Касперский пишет сразу после старта компьютера следующее:
"Файл содержит троянскую программу Trojan-Spy.Win32.Goldun.nj, лечение невозможно, удалить?"
Я удаляю, при следующем старте все повторяется. По ссылке на Viruslist про максимально близкий вирус читаю: "Удалите из системного реестра установочный ключ бэкдора:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winprint]" Как это сделать?
Ad-aware тоже не помог, что можно предпринять? Спасибо.

Start, ausfuhren, вписываешь regedit, HKEY_LOKAL_MACHINE и дальше по списку.
HijackThis-ом можешь ещё провериться.
Посмотри в автостарт

В автостарте - ничего.
Через ausführen дошел до Notify, но последнего файла нет, HijackThis-ом прверил, вроде ничего подозрительного, или я не увидел.

Скорее всего не увидел.
Касперский же пишет где наш╦л трояна ( к примеру C:\WINDOWS\SYSTEM32\REGE2USB.DLL.) заходи в защищ╦ный режим и удаляй руками.

Я удалял и руками и Касперским, пишет что все в порядке, но после перезагрузки троян снова на прежнем месте. Наверно, где-то сидит другая зараза, которая при запуске заново инсталирует трояна, возможно такое?

Возможно.
Покажи лог HijackThis и autostart.

тут

и тут

Для начала http://recht.germany.ru/Computers.db/items/17.html?op=
Автостарт (start, auführen вписываешь - msconfig, systemstart)
Лог HijackThis копируй прям сюда, в ответ.

тут ссылка, которая поможет использовать фотоаппарат по своему прямому назначанию:
http://recht.germany.ru/Computers.db/items/17.html
а лог выкладывайте в текстовом виде: или скопировав прямо сюда, в сообщение, или прикрепив как файл .txt, предварительно зархивировав в .zip или .rar

н-да.., век живи - век учись. спасибо.
ausführen сделал, попросил перезагрузку, что дальше не очень понял.
Logfile of HijackThis v1.99.1
Scan saved at 11:42:57, on 23.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\Programme\TomTom HOME\TomTomHOME.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Serega\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rambler.ru/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /M "Stylus DX3800" /EF "HKCU"
O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ADOBE READER SPEED LAUNCH.LNK = ?
O4 - Global Startup: MICROSOFT OFFICE.LNK = ?
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Закачать при помощи FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Настройка перевода - C:\Programme\X-Translator DIAMOND\PROMTIE4\options.htm
O8 - Extra context menu item: Перевести - C:\Programme\X-Translator DIAMOND\PROMTIE4\translat.htm
O8 - Extra context menu item: Перевести страницу - C:\Programme\X-Translator DIAMOND\PROMTIE4\page.htm
O9 - Extra button: Веб-Антивирус - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Перевод - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\X-Translator DIAMOND\PROMTIE4\promtie5.htm
O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\X-Translator DIAMOND\PROMTIE4\promtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\X-Translator DIAMOND\PROMTIE4\options.htm
O9 - Extra 'Tools' menuitem: Настройка параметров перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\X-Translator DIAMOND\PROMTIE4\options.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Перевод - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\X-Translator DIAMOND\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra 'Tools' menuitem: Перевести - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\X-Translator DIAMOND\PROMTIE4\promtie5.htm (HKCU)
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\X-Translator DIAMOND\PROMTIE4\options.htm (HKCU)
O9 - Extra 'Tools' menuitem: Настройка перевода - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\X-Translator DIAMOND\PROMTIE4\options.htm (HKCU)
O16 - DPF: {7527E129-A524-434A-A337-8C19F6F25C91} (AldiSuedActiveFormX Element) - https://shop.aldisued-fotos-druck.de/shop/activex/aldi_sued_express_upload.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WMP54Gv4SVC - Unknown owner - C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe" "WMP54Gv4.exe (file missing)

Лог вроде чистый.
Отключи восстановление системы, зайди в абгезихерте модус и пройдись касперским, удали трояна, напиши где именно он находится?

троян был здесь C:\DOKUME~1\Serega\LOKALE~1\Temp\{ea61ce20-860c-11d3-a05d-00104b6909d0}.exe
все равно надо в абгезихерте модусе загрузиться и отменить восстановление? Если - да, то пожалуйста поподробнее, как это сделать?

