Здравствуйте. Появились следующие неполадки с компом букально через день после того как я устранил предыдущую проблему (цитата)
Столкнулся со след. проблемой: на флэшке поселился вирус autorun.inf. Avast антивирус его распознает как "VBS:Malware-gen". Раньше с подобного типа вирусами я сталкивался, но до этого мне помогали утилита Anti-autorun и несколько .reg файлов. А сейчас особенность вируса в том, что каждый раз при его удалении, чем бы то ни было, он создается снова буквально через 10-15 секунд после предыдущего удаления. Также сей вирус создает на флэшке папку RECYCLER с содержимым моей корзины, и стоит заметить, что при удалении этой папки обнаруживается файл autorunme.exe. Поиск файлов autorun.* на компьютере также не дал результатов. Возможно вы посоветуете мне, куда копать, и что сделать? Заранее благодарен.
P.S. Ниже представляю ссылку на архив с .reg файлами, которые я ранее применял.
http://dump.ru/file_catalog/1017274

Сейчас предыдущая проблема решена, но теперь с компьютером происходит следующее: 1) не запускается в безопасном режиме; 2) не запускается восстановление системы; 3) компьютер виснет при нажатии "Завершить процесс" в taskmgr.

Извиняюсь за немного неверное название темы...

AliVe, пофикси в HijackThis
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{77514486-9A48-4383-9513-BC2F94A4AE8E}: NameServer = 10.0.0.2

Проверьте вашу папку SYSTEM32 на наличие в ней ntos.exe и/или userinit.exe файлов. Если таковые есть тоже не паникуйте а выполните следующие действия, предлагаемые на сайте SecurityLab:
Путем добавления любого символа в конец имени вредоносного модуля изменить значение ключа системного реестра (Пуск/Выполнить/regedit). Например:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit" = "%System%\userinit.exe, %System%\ntos.exe_"
Перезагрузить компьютер.
Вручную удалить следующий файл из системного каталога Windows: ntos.exe

По логам AVZ тоже очень много нехорошего. Сам я в скрипты AVZ не вникал, но думаю ребята (Severny или Pili) помогут.

yurfed, Что ж, спасибо Вам за совет, будем ждать советов других. Файла ntos.exe не обнаружено. Программа UnhackMe вроде-бы обнаружила руткиты в системе. Пока что ничего не трогаю.

O17 - HKLM\System\CCS\Services\Tcpip\..\{77514486-9A48-4383-9513-BC2F94A4AE8E}: NameServer = 10.0.0.2 »
Хм... Только что посмотрел в вышеупомянутом UnHackMe, и это -> {77514486-9A48-4383-9513-BC2F94A4AE8E} программа квалифицирует как Trojan Class : Hacker Defender Rootkit.

Хм... Только что посмотрел в вышеупомянутом UnHackMe, и это -> {77514486-9A48-4383-9513-BC2F94A4AE8E} программа квалифицирует как Trojan Class : Hacker Defender Rootkit. »
Сказано же: пофикси в HijackThis »

AliVe, посмотри в system.ini строку UserInit=C:\WINDOWS\System32\userinit.exe. Закомментируй её.
Отключи восстановление, пройдись в безопасном режиме CureIt (http://www.freedrweb.com/cureit/?lng=ru)

yurfed,
1) не запускается в безопасном режиме »
...
посмотри в system.ini строку UserInit=C:\WINDOWS\System32\userinit.exe »
Такой строки нету.

В HiJackThis пофиксил.

В общем полазил я и прояснилось следующее: были 2 руткита, которые я потом удалил с помощью утилиты UnhackMe. Также выяснилось, что в system32/Drivers лежит файл .exe (да, так и называется, .exe), который невозможно удалить даже с помощью комплекса программ от RegRun (Unknown error). Квалифицируется сей файл, как W32.Dotex.
.exe is W32.Dotex.
W32.Dotex is a worm that copies itself to the root of all drives and downloads potentially malicious files on to the compromised computer. It also attempts to disable various antivirus programs. Kill the process .exe and remove .exe from Windows startup using RegRun Reanimator.

Кто что может сказать по этому поводу?

