[Pili]

chups007, Здравствуйте.
ASPMonitor (C:\Program Files\ASPMonitor\) - деинсталлируйте.

Цитата chups007:

Антивирус ,кстати,не стоит ,стоит фаервол только »

Цитата chups007:

Др.Вэб у меня давно уже не может ничего проверить ,выдает ошибку »

В системе есть NOD32(видимо portable), Panda security, Agnitum outpost, рекомендую оставить один антивирус, остальные (в т.ч. остатки, напр. NOD32) удалить, outpost также можно временно деинсталлировать, чтобы не мешал. DrWeb не установится, пока есть Panda, доп. см. Чистка системы после некорректного удаления антивируса и Инструкции и утилиты для полного удаления остатков антивирусных ...
Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам. Проверьте задания планировщика задач и удалите неизвестные задания
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('tqhbadyu', 4);
 SetServiceStart('xpeap', 4);
 QuarantineFile('c:\documents and settings\networkservice.nt authority\application data\frbwga.dll','');
 QuarantineFile('c:\program files\movie maker\frbwga.dll','');
 QuarantineFile('c:\windows\system32\frbwga.dll','');
 QuarantineFile('c:\nhWKPuLV.exe','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('C:\Program Files\ASPMonitor\hprog.dll','');
 QuarantineFile('C:\Program Files\ASPMonitor\hk.dll','');
 QuarantineFile('C:\Program Files\ASPMonitor\ASMonitor.exe','');
 DeleteFile('C:\Program Files\ASPMonitor\ASMonitor.exe');
 DeleteFile('C:\Program Files\ASPMonitor\hk.dll');
 DeleteFile('C:\Program Files\ASPMonitor\hprog.dll');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('c:\nhWKPuLV.exe');
 DeleteFile('c:\documents and settings\networkservice.nt authority\application data\frbwga.dll');
 DeleteFile('c:\program files\movie maker\frbwga.dll');
 DeleteFile('c:\windows\system32\frbwga.dll');
 DeleteService('tqhbadyu');
 DeleteService('xpeap');
DeleteFileMask('C:\Program Files\ASPMonitor\', '*.*', true);
DeleteDirectory('C:\Program Files\ASPMonitor');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteFile('C:\Documents and Settings\NetworkService.NT AUTHORITY\Application Data\frbwga.dll');
 BC_DeleteSvc('tqhbadyu');
 BC_DeleteSvc('xpeap');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Msn] c:\nhWKPuLV.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MsnMessendger] c:\nhWKPuLV.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Msn] c:\nhWKPuLV.exe (User 'Default user')
O24 - Desktop Component 0: (no name) - http://lines.planetadruzey.ru/136802.png

Вероятно система заражена червем kido (файл frbwga.dll удаляется скриптом), проверьте систему с помощью KidoKiller_v3.3.zip

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis