Проверял антивирями , оутпостом , ад-аваре - ничего не находит, но постоянно горит 2 иексплоре в памяти и то и дело включается окно с рекламой

Восстановление системы: включено
Отключите.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall и отключите интернет.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\aed9~1\applic~1\grimmf~1\FLAW BUILD CORN.exe','');
QuarantineFile('C:\WINDOWS\ASScrProlog.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\beep axis mode free\tool way.exe','');
QuarantineFile('C:\DOCUME~1\AED9~1\APPLIC~1\GRIMMF~1\Size Slow.exe','');
QuarantineFile('C:\WINDOWS\system32\DSA.dll','');
QuarantineFile('c:\program files\p4p\p4p.exe','');
QuarantineFile('c:\windows\asscrpro.exe','');
DeleteFile('C:\DOCUME~1\AED9~1\APPLIC~1\GRIMMF~1\Size Slow.exe');
DeleteFile('c:\docume~1\aed9~1\applic~1\grimmf~1\FLAW BUILD CORN.exe');
DeleteFile('C:\WINDOWS\Tasks\A23C0A30907FB24C.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [2audio] C:\DOCUME~1\AED9~1\APPLIC~1\GRIMMF~1\Size Slow.exe
O9 - Extra button: The Weather Channel - {2E5E800E-6AC0-411E-940A-369530A35E43} - (no file)
O9 - Extra 'Tools' menuitem: The Weather Channel - {2E5E800E-6AC0-411E-940A-369530A35E43} - (no file)
Повторите логи.

Новые логи .... проблема осталась

DragonLove, выполните скрипт
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\TwcToolbarIe7.dll','');
QuarantineFile('C:\Program Files\RadarSync\tbRada.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ousb2hub.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\ousbehci.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ipswuio.sys','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\beep axis mode free\tool way.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ClearHostsFile;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему
некоторые файлы по предыдущему карантину ушли в вирлаб на доп.анализ
Повторите логи virusinfo_syscheck.zip и hijackthis

продолжение ..... IE вроде перестал появляться

DragonLove, файлы из 2-го карантина чистые, подождем ответа вирлаба по некоторым файлам из 1-го карантина
Вместо IE рекомендую пользоваться Firefox (http://www.mozilla-europe.org/ru/firefox/) c плагином NoScript (https://addons.mozilla.org/firefox/addon/722) и AdBlock Plus (https://addons.mozilla.org/ru/firefox/addon/1865)
Пока можете провериться с помощью Malwarebytes' Anti-Malware, скачайте MBAM (http://www.besttechie.net/tools/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Malwarebytes' Anti-Malware 1.30 Версия базы данных: 1368 Windows 5.1.2600 Service Pack 2 05.11.2008 18:57:52 mbam-log-2008-11-05 (18-57-52).txt Тип проверки: Полная (C:\|D:\|) Проверено объектов: 76376 Прошло времени: 20 minute(s), 54 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 0 Заражено значений реестра: 0 Заражено параметров реестра: 0 Заражено папок: 0 Заражено файлов: 0 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: (Вредоносные программы не обнаружены) Заражено значений реестра: (Вредоносные программы не обнаружены) Заражено параметров реестра: (Вредоносные программы не обнаружены) Заражено папок: (Вредоносные программы не обнаружены) Заражено файлов: (Вредоносные программы не обнаружены)

Только все равно сейчас странности ... При запуске системы IE автоматом выдает кучу ошибок сценариев и оутпост блочит попытку изменения процесса IEXPLORE.EXE

13:23:39 TOOL WAY.EXE Заблокировано Приложение пытается изменить память другого приложения. Процесс: TOOL WAY.EXE, Целевой процесс: IEXPLORE.EXE

DragonLove, очень странно, C:\Documents and Settings\All Users\Application Data\beep axis mode free\tool way.exe удален скриптом и по новым логам его не было, вы снова какую нибудь программу после посл. логов не ставили? Сделайте ещё раз лог virusinfo_syscheck.zip
Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe), сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.
Скачайте OTViewIt (http://oldtimer.geekstogo.com/OTViewIt.exe) сохраните на рабочий стол и запустите, запакуйте полученные логи OTViewIt.txt и Extras.txt t и прикрепите к сообщению

попробуйте отключить из автозагрузки
программу The Weather Channel FW

я бы еще этот файлик посмотрел C:\WINDOWS\system32\DSA.dll

Tool way.exe нашел по адресу C:\WINDOWS\Prefetch\TOOL WAY.EXE-026C5A9A.pf
Создан третьего , изменен пятого ноября.... Сейчас выполню вышесказанное.

