По логу постороннего вроде не видно.
Подождем результатов анализа.

вы так и не ответили...
что увидел нечто вроде «CMOS checksum failure». Предлагалось нажать F1 для продолжения или DEL для входа в биос. »
А батарейку биоса на всякий случай проверяли ? »

Здравствуйте,

Файлы не заражены.

С уважением, Вирусный аналитик

MBR не заражена. Остается только найти способ проверить bios.

А батарейку биоса на всякий случай проверяли ? » »

Пост №3 содержит ответ на этот вопрос, Вы просто пропустили. Да, батарейку заменил, даже не проверяя старую.


MBR не заражена. Остается только найти способ проверить bios. »

Приятная новость. ЗдОрово, если этой действительно так. Тут мне в личку сообщили, что после перепрошивки BIOS появление запроса на продолжение через клавишу F1 это нормально. Но проблема-то была в том, что одновременно "исчез" MBR и его пришлось восстанавливать после сбоя; оказались нерабочими антивирус и файервол и возникли прочие выше озвученные непонятки. Именно поэтому и перепрошил BIOS на новый, на всякий случай. И затем стал искать причину такого серьёзного сбоя.

Кроме того (даже такая мелочь) невозможность в безопасном режиме восстановить с помощью Safeboot7.reg (Касперского) возможность выбора вариантов загрузки системы и её "нетипичное" поведение в работе лишь усилили подозрение в заражении. Впрочем, уже повторяюсь.

Тут Comodo через почти 3 часа сканирования нашёл 19 угроз. Одна из них, к примеру, инсталлятор Chrome 15.0.874.106. Буду сейчас разбираться с остальными.

появление запроса на продолжение через клавишу F1 это нормально »
Чтобы убрать запрос F1 - для этого зайдите в биос настройте или загрузите оптимальные настройки по умолчанию и сохранитесь.



Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS) (http://dsrt.dyndns.org/)

Как подготовить лог UVS (http://safezone.cc/forum/showthread.php?t=14508)

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Пост №3 содержит ответ на этот вопрос, Вы просто пропустили. »
Действительно пропустил.

Чтобы убрать запрос F1 - для этого зайдите в биос настройте или загрузите оптимальные настройки по умолчанию и сохранитесь. »

Запрос F1 появился в двух случаях:

а) после изложенного краха системы (впервые за всю мою практику, а случаи бывали очень разные).
б) после перепрошивки BIOS на новый.

Однажды выбрав загрузку по F1 такая ситуация больше не повторялась. Даже при условии изменения настроек. Правда с новым биосом появился двойной старт.


Из 19 угроз Comodo оставил для удаления 3: одна в Windows\System32 и две в AppData\Local. Обещает пролечить после перезагрузки.

tonsberg, приложите, если можете, отчет сканирования комодо

Это отчёт сканирования Comodo. После перезагрузки сообщил, что теперь жизнь наладится. UVS скачал, сейчас буду разбираться.

Это отчёт сканирования Comodo »
В основном, на мой взгляд - паранойя этого антивируса в этом логе-отчете.

UVS отработал. Лог прикладываю. Но ещё вдруг обнаружил кое-что интересное.

http://s017.radikal.ru/i438/1111/f3/16ab038b8ea4t.jpg (http://radikal.ru/F/s017.radikal.ru/i438/1111/f3/16ab038b8ea4.png.html)

По цифре 1 картинки мой первый (плохо работающий) GMER находил запись в реестре где-то тут (примерно)

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3FB70834-F0A7-F953-C0F3-C299E37F8BD9}.

Файл и запись я смог удалить вручную. И ещё что-то (уже не помню, запутался) ругалось на файл по цифре 2 картинки. Тоже смог удалить руками.
Вот такое дополнение к логу UFS.

В основном, на мой взгляд - паранойя этого антивируса в этом логе-отчете. »
Это точно :)
Кстати UFS пока работал (тут же всё двигается) выкинул много разных сообщений с претензией с инсталлятору Chrome. В общем-то комп завис именно на работе в Chrome. Уже не знаю что и думать :tomato2: Утро вечера мудреннее.