Это Rootkit его не так просто удалить
http://forum.kaspersky.com/lofiversion/index.php/t22070.html

Отключил восстановление системы, зашел в абгезихерте модус, Касперским проверил, ничего не нашел. После перезагрузки все повторилось.

спасибо, почитал. У меня Касперский 6.0, в общем проблемка не разрешилась..

А следующий шаг, который у Каспера советуют, делал?
2. Удалите следующие файлы:
%System%\eps32sys.sys
%System%\winprint.dll
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=109357

да, пытался сделать, так же как и первый шаг, но этих файлов у меня нет. Потому как Касперский предлагает лечить Win32.Goldun.gu , а находит у меня Win32.Goldun.nj . В общем принцип, что надо сделать, мне понятен, но как найти и удалить аналогичные файлы в этой версии вируса?

Win32.Goldun.gu это, очевидно, тот же Win32.Goldun.nj, просто у Каспера все они описаны только с окончанием .gu.
Перед тем как пытался их найти, делал все системные файлы видимыми?

да, делал видимыми, искал так же без окончаний dll, sys, так же ничего не было в системном риеестре
("Удалите из системного реестра установочный ключ бэкдора:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winprint]")
нет файла winprint , см. скрин

Попробуйте все это сделать в безопасном режиме (Abgesicherte modus) . Попрятались гады :).

делал. Результат прежний.

если каспер куплен в магазине, то можно напрячь его суппорт, они обязаны помочь.
потому что других идей у меня нет. посмотрел на его форуме: http://forum.kaspersky.com/index.php?s=f5738ee0abc539c1831aaab72494bd57&showforu... в разделе Борьба с вирусами, там часто рекомендуют пройтись дополнительной утилитой от Данилова: http://download.drweb.com/drweb+cureit/ Но помогает ли она, я без понятия.

Утилиту попробовал - не помогло, а с Каспером совсем весело становится, каждые несколько минут находит этот и парочку других вирусов, но уже в других папках. Пожалуй, потороплюсь с сохранением важных файлов, а то дело полным форматированием пахнет..

Ну зачем сразу так ? Мой совет - пройдитесь по разделу антивирусом без старта системы . Используя какой - нибуть дистр линукса в виде ляйв сиди . Оптимальный вариант - кноппицыллин (обновляет базы антивирусов в т.ч. и касперыча) или Knoppix в нем тоже есть антивир - ClamAV . Или есть что-то типа Hiren's BootCD 8.7 с виндовыми программами . На нем тоже есть F-Prot Antivirus 3.16f или McAfee Antivirus 4.40 (3012) , к тому же он будет для Вас привычнее - т.к. виндоюзерский . Может быть удастся расправиться с Вашими гостями пока они спят.
Почему всегда один и тот же вариант - форматирование раздела с виндой ? Времени ведь жалко ....

ну почемуж сразу, не сразу, пару дней уже все вместе ищем гада
Я еще поборюсь, конечно, но воизбежании непредвиденных обстоятельств, все же кое-что сохраню.

Так если Rootkit,не пробывал какие нибудь проги,для "вычисления" этой бяки? Это только как пример:http://www.wintotal.de/softw/index.php?rb=31&id=2670

попробовал. Результат - как я и ожидал. Каспер находил одного и того же трояна в разное время, в трех различных местах, и указывал на различные файлы.

Шестой Каспер тоже под руткитов заточен. Только у него все модули в одной программе, а та програмуля делает только это, судя по названию.
Можно ещё отослать Касперу эту бяку, у него есть адрес для таких вещей, там, по-моему, не играет роли, куплена лицензия или нет. Только вопрос что отсылать. Если он не может найти сам файл, то отсылать можно только историю болезни, но тогда они запросят номер лицензии, поскольку это уже суппорт.
Если отсылать им бяку, то лучше это делать в запароленном архиве, не забыв указать пароль. Это я для автора ветки добавил.

может это поможет
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=109357

данке, но это обсудили в самом начале.

Касперу ничего посылать не буду по понятным причинам, в общим спасибо всем кто помочь пытался, потрачу пару часов на устан. виндоуса и драйверов поновой.

Делай как написано
http://virusinfo.info/showthread.php?t=1235