moved successfully.
========== COMMANDS ==========

[EMPTYJAVA]

User: All Users

User: All Users.WINDOWS

User: Default User

User: Default User.WINDOWS

User: LocalService

User: NetworkService

User: Администратор
->Java cache emptied: 577830 bytes

Total Java Files Cleaned = 1,00 mb


[EMPTYFLASH]

User: All Users

User: All Users.WINDOWS

User: Default User

User: Default User.WINDOWS
->Flash cache emptied: 56475 bytes

User: LocalService

User: NetworkService

User: Администратор
->Flash cache emptied: 29530 bytes

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.42.2 log created on 05052012_132927
Вроде все работает стабильно, + widnows загружаться начал немного быстрее, что хорошо =)
Мне бы еще пофиксить 30 секундное ожидание при включении пк. Там надо пользователя выбирать, хотя раньше такого не было.
+ я не пойму почему у меня в Google Chrome главная страница всегда mail.ru даже если я изменяю стартовую и главную страницу на google.

Мне бы еще пофиксить 30 секундное ожидание при включении пк. »
Свойства-- Мой компьютер - вкладка Дополнительно - кнопка Загрузка и восстановление - и выберите нужный предел ожидания - применить и ОК

спасибо =)

Google Chrome главная страница всегда mail.ru »

Деинсталлируйте Guard.Mail.ru

Подготовьте
такой лог (http://safezone.cc/forum/showthread.php?t=17023)

прикрепил.

Ок. Прекрасно.

Снова запустите OTL (которой мы ранее пользовались) и нажмите кнопку Clean Up.

Ознакомьтесь с этими рекомендациями (http://forum.oszone.net/post-1838507-9.html)

Сделано.
А как включить восстановление системы? В Пуск- Программы – Стандартные – Служебные ее нету.

В меню Пуск щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Свойства.
В диалоговом окне Свойства системы откройте вкладку Восстановление системы.

ее нет же =]
http://s019.radikal.ru/i627/1205/79/fb2476143e2b.jpg (http://www.radikal.ru)

Почитайте тут http://forum.ixbt.com/topic.cgi?id=22:67796