[Pili]

Ок. Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
1. Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2.Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению

[twisted1]

вот что пишет эта прога:

[Pili]

Хмм.. странно, how-to-use-combofix - тут написано "If you are using Windows Vista, and receive UAC prompt asking if you would like to continue running the program, you should press the Continue button." А на G2GO есть множество постов, где Combofix работает под ОС Vista, напр. тут
Скачайте Avenger2, распакуйте Avenger.zip и запустите, скопирйте текст ниже (ctrl+c) и вставьте в окно Avenger "Input script here:"

Код:

Drivers to delete:
anwsneki

Files to delete:
C:\Windows\system32\drivers\anwsneki.sys

Нажмите кн. "Execute" После перезагрузки прикрепите C:\avenger.txt к сообщению.

[twisted1]

каспер ругается на эту програмку, вот что произошло когда я сделал скрипт:

http://i37.tinypic.com/9thkif.png



лог прога не делает почемуто, делал скрипт два раза, каспер два раза показывал этот месседж, и три раза я удалял этот файл, на который он ругался.

Цитата Pili:

работает под ОС Vista, напр. »

там же написано что только под 32 прога работает, а у меня 64.

[Pili]

Попробуйте запустить Avenger и не вставляя скрипт нажать "Execute", если в этом случае антивирус будет ругаться, то это связано с Avenger, отключите временно антивирус и повторите скрипт, после перезагрузки выложите лог.
Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.
Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Скриншоты можно прикреплять к сообщению как файлы

[twisted1]

Pili, не делает Avenger лога.

[Pili]

twisted1, т.е. если даже не вставлять скрипт и нажать "Execute", всё равно антивирус ругается? Это или фолс на Avenger или Avenger при сканировании доходит до файла, который заражен и тут просыпается Антивирус. В случае, если антивирус не ругается - проверьте запускаете ли Avenger с правами администратора (через прав. кн. мыши, запустить от имени администратора).
Ок, пойдем другим путем.
Скачайте OTMoveIt2 by OldTimer, сохраните на рабочий стол, запустите (в ОС Vista необходимо запускать через прав. кн. мыши от имени администратора)
Временно отключите антивирус. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

[kill explorer]
anwsneki <delete service>
C:\Windows\system32\drivers\anwsneki.sys
purity 
EmptyTemp
[start explorer]

В OTMoveIt2 под панелью "Paste List of Files/Folders to Move" (под желтой панелью) выберите “вставить” и нажмите кнопку “MoveIt!”. Выделите и скопируйте (Ctrl+C) текст из окна под панелью “Results” (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись «deleted on reboot», потребуется перезагрузка. После перезагрузки откройте папку “C:\_OTMoveIt\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Сделайте остальные логи из поста 26 и новый лог RSIT

[twisted1]

Pili, все время забываю запускать от Администратора, этот Avenger не далает лог даже если от администратора прогу юзать и без Каспера лога нету.
вот лог от C:\_OTMoveIt\MovedFiles

Код:

Unable to kill explorer.exe
Service not present: anwsneki.
File/Folder C:\Windows\system32\drivers\anwsneki.sys not found.
< purity  >
< EmptyTemp >
File delete failed. C:\Users\mm2boom\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be deleted on reboot.
File delete failed. C:\Users\mm2boom\AppData\Local\Temp\Low\~DFD43A.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\mm2boom\AppData\Local\Temp\Low\~DFD48A.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\TMP000000498FADAE1521088A21 scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.
Explorer started successfully
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09252008_180136

Files moved on Reboot...
C:\Users\mm2boom\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File C:\Users\mm2boom\AppData\Local\Temp\Low\~DFD43A.tmp not found!
File C:\Users\mm2boom\AppData\Local\Temp\Low\~DFD48A.tmp not found!
File C:\Windows\temp\TMP000000498FADAE1521088A21 not found!

Про Avenger ты уже знаешь, а когда открывал gmer то выскачила какая то ошибка, и после Каспер опять ругался на это (вот скрин):



+ вот логи.

[Pili]

Вы полное сканирование системы с помощью установленного антивируса (с макс. настройками) и с помощью cureit проводили? По каким признакам вы определили, что у вас поселился вирус?
Все aххххххх.SYS это ATAPI IDE Miniport Driver от MS, название после каждой перезагрузки разное.
По логу GSI чисто, как и по логам RSIT, файл, обнаруживаемый антивирусом нигде в логах не упоминается, лог gmer не тот (только по реестру), запустите C:\WINDOWS\gmer_uninstall.cmd, перезагрузитесь и еще раз запустите gmer, сохраните лог, убедитесь, что выбран диск С: и установлены все галочки, кроме "Show all", отключите антивирус и нажмиет "scan", сохраните лог под другим именем, прикрепите логи к сообщению.
Скачайте IceSword, распакуйте и запустите, во вкладках Processes, Kernel Module, Win32 Services, SSDT поочередно нажимайте "LOG" и сохраняйте соответственно с именами proc.log, kernel.log, services.log, ssdt.log, запакуйте логи и прикрепите.
Если в обычном режиме появятся проблемы, можете то же самое сделать в безопасном режиме.
Проверьте систему с помощью Trend Micro™ HouseCall Scan, если предложит установить TrendMicro Java applet - подтвердите, по окончании сканирования в опции "Cleanup" выберите "clean all detected infections automatically", по возможности сохраните лог сканирования, запакуйте и прикрепите к сообщению.
Рекомендую также провериться с помощью ESET Online Scanner, в опциях поставьте "Remove found threats" и "Scan unwanted applications ", по оконяании сканирования будет создан лог C:\Program Files\EsetOnlineScanner\log.txt, запакуйте и прикрепите его к сообщению

[twisted1]

Каспером вчера ночью делал полное сканирование он ничего не нашел (но до этого делал тоже, вродебы пару раз чего то находил), cureit тоже сканировал (когда создал топик), лог прикреплю с остальными.

Цитата Pili:

название после каждой перезагрузки разное »

и что это значит, то что все время разное??

Цитата Pili:

По каким признакам вы определили, что у вас поселился вирус? »

антивирусник пару раз ругался на что то + в нете кто то писал что Касперский не справляется, решил провериться.

Цитата Pili:

По логу GSI чисто, как и по логам RSIT »

Но, cureit нашел 12 - 13 файлов, правда из них были половина Setup-ов, один вирус (гаджет от сайдбара (возможно)), дальше не помню. И еще одна прога которую ты давал, Malwarebytes' Anti-Malware - эта вроде, нашла пять файлов.

Gmer в этот раз после сканирования вообще не дал сохранять логов, незнаю что такое, перед запуском проги всегда появляется ошибка:



IceSword тоже не открывается, пару раз перезагружал кАмп, неполучается, вот скрин:



В безопастном режиме та же ошибка.
Trend Micro не заходит даже на страницу сканирования, после того как установил Яву два часа ждал, так и не загрузилось на страничку сканирования.
ESET Online после загрузки ActiveX ничего не делает, страничка не грузится.