Котяра, Blast, в безопасном режиме комп нормально перезагрузился.Так что же надо сделать?

Пуск -> Выполнить -> msconfig -3 -> поставьте отметку на параметре "Не отображать службы Microsoft" (или как он там в XP называется) -> скажите какие службы там значатся.

Blast, простите,не совсем понял фразу скажите какие службы там значатся. »

в msconfig, на вкладке Службы, поставьте флажок на параметре "Не отображать службы Microsoft" и скажите какие службы там останутся

Blast, всё перечислить сил не хватит,поэтому вот скрины.

stan7307, а что у Вас на вкладке "Автозагрузка" в msconfig?

странная служба какая-то на первом скрине - Litp 160evhm - можете логи выложить по этой инструкции (http://forum.oszone.net/post-717373-2.html), мало ли что там.. не факт, что зловред, но и KIS не панацея

Blast, извините за задержку.Вот логи.

Котяра, вот содержимое вкладки "Автозагрузка"

stan7307, сайты в hosts-файл сами вносили (например, сайт _хттп://007guard.com)?
Если нет, то выполнить в меню Пуск команду
notepad %windir%\system32\drivers\etc\hosts
и удалить все строки, начинающиеся с 127.0.0.1, оставив лишь строку 127.0.0.1 localhost. Строку 127.0.0.1 localhost удалять НЕ нужно.

C hosts файлом всё в порядке, записи - это защита от вредоносных сайтов, внес записи скорее всего SpyBot S&D (которого по логам не видно, м.б. раньше стоял), правда это может замедлять работу в интернете.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
Строчку
O4 - HKLM\..\Run: [CD_Open] D:\Моя XP\cdopen19\CD Open 1.9\cdopen.exe
тоже можно пофиксить, необязательно cdopen в автозагрузку ставить
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('Litp160evhm');
SetServiceStart('Litp160evhm', 4);
QuarantineFile('d:\Моя xp\cdopen19\cd open 1.9\cdopen.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\FStarForce.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\appdrv01.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\nTuneService.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Litp160evhm.sys','');
QuarantineFile('nTuneService.sys','');
QuarantineFile('Litp160evhm.sys','');
DeleteFile('nTuneService.sys');
DeleteService('nTuneService');
BC_ImportAll;
ExecuteSysClean;
BC_QrSvc('Litp160evhm');
BC_DeleteSvc('nTuneService');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему
HDDlife можете совсем деинсталлировать.
Повторите логи virusinfo_syscheck.zip и hijackthis

Pili, всё сделал как Вы сказали.Комп вроде стал нормально перезагружаться.Только теперь после каждого включения,стал включаться "Мастер установки оборудования".Я так понимаю это связано с файлом FStarForce? Или я ошибаюсь?

stan7307, Это вероятно связано с AVZ (драйвером), FStarForce.sys скрипом брали только на проверку (карантин), он туда не захотел, как и appdrv01.sys, а nTuneService.sys был скорее всего зловред(удалили), но его тоже нет в карантине.
Поищите FStarForce.sys и appdrv01.sys в C:\WINDOWS\system32\DRIVERS\ можно через AVZ - сервис - поиск файлов на диске и проверьте на virustotal.com, результат сообщете (можно ссылку на рез-т проверки)
Выполните ещё скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('Litp160evhm.sys');
DeleteService('Litp160evhm');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Litp160evhm');
BC_Activate;
RebootWindows(true);
end.
Повторите логи virusinfo_syscheck.zip и hijackthis
После повтора логов можно будет удалить драйвер AVZ

Pili, вот повторные логи и ссылка на результаты проверки FStarForce.sys-http://www.virustotal.com/ru/reanalisis.html?57657d837f323f58db83017785029adb Что касается второго файла appdrv01.sys-я его не нашёл.

stan7307, выполните скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\appdrv01.sys');
DeleteService('appdrv01');
ExecuteSysClean;
SetAVZPMStatus(false);
ExecuteStdScr(6);
RebootWindows(true);
end.
В логах чисто. Как себя чувствует компьютер?

Pili, скрипт выполнил.С компьютером всё нормально,перезагружается как надо.Ваша помощь оказалась наиболее действенной.Спасибо!

Blast, Котяра, и всем кто откликнулся Большое спасибо! Вопрос решён,тему можно закрывать. :oszone:

ну вот, не поленились логи сделать (как многие...), мы позвали тяжелую артилерию, итог - проблема решена :) у меня были подозрения на зловредов или их последствия, но лучше Pili все равно разобрать не получилось бы, поздравляю :)

Blast, спасибо!