В AVZ меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить".
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\ldapi32.exe','');
QuarantineFile('C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll','');
QuarantineFile('C:\Program Files\Windows Media Player\Agent\wmplayer.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\FileDisk.sys','');
QuarantineFile('.sys','');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(10);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
После перезагурзки еще один скрипт и вышли папку "Quarantine" мне в PM.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Проверка CureIt как видно не выполнялась. Проведи сканирование системного диска в безопасном режиме.
Если после выполнения скрипта безопасный не заработал, попробуй этот *.reg.
Разберись с этим:
C:\disk\kerya\Проги\Installers\###HackPrograms###\LANNET\NetView\STARTCMD.RAR/{RAR}/startcmd.dll >>> подозрение на AdvWare.DigitalNames.a ( 005CD525 00000000 001A7E30 001C9CAC 36864)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\###HackPrograms###\LANNET\NetView\STARTCMD.RAR)
C:\disk\kerya\Проги\Installers\PersonalDesktopSpy-v2.10-setup.exe >>>>> Monitor.Win32.DesktopSpy удаление запрещено настройкой
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\DragonV4.0-small\DragonV4.0-small.zip/{ZIP}/DragonV4.0-small/DragonScript/System/dlls/sendkey.dll >>> подозрение на Backdoor.Win32.Netbus.12 ( 09DE45C9 049D8E99 0023CF1D 002A5C02 52224)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\DragonV4.0-small\DragonV4.0-small.zip)
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\Noname 3.7.3\nnscript373.exe/{RAR-SFX}/script\dlls\sendkey.dll >>> подозрение на Backdoor.Win32.Netbus.12 ( 09DE45C9 049D8E99 0023CF1D 002A5C02 52224)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\Noname 3.7.3\nnscript373.exe)
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\Скрипты\Satanist\Satanist.zip/{ZIP}/Satanist/SaTaNist.exe >>>>> Backdoor.Win32.mIRC-based
C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll >>>>> Trojan-PSW.Win32.OnLineGames.zex удаление запрещено настройкой
C:\Documents and Settings\Андрей\Рабочий стол\Evelina.rar/{RAR}/Evelina.exe >>> подозрение на Email-Worm.Win32.Warezov.mo ( 004397C8 000EB9C4 0016325F 001FE1C0 40960)
Файл успешно помещен в карантин (C:\Documents and Settings\Андрей\Рабочий стол\Evelina.rar)
C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00502A97 08CD8ABD 001C13F0 001FD6D9 53248)
Файл успешно помещен в карантин (C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe)
C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00502A97 08CD8ABD 001C13F0 001FD6D9 53248)
Файл успешно помещен в карантин (C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe)

Quarantine отправил. Проверку CureIt выполнил (спасибо, компьютер загрузился из безопасного режима). Обнаружен вирус Backdoor.Dosia в файле system32/ldapi.exe, действие - удалено. Также обнаружен вирус в "C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll" - Win32.Oliga[Trj]. Что посоветуешь делать далее?

