[akok]

Пофиксить в HijackThis следующие строчки

Код:

O4 - S-1-5-18 Startup: CCC.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: CCC.lnk = ? (User 'Default user')

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

[9112]

сделал, вот логи:

[akok]

Обновите java
Знакомые папки?

Цитата:

C:\6 C:\IDE

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

[Pili]

9112, Найдите с помощью AVZ – сервис – поиск файлов на диске или с помощью файлового менеджера, например FAR (если через проводник – включите показ скрытых файлов) и проверьте на http://www.virustotal.com/ или http://virscan.org/ файлы:

Код:

c:\windows\system32\drivers\vd_filedisk.sys
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\wmpns.dll

Результаты проверки выложите в сообщение или дайте на них ссылку.
Если (скорее всего) nmdfgds0.dll окажется зловредом, скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe
:Files
c:\windows\system32\nmdfgds0.dll
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Отключите автозапуск со съемных носителей. Не забудьте выложить логи МВАМ

[Pili]

9112, логи с другой системы перенесены в отдельную тему

[9112]

проблема сохранилась.. обновил логи в первом сообщении. вариант с проблемами железа отсеивается, т.к. проблема есть на четырех машинах.

[Pili]

9112, что с результатами проверки? Где рез-т выполнения скрипта? Новые логи прикладывайте к новым сообщениям.

Скачайте и запустите Online Solutions Autorun Manager (можно использовать версию, не требующую установки), дождитесь пока закончится сканирование и затем нажмите на вторую кнопку в верхнем меню - (кнопка Export). Сохраните отчет в формате .html, заархвируйте и вложите в сообщение.

Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите: Scan All Users, Minimal Output, File Age: 30 Days, поставьте галочку LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Скачайте RootRepeal, распакуйте и запустите. Перейдите на вкладку "Report" и нажмите Scan. Поставьте все галки, а затем на вновь появившемся окне выберите диск С. После окончания исследования системы нажмите на кнопку Save Report, сохраните лог и вложите в сообщение.

[9112]

Цитата Pili:

9112, что с результатами проверки? Где рез-т выполнения скрипта? Новые логи прикладывайте к новым сообщениям. »

проверка ничего не дала, пусто. результаты, какого именно скрипта?

прикладываю новые логи

[Pili]

Цитата 9112:

результаты, какого именно скрипта? »

Пост 5, там только один скрипт. c:\windows\system32\nmdfgds0.dll по virustotal.com чист? т.к. у вас DrWeb, запакуйте файл в архив с паролем virus и отправьте в вирлаб DrWeb (можете дополнительно отправить на newvirus@kaspersky.com), когда придет ответ, сообщите, в тот же архив можете добавить файл C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aujasnkj.sys, если файл не найдете можете удалить сервис пуск - выполнить sc delete aujasnkj
В остальном по логам чисто. Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com