Ego1st, куда отправить DSA.dll ?

Все сделал

куда отправить DSA.dll ? »
Он забирался в карантин и он чист по virustotal,
Tool way.exe из C:\WINDOWS\Prefetch, судя по логам, не запускается (не активен), можете удалить и оттуда
C:\Program Files\The Weather Channel FW\Desktop\DesktopWeather.exe
C:\WINDOWS\System32\acovcnt.exe
C:\Documents and Settings\Лешка\Local Settings\Application Data\ModifyFlash.exe
C:\Documents and Settings\Лешка\Local Settings\Application Data\Install.exe
- проверьте на virustotal.com
ответ из вирлаба ещё не пришел, в т.ч. по файлам C:\WINDOWS\ASScrPro.exe, C:\WINDOWS\ASScrProlog.exe - они скорее всего от Asus
В файл hosts 89.188.110.25 сами запись вносили? если нет, пофиксите в HJT
O1 - Hosts: 89.188.110.25 gej.ru
Можете убрать лишнее из автозагрузки, пофиксив строчки с 04, напр., чтобы убрать из автозапуска DesktopWeather.exe, можно пофиксить строчку
O4 - HKCU\..\Run: [DW6] "C:\Program Files\The Weather Channel FW\Desktop\DesktopWeather.exe"
или/и ChamClock.exe
O4 - HKCU\..\Run: [HomeAlarm] C:\Program Files\Chameleon Clock\ChamClock.exe
А так по логам ничего зловредного не вижу

hosts модифицировал сам , так как нужен доступ к настройкам скрипта на старом серваке ....
C:\Documents and Settings\Лешка\Local Settings\Application Data\ModifyFlash.exe
C:\Documents and Settings\Лешка\Local Settings\Application Data\Install.exe
это судя по подписям от асуса
Эти две вещи мне нужны в автозагрузке ( первая показывает погоду по городу в онлайне , вторая - часики )

hosts модифицировал сам »
а я то испугался, что зловред необнаруживаемый (hosts чистился скриптом, по ip другое dns имя д.б.) :)
это судя по подписям от асуса »
хмм.. а судя по OTViewIt файлы ModifyFlash.exe и Install.exe не содержвт цифр.подписи, если чистые, то по логам чисто. Проблема если и появляется, то не из за вирусов.

Да , всем спасибо .... Ошибки сценариев IE при загрузке системы идут со страницы , которая подгружается программой DesktopWeather.exe ( карта с метео описаниями ) видать , чтото они наваяли не так :) Одно но - смущают три процесса:
ALU.exe ? запущеенный от моего имени 4 346 КБ
usnsvc.exe от SYSTEM 2 780 КБ
CCC.exe от моего имени 11 640 Кб

ALU.exe ? запущеенный от моего имени 4 346 КБ »
c:\program files\asus\asus live update\alu.exe - Copyright (C) 2002 ASUSTek. Corporation
есть в автозагрузке
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
usnsvc.exe от SYSTEM 2 780 КБ »
C:\Program Files\Windows Live\Messenger\usnsvc.exe - Microsoft Corporation
стартует как служба
R3 usnjsvc;Служба Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe
CCC.exe от моего имени 11 640 Кб »
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe - ATI Technologies Inc.
также в автозагрузке
C:\Documents and Settings\Лешка\Главное меню\Программы\Автозагрузка\CCC.lnk = C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
по логу HJT
O4 - Startup: CCC.lnk = ?