Выполни скрипт.
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\program files\windows media player\agent\wmplayer.exe','');
DeleteFile('c:\program files\windows media player\agent\wmplayer.exe');
DeleteFile('C:\WINDOWS\system32\ldapi32.exe');
DeleteFile('C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll');
BC_ImportAll;
ExecuteRepair(13);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Разберись с этим:
C:\disk\kerya\Проги\Installers\###HackPrograms###\LANNET\NetView\STARTCMD.RAR/{RAR}/startcmd.dll >>> подозрение на AdvWare.DigitalNames.a ( 005CD525 00000000 001A7E30 001C9CAC 36864)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\###HackPrograms###\LANNET\NetView\STARTCMD.RAR)
C:\disk\kerya\Проги\Installers\PersonalDesktopSpy-v2.10-setup.exe >>>>> Monitor.Win32.DesktopSpy удаление запрещено настройкой
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\DragonV4.0-small\DragonV4.0-small.zip/{ZIP}/DragonV4.0-small/DragonScript/System/dlls/sendkey.dll >>> подозрение на Backdoor.Win32.Netbus.12 ( 09DE45C9 049D8E99 0023CF1D 002A5C02 52224)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\DragonV4.0-small\DragonV4.0-small.zip)
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\Noname 3.7.3\nnscript373.exe/{RAR-SFX}/script\dlls\sendkey.dll >>> подозрение на Backdoor.Win32.Netbus.12 ( 09DE45C9 049D8E99 0023CF1D 002A5C02 52224)
Файл успешно помещен в карантин (C:\disk\kerya\Проги\Installers\SOFT новый\IRC\МИРК\Noname 3.7.3\nnscript373.exe)
C:\disk\kerya\Проги\Installers\SOFT новый\IRC\Скрипты\Satanist\Satanist.zip/{ZIP}/Satanist/SaTaNist.exe >>>>> Backdoor.Win32.mIRC-based
C:\Documents and Settings\Андрей\Local Settings\Temp\54j.dll >>>>> Trojan-PSW.Win32.OnLineGames.zex удаление запрещено настройкой
C:\Documents and Settings\Андрей\Рабочий стол\Evelina.rar/{RAR}/Evelina.exe >>> подозрение на Email-Worm.Win32.Warezov.mo ( 004397C8 000EB9C4 0016325F 001FE1C0 40960)
Файл успешно помещен в карантин (C:\Documents and Settings\Андрей\Рабочий стол\Evelina.rar)
C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00502A97 08CD8ABD 001C13F0 001FD6D9 53248)
Файл успешно помещен в карантин (C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_LingvoInst.exe)
C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00502A97 08CD8ABD 001C13F0 001FD6D9 53248)
Файл успешно помещен в карантин (C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB63}\ICON_SetupPPC.exe)
Что не считаешь нужным -- удали.
Ты вот этот файл ".exe" тоже пришли в PM. Я как то забыл про него.

Ты вот этот файл ".exe" тоже пришли в PM. Я как то забыл про него »
В том то всё и дело, что он не отображается эксплорером... И не удаляется RegRun'ом.

В том то всё и дело, что он не отображается эксплорером... И не удаляется RegRun'ом. »
А в командной строке (dir)? Попробуйте добавить его в 7-zip архив командой 7za a archive.zip .exe
См. http://www.7-zip.org/download.html 7-Zip Command Line Version

что он не отображается эксплорером... И не удаляется RegRun'ом. »
Оставь его в покое. Скорее всего его нет.

Оставь его в покое. Скорее всего его нет. »
Отображается как драйвер в РегРане... Процесс этот остановил им же. А драйвер не удаляется.

А в командной строке (dir)?»
Не удается найти файл.

http://s44.radikal.ru/i105/0808/9f/12e74b78fd4at.jpg (http://radikal.ru/F/s44.radikal.ru/i105/0808/9f/12e74b78fd4a.jpg.html)

Отображается как драйвер »
Странный драйвер с расширением .exe.
Скорее всего глюк. Во всяком случае его можно увидеть из под другой системы или LiveCD (или DOS), если он реально существует.

А что делать с неработающим восстановлением системы и диспетчером задач?

AliVe, судя по скриншоту нужно искать и удалить все autorun на дисках и флешках (естественно в разумных пределах и только те, которые ты незнаешь и которые ни о чём не говорят)
А что делать с неработающим восстановлением системы » Запустить эту службу.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srservice]
"Start"=dword:00000002
Выполнить и перезагрузиться.

и диспетчером задач » Попробуй ПУСК -Выполнить - taskmgr.exe
Если незапустится, то ПУСК -Выполнить - cmd, а оттуда taskmgr.exe и посмотри сообщение после запуска.

Диспетчер уже работает.
судя по скриншоту нужно искать и удалить все autorun на дисках и флешках »
Не наблюдаю таковых.

Восстановление системы по прежнему не хочет работать. Когда жму "Отключить восстановление системы выдает следующее: "Ошибка восстановления системы при включении/отключении одного или нескольких устройств. Перезагрузите компьютер и вновь повторите попытку."

Не наблюдаю таковых. » Включена опция "Показывать скрытые файлы и папки"?
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=160221
http://www.bombina.com/s3_anti_autorun.htm

Восстановление системы по прежнему не хочет работать. »
ты выполнил приведённый выше код?
Кстати, значение Start можешь сам поменять на нужное
"Start"=dword:00000002 - Авто
"Start"=dword:00000003 - Вручную
"Start"=dword:00000004 - Отключить