На компьютере-сервере засел вирус [not-a-virus:Server-FTP.Win32.SFH.hp ]

[Vvvyg]

Интересно...
Скачайте AdwCleaner (by Xplode) и сохраните его на рабочем столе. Запустите его (в Windows Vista/7 необходимо запускать по правой кнопке мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в файле C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.

По поводу сбоя в запуске файлов qibin.vbe, ma.vbe - можно цитату из журнала событий?

[tchuiman]

а где этот журнала событий отыскать? в администрировании?

[Vvvyg]

Да, там.
Поищите в AVZ ("Сервис" -> "Поиск данных в реестре") всё, где упоминается qibin.vbe и ma.vbe, по отдельности, поиск для каждого значения, отметьте все ключи, и не удаляя их, экспортируйте ("Создать reg файл с отмеченными ключами"). Затем эти файлы упакуйте в архив и прикрепите к своему следующему сообщению.

[tchuiman]

Сделано,

[Vvvyg]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7 необходимо запускать по правой кнопке мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.

Сделайте лог Gmer.

[tchuiman]

Готово
Покопался в журнале событий, вот что выдает


Тип события: Предупреждение
Источник события: EventSystem
Категория события: (54)
Код события: 4353
Дата: 17.07.2013
Время: 12:10:08
Пользователь: Н/Д
Компьютер: INETSERV
Описание:
Система событий COM+ попыталась запустить событие EventObjectChange::ChangedSubscription, однако получила обратно неверный код возврата. Значение HRESULT: 80040201.


Системе событий COM+ не удалось создать копию подписчика {D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E}. StandardCreateInstance было возвращено значение HRESULT 8007041F.

[Vvvyg]

Неполный лог Gmer получился. Попробуйте так.
Отключите временно антивирус, запустите Gmer. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

* Sections
* IAT/EAT
* Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save).

[tchuiman]

Готово

[Vvvyg]

Что с 2345.com и другими проблемами?

[tchuiman]

все без изменений, к сожалению

[Vvvyg]

Стартовая во всех броузерах появляется?

[tchuiman]

Нет, судя по всему, такая фигня только с эксплорером, в мозилле и хроме такого не повторяется

[Vvvyg]

Есть у меня чувство, что это из-за "Конфигурации усиленной безопасности Internet Explorer ". Попролбуйте её на время отключить и вручную вычистить эту стартовую.

[tchuiman]

Если отключаю конфигурацию (в 2003-м сервере насколько я понимаю это возможно только через панель управления, установка-удаление и далее галочку убираю), то ссылка пропадает сама собой, но стоит установить конфигурацию обратно и перезагрузиться, то ссыль появляется обратно.
Ну и по прежнему выдается "Не удается найти файл сценария ma.vbe и qibin.vbe"

[Vvvyg]

Стартовую найдите и удалите в редакторе реестра.
Что касается ma.vbe и qibin.vbe - что-то не получается найти что-либо связанное с ними... Предупреждение выдаётся периодически, или только при загрузке?

[tchuiman]

Да в том то и дело, что вычищал из реестра, а после перезагрузки системы как будто и не делал этго. все обратно восстанавливается.

Тоже пробовал погуллить по этим файлам и ничего(((( может программные какие-то из установленных уже прог.
Сообщение это выдается только при загрузке.

[Vvvyg]

Сделайте лог OTL by OldTimer как описано здесь.

[tchuiman]

а какой из скриптов выбрать? у меня server 2003 sp2 стоит

[Vvvyg]

Для 32-разрядных систем.

[tchuiman]

Готово