Ок. Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2.Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению

вот что пишет эта прога:


http://i33.tinypic.com/r73ynr.png

Хмм.. странно, how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) - тут написано "If you are using Windows Vista, and receive UAC prompt asking if you would like to continue running the program, you should press the Continue button." А на G2GO есть множество постов, где Combofix работает под ОС Vista, напр. тут (http://www.geekstogo.com/forum/hey-there-t211727.html&view=findpost&p=1333088#entry1333088)
Скачайте Avenger2 (http://swandog46.geekstogo.com/avenger2/download.php), распакуйте Avenger.zip и запустите, скопирйте текст ниже (ctrl+c) и вставьте в окно Avenger "Input script here:"
Drivers to delete:
anwsneki

Files to delete:
C:\Windows\system32\drivers\anwsneki.sys
Нажмите кн. "Execute" После перезагрузки прикрепите C:\avenger.txt к сообщению.

каспер ругается на эту програмку, вот что произошло когда я сделал скрипт:

http://i37.tinypic.com/9thkif.png



лог прога не делает почемуто, делал скрипт два раза, каспер два раза показывал этот месседж, и три раза я удалял этот файл, на который он ругался.
работает под ОС Vista, напр. »
там же написано что только под 32 прога работает, а у меня 64.

Попробуйте запустить Avenger и не вставляя скрипт нажать "Execute", если в этом случае антивирус будет ругаться, то это связано с Avenger, отключите временно антивирус и повторите скрипт, после перезагрузки выложите лог.
Скачайте и запустите GetSystemInfo (GSI) (ftp://ftp.kaspersky.ru/utils/getsysteminfo/GetSystemInfo.exe), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.
Скачайте Gmer (http://www.gmer.net/gmer.zip), запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Скриншоты можно прикреплять к сообщению как файлы

Pili, не делает Avenger лога.

twisted1, т.е. если даже не вставлять скрипт и нажать "Execute", всё равно антивирус ругается? Это или фолс на Avenger или Avenger при сканировании доходит до файла, который заражен и тут просыпается Антивирус. В случае, если антивирус не ругается - проверьте запускаете ли Avenger с правами администратора (через прав. кн. мыши, запустить от имени администратора).
Ок, пойдем другим путем.
Скачайте OTMoveIt2 by OldTimer (http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe), сохраните на рабочий стол, запустите (в ОС Vista необходимо запускать через прав. кн. мыши от имени администратора)
Временно отключите антивирус. Выделите и скопируйте текст ниже (Ctrl+C)
[kill explorer]
anwsneki <delete service>
C:\Windows\system32\drivers\anwsneki.sys
purity
EmptyTemp
[start explorer]
В OTMoveIt2 под панелью "Paste List of Files/Folders to Move" (под желтой панелью) выберите “вставить” и нажмите кнопку “MoveIt!”. Выделите и скопируйте (Ctrl+C) текст из окна под панелью “Results” (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись «deleted on reboot», потребуется перезагрузка. После перезагрузки откройте папку “C:\_OTMoveIt\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Сделайте остальные логи из поста 26 и новый лог RSIT

Pili, все время забываю запускать от Администратора, этот Avenger не далает лог даже если от администратора прогу юзать и без Каспера лога нету.
вот лог от C:\_OTMoveIt\MovedFiles

Unable to kill explorer.exe
Service not present: anwsneki.
File/Folder C:\Windows\system32\drivers\anwsneki.sys not found.
< purity >
< EmptyTemp >
File delete failed. C:\Users\mm2boom\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be deleted on reboot.
File delete failed. C:\Users\mm2boom\AppData\Local\Temp\Low\~DFD43A.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\mm2boom\AppData\Local\Temp\Low\~DFD48A.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\TMP000000498FADAE1521088A21 scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.
Explorer started successfully

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09252008_180136

Files moved on Reboot...
C:\Users\mm2boom\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File C:\Users\mm2boom\AppData\Local\Temp\Low\~DFD43A.tmp not found!
File C:\Users\mm2boom\AppData\Local\Temp\Low\~DFD48A.tmp not found!
File C:\Windows\temp\TMP000000498FADAE1521088A21 not found!

Про Avenger ты уже знаешь, а когда открывал gmer то выскачила какая то ошибка, и после Каспер опять ругался на это (вот скрин):

http://i38.tinypic.com/2cpokgn.png

+ вот логи.

Вы полное сканирование системы с помощью установленного антивируса (с макс. настройками) и с помощью cureit (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) проводили? По каким признакам вы определили, что у вас поселился вирус?
Все aххххххх.SYS это ATAPI IDE Miniport Driver от MS, название после каждой перезагрузки разное.
По логу GSI чисто, как и по логам RSIT, файл, обнаруживаемый антивирусом нигде в логах не упоминается, лог gmer не тот (только по реестру), запустите C:\WINDOWS\gmer_uninstall.cmd, перезагрузитесь и еще раз запустите gmer, сохраните лог, убедитесь, что выбран диск С: и установлены все галочки, кроме "Show all", отключите антивирус и нажмиет "scan", сохраните лог под другим именем, прикрепите логи к сообщению.
Скачайте IceSword (http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip), распакуйте и запустите, во вкладках Processes, Kernel Module, Win32 Services, SSDT поочередно нажимайте "LOG" и сохраняйте соответственно с именами proc.log, kernel.log, services.log, ssdt.log, запакуйте логи и прикрепите.
Если в обычном режиме появятся проблемы, можете то же самое сделать в безопасном режиме.
Проверьте систему с помощью Trend Micro™ HouseCall Scan (http://www.trendmicro.com/hc_intro/default.asp), если предложит установить TrendMicro Java applet - подтвердите, по окончании сканирования в опции "Cleanup" выберите "clean all detected infections automatically", по возможности сохраните лог сканирования, запакуйте и прикрепите к сообщению.
Рекомендую также провериться с помощью ESET Online Scanner (http://www.eset.eu/online-scanner), в опциях поставьте "Remove found threats" и "Scan unwanted applications ", по оконяании сканирования будет создан лог C:\Program Files\EsetOnlineScanner\log.txt, запакуйте и прикрепите его к сообщению

Каспером вчера ночью делал полное сканирование он ничего не нашел (но до этого делал тоже, вродебы пару раз чего то находил), cureit тоже сканировал (когда создал топик), лог прикреплю с остальными.
название после каждой перезагрузки разное »
и что это значит, то что все время разное??
По каким признакам вы определили, что у вас поселился вирус? »
антивирусник пару раз ругался на что то + в нете кто то писал что Касперский не справляется, решил провериться.
По логу GSI чисто, как и по логам RSIT »
Но, cureit нашел 12 - 13 файлов, правда из них были половина Setup-ов, один вирус (гаджет от сайдбара (возможно)), дальше не помню. И еще одна прога которую ты давал, Malwarebytes' Anti-Malware - эта вроде, нашла пять файлов.

Gmer в этот раз после сканирования вообще не дал сохранять логов, незнаю что такое, перед запуском проги всегда появляется ошибка:

http://i37.tinypic.com/t7o4qq.pnghttp://i37.tinypic.com/2qxnuhv.png

IceSword тоже не открывается, пару раз перезагружал кАмп, неполучается, вот скрин:

http://i36.tinypic.com/t6useo.png

В безопастном режиме та же ошибка.
Trend Micro не заходит даже на страницу сканирования, после того как установил Яву два часа ждал, так и не загрузилось на страничку сканирования.
ESET Online после загрузки ActiveX ничего не делает, страничка не грузится.

и что это значит, то что все время разное?? »
значит разные имена axxxxxx.sys , но с подписью MS, т.е. легальные.
Диск G несистемный (д.б. диск С), соответственно по скриншоту gmer видно, что поля серые, а нужные не отмечены.
Утилиты запускали от имени администратора?
антивирусник пару раз ругался на что то »
Это не значит, что пропускал вирусы. DrWeb нашел неактивные зловреды (естественно в логах утилит они не будут отображаться), MBAM нашел только в реестре остатки (мусор) от зловредов. Проблемы какие-то, связанные с вирусами, наблюдаются?
Если утилиты не работают (и выключали антивирус, запускали от администратора), могу еще посоветовать временно деинсталлировать антивирус касперского и поставить Avira Antivir, обновить базы и провериться
System requirements:
Operating system: Windows 2000 (SP 4 recommended) / Windows XP and XP 64 Bit (SP 2 recommended) / Windows Vista 32 Bit and 64 Bit
Скачать Avira AntiVir Personal можно здесь (http://free-av.com/en/download/1/avira_antivir_personal__free_antivirus.html), обновить базы здесь (http://dl.antivir.de/down/vdf/ivdf_fusebundle_nt_en.zip), советую почитать также здесь (http://www.anti-malware.ru/forum/index.php?showtopic=4440&st=40&start=40)

Диск G несистемный (д.б. диск С), соответственно по скриншоту gmer видно, что поля серые, а нужные не отмечены. »
там все диски были отмечены. гмер-ом надо еще сканировать??
могу еще посоветовать временно деинсталлировать антивирус касперского и поставить Avira Antivir, обновить базы и провериться »
сегодня вечером, поставлю Авира.

там все диски были отмечены. гмер-ом надо еще сканировать?? »
Достаточно диска С: и проверьте чтобы все галочки выше от System до Files были отмечены.
Промо акции ещё закончились, можете поставить сразу Avira AntiVir Premium

Pili, Gmer не разрешает выбирать остальные галки, только вот это:

http://i34.tinypic.com/2m803h4.png
http://i37.tinypic.com/t7o4qq.png

сейчас юзаю Avira AntiVir Premium к вечеру будут резалты.

Антивирус Версия Обновление Результат
AhnLab-V3 2008.9.23.1 2008.09.24 -
AntiVir 7.8.1.34 2008.09.24 TR/Crypt.TPM.Gen
Authentium 5.1.0.4 2008.09.23 -
Avast 4.8.1195.0 2008.09.23 -
AVG 8.0.0.161 2008.09.24 -
BitDefender 7.2 2008.09.24 -
CAT-QuickHeal 9.50 2008.09.24 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.09.24 -
DrWeb 4.44.0.09170 2008.09.24 -
eSafe 7.0.17.0 2008.09.23 -
eTrust-Vet 31.6.6103 2008.09.24 -
Ewido 4.0 2008.09.24 -
F-Prot 4.4.4.56 2008.09.23 -
F-Secure 8.0.14332.0 2008.09.24 -
Fortinet 3.113.0.0 2008.09.23 -
GData 19 2008.09.24 -
Ikarus T3.1.1.34.0 2008.09.24 Trojan.Crypt.TPM
K7AntiVirus 7.10.469 2008.09.23 -
Kaspersky 7.0.0.125 2008.09.24 -
McAfee 5390 2008.09.23 -
Microsoft 1.3903 2008.09.24 -
NOD32 3467 2008.09.24 -
Norman 5.80.02 2008.09.23 -
Panda 9.0.0.4 2008.09.23 Suspicious file
PCTools 4.4.2.0 2008.09.23 -
Prevx1 V2 2008.09.24 -
Rising 20.63.22.00 2008.09.24 -
Sophos 4.33.0 2008.09.24 -
Sunbelt 3.1.1666.1 2008.09.24 -
Symantec 10 2008.09.24 -
TheHacker 6.3.0.9.092 2008.09.24 -
TrendMicro 8.700.0.1004 2008.09.24 -
VBA32 3.12.8.5 2008.09.23 -
ViRobot 2008.9.24.1390 2008.09.24 -
VirusBuster 4.5.11.0 2008.09.23 -
Webwasher-Gateway 6.6.2 2008.09.24 Trojan.Crypt.TPM.Gen
Дополнительная информация
File size: 846080 bytes
MD5...: c77a521fca7742df021432610363b10e
SHA1..: b49816baaabc895d56effd964fd0448108b9f2ed
SHA256: 95874867e64ad31d8e2853b13b0f6e0c942fe871fff0633bcf369b50259c74af
SHA512: 31364fbdaa0eca5827da50e2714963ab38ad11177aaac312db246a02759edbd6
2b3bb64ce25e3b26266b35ff5539f8e2416e16979e49ee9f359e63afa9603b20
PEiD..: ASPack v2.12
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x55f001
timedatestamp.....: 0x4821958c (Wed May 07 11:42:04 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0xc5000 0x52600 8.00 173125dd88228b1213436e00b69fbbf7
.rsrc 0xc6000 0xe000 0x600 4.96 2fd45981d0340cf2c02a18fae70f51a0
.idata 0xd4000 0x1000 0x200 2.52 4e0e06d68302e78a98457b2cbbe58fb1
antisf 0xd5000 0x8a000 0x55200 8.00 1485790c7710dcc38c0761d93384d080
antisf 0x15f000 0x2000 0x2000 6.03 b6303badf8f379bd5c83686d557a1ce7
.adata 0x161000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 1 imports )
> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA

( 0 exports )

packers (Kaspersky): ASPack
packers (F-Prot): Aspack


Pili, а вот этот файл можно пользовать?? просто я сейчас в Ведьмака играю, а без него не запустить??

Скорее всего фолс некотрых антивирусов, а что за файл? Отправьте его в архиве с паролем virus на newvirus@kaspersky.com

Скорее всего фолс некотрых антивирусов»
а что это значит??
Pili, вобщем поставил на ночь авиру сканировать, и до сих пор не готово, застряло на сетапе КС1.5, когда ложился было тоже самое, отменил его и удалил сетап, сейчас заного поставил. будем ждать.

от касперского пришло письмо, написано что вредоносный код не обнаружен, можно ли пользовать этот файл??

twisted1, а у тебя какая версия антивируса Касперского стоит? Может новую установишь, тогда и найдет он все. У меня установлен лицензионный KAV 2009. И я ни разу не пожалела о том, что купила. Подумай, может тоже решишь приобрести, я не настаиваю. Просто до того, как я купила сей антивирус, в моей системе был хаос. Много объектов было заражено. Сделала проверку на вирусы, KAV 2009 все обнаружил и вылечил. Я довольна – еще бы, думала уж, придется Windows переустанавливать. Но теперь одной проблемой стало меньше.

у меня итак он стоял, я для профилактики удалил его и поставил Авиру.
MAFY, откуда ты знаешь что твой каспер в твоей системе все находит??, может он пропускает. вот у меня стоял он + другие тоже много чего понаходили.
т.ч. чем больше разнообразие тем выше шанс чистоты системы.

может он пропускает. вот у меня стоял он + другие тоже много чего понаходили. »
Если каспера не настроить- можно много чего находить в том числе и в кряках которые у вас есть, так же будет каспер ругаться на игры (обзывать их кейлогером или троянецем ) или на Cureit .:)

т.ч. чем больше разнообразие тем выше шанс чистоты системы. »
Только в разумных пределах. Мания чистоты к добру не приведёт.

twisted1, Avira Antivir нашел зловреды, но тоже неактивные (в архивах, уст. файлах, кегенах и т.д.)
вредоносный код не обнаружен, можно ли пользовать этот файл?? »
Можно. Также можете вернуться к антивирусу касперского, но это на ваше усмотрение.