Сегодня - для проверки хоть каких-то изменений после проведённых копаний и чисток - попытался ещё раз восстановить записи реестра возможности выбора вариантов загрузки системы. Это не есть главный вопрос, но в качестве пробного камня было интересно. Поскольку ранее таких проблем никогда не было. Антивирус NOD 32 5-й версии остановил; Outpost Firewall 7.5.1 выгрузил; сеть отключил.

http://s017.radikal.ru/i443/1111/b5/421195bf861bt.jpg (http://radikal.ru/F/s017.radikal.ru/i443/1111/b5/421195bf861b.png.html)

Неудача.
Тут для меня всего два варианта. Или это нормально, когда пользователь с правами администратора не может внести изменения в свой реестр. Или какой-то не очень полезный процесс блокирует изменения, восстанавливающие одну из функций операционной системы.
Reg файл скачал с сайта лаборатории Касперского.

С сайта GMER (на который хожу по-прежнему только через анонимайзер) :spy: скачал утилиту mbr. Вот её лог.

Ещё факты.

http://s017.radikal.ru/i417/1111/c2/0e3f04e142a9t.jpg (http://radikal.ru/F/s017.radikal.ru/i417/1111/c2/0e3f04e142a9.png.html)

http://s49.radikal.ru/i126/1111/0f/27a7d1bf17dct.jpg (http://radikal.ru/F/s49.radikal.ru/i126/1111/0f/27a7d1bf17dc.png.html)

Одним словом с образа системы откатил на 10 окт 11. Первые ощущения - положительные. Посмотрю, что будет дальше.

Ещё факты. »
RootkitRevealer — бесплатный инструмент для локального обнаружения руткитов скрывающих вредоносные объекты на 32-битных операционных системах/

Возможно в процессе заражения или последующего использования утилит (см. шапку темы) произошли изменения реестра мешающие нормальной работе ОС.

скачал утилиту mbr. Вот её лог. »
МБР мы уже смотрели. Reg файл скачал с сайта лаборатории Касперского. »
Какой рег-файл ?

http://s19.radikal.ru/i192/1111/63/31672147ac3ft.jpg (http://radikal.ru/F/s19.radikal.ru/i192/1111/63/31672147ac3f.png.html)

К сожалению не помогло. Система несколько ожила, напоминая прежнюю. Но.. не та.

До вирусной атаки обновления к Windows 7 поступали по умолчанию; и с момента появления семёрки я только узнавал, что то-то и то-то успешно установлено. Ни разу не возникало никаких вопросов.

Сегодня обнаружил, что может быть иначе. Значительная часть обновлений, которые были выпущены за октябрь; и связаны с безопасностью не были установлены. Были загружены, но в момент установки всё зависло, впервые (частенько за последнюю неделю применяю это слово). После reset'a система опять не смогла загрузиться. Смог войти только с четвёртой попытки. В части обновлений фигурировал отказ. Удалил отказников руками и сделал ещё одну попытку. Результат прежний. Кстати, до вирусной атаки кое-какие из них встали без вопросов. Вот, пожалуй, и всё. Если появится хоть какая-то информация по схожей проблеме и способам борьбы - буду благодарен.
Спасибо всем, кто старался помочь!

Какой рег-файл ? »

Saveboot7.reg - архивом приложен в #31 и предназначен для восстановления возможностей стандартного выбора вариантов загрузки системы по клавише F8.

•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

•Скачайте ComboFix »

Потеряв целую неделю, начинаю думать, что за это время пусть с трудами; но переустановил бы систему. Будучи весьма признательным Вам за помощь, для окончательного принятия решения прошу совета на предмет.

Каким способом с максимально возможной гарантией излечения (исходя из данной ситуации; понимаю, что гарантия весьма относительная) лучше всего это сделать?
В голове пока весьма примитивный план:
1. MHDD и соответственно низкоуровневое форматирование.
2. Переустановка системы.

Какие моменты и тонкости надо учесть, что добавить в этот план действий? Хочу "убивать" диск Win 7. А данные скидывать на второй физический диск.
Ещё хочу завтра позвонить в сервис мелкомягких, - один раз (на удивление) в проблемной ситуации они уже помогли. Вот такие мысли.

Сделайте лог CF, а там уже видно будет

Коротко: переустановка помогла. Компьютер работает как прежде, что очень радует. Продолжаю заниматься установкой программ, отладкой и прочими "мелочами". Если у кого-то будет интерес, то могу поделиться подробностями. Чуть позже.