лечил др вебом, лог hijackthis.log есть.
запустил avz и выполнил скрипт для другого (из старой темы взял)
от вируса это меня не избавило. какие действия дальше предпринимать?

dodd, Здравствуйте. Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей (http://forum.oszone.net/showpost.php?p=825101), включите брандмауэр windows
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\system32\system.exe','');
QuarantineFile('C:\WINDOWS\system32\a.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('c:\windows\system32\a.exe','');
DeleteFile('c:\windows\system32\a.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\a.exe');
DeleteFile('c:\windows\system32\system.exe');
DelCLSID('DB1787F6-A4FC-827A-CF44-3A287BAB3BB8');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteService('sysdrv32');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('sysdrv32');
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.
Запустите HiJackThis (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe), нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\system.exe
O9 - Extra button: Price.ru - {07FB4AFD-AFD1-4DB2-BA05-C025073924DC} - http://www.price.ru (file missing) (HKCU)
O9 - Extra button: Triline - {271EF184-A837-48BC-83D1-E42CBE9B0000} - http://www.triline.ru (file missing) (HKCU)
O9 - Extra button: E1.ru - {8F0A332E-2E8C-4E5F-B246-2A3F67652B78} - http://www.e1.ru (file missing) (HKCU)
O9 - Extra button: ELL.ru - {DC4F4487-5025-47A9-BF71-2BEC346E7535} - http://www.ell.ru (file missing) (HKCU)
Создайте новую контрольную точку восстановления и очистите предыдущие.
Очистите временные файлы с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
Повторите логи.

файл карантин отправил
f2 не нашел в списке - его там не было
09 - 4 штуки пофиксил
точку восст. создал

но теперь jusched.exe меня начал беспокоить - обнаружена ошибка пишет
как быть?

dodd, Java вообще скриптом не трогалось ) Деинсталлируйте старые версии java, скачайте JavaRA (http://raproducts.org/) здесь (http://raproducts.org/click/click.php?id=1) или здесь (http://prm753.bchea.org/javara.zip)
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp) с сайта производителя.
Adobe Acrobat тоже обновите
Карантин пришел пустой.

Хм, это вроде от обновлялки Java
Повторные логи все же сделайте

яву обновил
акробат обновил
карантин также создается пустым
лог hijacka прикрепил сюда

карантин также создается пустым »
Антивирус был выключен на веремя скрипта?
Сделайте остальные логи

антивирус выключал но nod32krn.exe все равно сам собой запускается в процессах
логи высылаю

Впечатление - как будто скрипт не выполняли, или лог virusinfo_syscure.zip выложили старый.
включите брандмауэр windows »
Это сделали? Если нет, лечение будет бессмысленным. Включите брандмауэр windows и уберите в исключениях брандмауэра (http://www.microsoft.com/rus/windowsxp/sp2/sp2_wfexeptions.mspx) общий доступ к файлам и принтерам.
Повторите скрипт из поста 3, после перезагрузки поменяйте время через биос, удалите предыдущие точки восстановления и создайте новую.
Очистите временные файлы с помощью ATF Cleaner »
Скачайте Malwarebytes' Anti-Malware здесь (http://malwarebytes.gt500.org/mbam-setup.exe), здесь (http://www.besttechie.net/mbam/mbam-setup.exe), здесь (http://www.malwaresupport.com/mbam/program/mbam-setup.exe) или здесь (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe). Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Обязательно закройте все программы, отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет, не переподключайте интернет пока Combofix не завершит работу.
Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt
Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

брендмауер включил раньше как и говорили
общий доступ к принтерам тоже убран изначально
какой скрипт повторить - так и не понял
Malwarebytes' Anti-Malware сейчас проверяю - скорее всего надолго
кстати после включения брендмауреа - сразу пришли сообщения об обновлении windows - я их ставить не решился

какой скрипт повторить - так и не понял »
В этой теме только один скрипт покаПовторите скрипт из поста 3, »
брендмауер включил раньше как и говорили »
по логу virusinfo_syscure.zip - все так же, как будто скрипт не выполнялся, либо лог выложили старый, либо снова заразились, а это могло произойти либо с флешки, либо из сети.

я не понял что за скрипт из поста 3
После перезагрузки выполнить ещё скрипт »
что за еще скрипт?

счас повторю все заново

проверил брендмауер - включен(принтеры - галочка не стоит)
итак скрипт выполнил - перегрузился
дальнейшие действия?

quarantine.zip - также пуст

скрипт №2 выполнил - логи отправлять?

логи

что за еще скрипт? »
был скрипт карантина, команду для карантина я в 1-й скрипт вставил.
Лог virusinfo_syscure.zip вы видимо снова старый вложили, там все так же, как в предыдущих логах, включая нарушение ассоциаации reg файлов, тогда как лог hijackthis новый и virusinfo_syscheck.zip новый и этих зловредов уже не видно, если смотреть по логу virusinfo_syscure.zip, то выполните снова скрипт из поста 2, поменяйте время в биосе (по логу Сканирование запущено в 01.01.2070 6:26:32)
Создайте новую контрольную точку восстановления и очистите предыдущие.
Очистите временные файлы с помощью ATF Cleaner
Сделайте остальные логи из поста 9 и сделайте новые логи AVZ

логи AVZ после сканирования
почему syscure - 2070 года? не обновляется....
в биосе все изменял
в винде точку восстановления делал
ATF использовал
дальше 2 антивируса посоветованных запускал - вирусы удалил

все вкурил - удалил етот лог - написалсо новый

почему syscure - 2070 года? не обновляется.... »
А вы 3-ий стандартный скрипт запускали ещё раз? Если нет, то зачем вкладывать virusinfo_syscure.zip старый (от предыдущего запуска 3-го станд. скрипта), если вас не просили? Если запускали 3-ий стандартный скрипт, выложите новый лог virusinfo_syscure.zip
Ещё раз посмотрел "новый", как вы утверждаете, лог virusinfo_syscure.zip из поста 16, но или выложили снова старый лог, размер лога и содержимое такое же, как из 1-го поста, в нем те же зловреды, или снова заразились, а значит снова выполняйте скрипт из поста 2 и делайте новые логи. Поймите, что нельзя сказать "чисто" о вашей системе, если в каком-то из "новых" логов видны зловреды.
Не забудьте также сделать логи ComboFix и MBAM из поста 9

понял
лог комбофикса - не понял откуда брать

лог комбофикса нашел