[Pili]

fikus, Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall, отключите в Spybot S&D TeaTimer.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\SSFIEL~1.SCR','');
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('srv.exe','');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\system32\srv.exe');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteService('RasAutoxmlprov');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('RasAutoxmlprov');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,

Повторите логи virusinfo_syscheck.zip и hijackthis

[fikus]

Выполнил 1 и 2 скрипты,отправил письмо с архивом и ссылкой,а вот с 3-им кодом проблема у меня нет этой строки:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,


поэтому hijackthis.exe не стал запускать

[Pili]

Цитата fikus:

нет этой строки: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe, »

Значит AVZ постарался и убрал, пофиксите

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru

Карантина в почте нет, сделайте новые логи.

[fikus]

Повторно выслал архив на указаный п\я,пофиксил код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
Вот логи:

[Pili]

Цитата fikus:

Повторно выслал архив на указаный п\я, »

выслали на user15802[at]mail.ru ? [at] = @
Пока ничего от вас не пришло.
Проблемы ещё наблюдаются?

[fikus]

Цитата Pili:

выслали на user15802[at]mail.ru ? [at] = @ »

упс,пардон "user"- не заметил,сейчас отправляю ещё раз.

проблем пока нет.Спасибо огромное

[Pili]

fikus, twext.exe - TR/Dropper.Gen по Avira и Trojan-Spy.Win32.Zbot.fjk по Касперскому (уже удалили), srv.exe в карантин не попал, ssField Lines.scr - чист.
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Цитата:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику

Рекомендую отключить неиспользуемые службы и настроить безопасность. По службам можно почитать здесь, если что не нужно - скажите, напишу скрипт отключения.
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и для предотвращения заражения в будущем следовать рекомендациям, описанным в этой книге. Чистого вам интернета!