Всем здравствуйте!

Проблема состоит в том, что не запускается ни одна программа при обычной загрузке Windows Vista. Выключить компьютер тоже невозможно, навечно появляется заставка с завершением сеанса. При создании новой учетной записи тоже происходит навечное зависание.

При запуске любой программы появляется процесс маленьким размером в диспетчере задач и все, дальше дело не идет. В безопасном режиме происходило то же самое.

Запустился с LiveCD DrWeb-а, проверился, удалил большую кучу гадости, не помогло.

Зато стал работать безопасный режим.
Из него проверился CureIt, AVPTool-ом, удалил еще кучу гадости, вышел в сеть, зашел сюда, сделал логи, выкладываю.
Выключение компьютера из безопасного режима происходит абсолютно нормально.

Что делать? Как заставить ноут работать в обычном режиме?

Очень надеюсь на помощь)))

ПС Как в безопасном режиме переключить раскладку клавиатуры? Сообщение писал на другом компе, только потом перенес на свой ноут.

Добрый вечер! :)

Сейчас просмотрю логи и отвечу вам.

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

Log

Проверьте на www.virustotal.com этот файл:
c:\users\Андрей\AppData\Roaming\Microsoft\dizukivip.exe
Ссылку с результатом проверки дайте в этой теме!

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\windows\system32\drivers\orkooton.sys
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qff2a9a7vqk.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vavvqk6f.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\akqa5a76f.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0a1kfvk.exe
c:\windows\system32\drivers\qucbdhuj.sys
c:\windows\system32\drivers\jjoffott.sys
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ak5akv1kv.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kvqff6vfqq.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kkaafkvakv.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fav5q1fa.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\k3kkfv98qkf.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kkffavvqq.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kkffaq0k0.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qkaa1kkffav.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6kfaa7v.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6qqk2aa.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fv98qkf9a0.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kf9a0vq0k0f.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\faa7vqkk.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2kqfvvq.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\a28av1a5a2q.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\f5aaaavq.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\avvp5faav.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kkfaa7vq.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fv98qkf9a0v.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qqkaav1qkkf.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kkfv5q1faq.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aqqkaav1.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qqlgg6avqq7.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\avl98gav.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qlaavl98ga.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\3aavl98.exe

Driver::
Dwsh00003643
orkooton
jdjzfekj

Folder::
C:\32788R22FWJFW

Registry::

FileLook::

DirLook::


FCopy::



После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

c:\users\Андрей\AppData\Roaming\Microsoft\dizukivip.exe

File not found - govorit www.virustotal.com

Delat' li ostal'noe iz vashego spiska?

c:\users\Андрей\AppData\Roaming\Microsoft\dizukivip.exe
File not found - govorit www.virustotal.com »
На диске файл присутствует? Попробуйте повторно загрузить файл на www.virustotal.com

Delat' li ostal'noe iz vashego spiska? »
Обязательно.

Provodnik ne pokazivaet etot file - daghe s uchetom galochki pokazyvat' skrytye/systemnye

Ostal'noe delau

Во, ComboFix после перезагрузки сделал возможным работу из обычного режима, а не из безопасного.
Результат его работы прикреплен.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qff2a9a7vqk.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vavvqk6f.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\akqa5a76f.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0a1kfvk.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ak5akv1kv.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kvqff6vfqq.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kkaafkvakv.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fav5q1fa.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\k3kkfv98qkf.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kkffavvqq.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kkffaq0k0.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qkaa1kkffav.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6kfaa7v.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6qqk2aa.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fv98qkf9a0.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kf9a0vq0k0f.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\faa7vqkk.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2kqfvvq.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\a28av1a5a2q.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\f5aaaavq.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\avvp5faav.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kkfaa7vq.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fv98qkf9a0v.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qqkaav1qkkf.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kkfv5q1faq.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aqqkaav1.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qqlgg6avqq7.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\avl98gav.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qlaavl98ga.exe
c:\users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\3aavl98.exe
c:\users\Андрей\AppData\Roaming\Microsoft\dizukivip.exe
c:\windows\system32\drivers\mctircro.sys

Driver::
uoohsiuw9ok6oa4

Folder::


Registry::

FileLook::

DirLook::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Лог после сканирования MBAM прикрепите.

Долгие процессы)))

Удалите в MBAM все файлы, кроме
C:\Windows\System32\drivers\68059511.sys (Rootkit.Agent.H) -> No action taken.

Удалите в MBAM зараженный ключ реестра:
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.

Запустите повторное сканирование MBAM, прикрепите лог.

Также подготовьте логи AVZ.

а как удалить все в МБАМе?
у меня комбоФикс перегрузил комп, заново загружать МБАМ на проверку?

заново загружать МБАМ на проверку? »
Да.

Прошелся МБАМ-ом, удалил все кроме 1 файла 68059511.sys (Rootkit.Agent.H)
Запустил еще раз МБАМ

Да..., тяжелая работа - лечить комп

Подскажите, а, например, при установленном КИСе удалось бы избежать всех этих заражений компа и проблем?

ПС Твердо намерен приобрести КИС2011)))

Все сделал, логи прилагаю

Необходимо проверить один файл.

Проверьте файл на www.virustotal.com
c:\windows\system32\drivers\drcawmnp.sys
Дайте ссылку с результатом проверки!

или через скрипт AVZ

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\drivers\drcawmnp.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up


Что с проблемами?

www.virustotal.com опять говорит, что нет такого файла.

AVZ скрипт выполнил без ошибок.

Файл карантина отправил, КомбоФикс удалил, Чистку сделал

Ноут работает отлично, как швейцарские часы сейчас)))

www.virustotal.com опять говорит, что нет такого файла. »А зачем Вы ищете что-то на Вирустотал, если Вас просили отправить туда на проверку файл c:\windows\system32\drivers\drcawmnp.sys »???

AVZ скрипт выполнил без ошибок. »
quarantine.zip отправьте по форме

По логам ничего плохого не вижу, что с вашей проблемой?