[Pili]

Цитата:

Восстановление системы: включено

- выключите на время лечения.
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на newvirus[at]kaspersky.com, когда придет ответ, сообщите результаты.

Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Дополнительно можно скачать и запустить утилиту (не забудьте подключить флешки и/или другие съемные носители) Flash Drive Disinfector - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Повторите логи virusinfo_syscheck.zip, hijackthis.zip

[zhefran]

Пока по указанному адресу электронной почты ничего не прислали выкладываю повторные файлы логи!

[Pili]

zhefran, по логам зловредов не вижу. Проблемы ещё наблюдаются?

[zhefran]

Цитата Pili:

Проблемы ещё наблюдаются? »

Что самое обидное да!
При загрузке компа! После старта OS (сразу после бегунка) не отображается окно ввода логина и пароля для пользователя - отображается только черный экран с курсором. Приходиться загружать Операционку в безопасном режиме и только после этого обычная загрузка происходит нормально. А это согласитесь напряжненько каждый раз так делать. Вариант перестановки ОС меня не прельщает!

[Severny]

Попробуй этот скрипт.

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 SetServiceStart('gdrv', 4);
 DeleteService('gdrv');
 DeleteFile('C:\WINDOWS\gdrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Если система по прежнему не загружается обычном режиме, посмотри логи ошибок в событиях системы
и приведи здесь.

[zhefran]

Цитата Severny:

Попробуй этот скрипт. Код: Код: begin SetAVZGuardStatus(True); SearchRootkit(true, true); SetServiceStart('gdrv', 4); DeleteService('gdrv'); DeleteFile('C:\WINDOWS\gdrv.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end . »

Severny, проблема осталась!

Цитата:

Тип события: Ошибка Источник события: LMS Категория события: Отсутствует Код события: 2 Дата: 05.09.2008 Время: 12:22:17 Пользователь: NT AUTHORITY\SYSTEM Компьютер: LUDMILA Описание: LMS Service cannot connect to HECI driver =========================================== Тип события: Предупреждение Источник события: MRxSmb Категория события: Отсутствует Код события: 3019 Дата: 05.09.2008 Время: 12:28:37 Пользователь: Н/Д Компьютер: LUDMILA Описание: Перенаправитель не смог определить тип подключения. Данные: 0000: 00 00 00 00 04 00 4e 00 ......N. 0008: 00 00 00 00 cb 0b 00 80 ....E..? 0010: 00 00 00 00 84 01 00 c0 ....?..A 0018: 00 00 00 00 00 00 00 00 ........ 0020: 00 00 00 00 00 00 00 00 ........ =========================================

Я думаю, что проблема в первом сообщении!

[Severny]

Да, файл я тебе не совсем вредный, так скажем, удалил.
Ошибка - это вроде службы лицензирования Intel.
Попробуй поставить в "отключено" эту службу
Active Management Technology LMS Service
или скрипт.

Код:

begin
 SetServiceStart('LMS', 4);
end.

[zhefran]

Цитата Severny:

Да, файл я тебе не совсем вредный, так скажем, удалил. Ошибка - это вроде службы лицензирования HP. »

И что дальше?

[Pili]

Цитата zhefran:

LMS Service cannot connect to HECI driver »

Попробуйте переустановить драйвера на Intel, напр. AMT Chipset Software см. Let us talk about HECI and LMS или поставить тип запуска службы LMS (Intel(R) Active Management Technology LMS Service) "вручную", поставьте тип запуска стандартных служб по умолчанию как тут, если не поможет выполните sfc /scannow или установите ОС в режиме восстановления см. тут
По восстановлению системы посмотрите тему Службы - [решено] Не запускается "Восстановление системы"

Давайте ещё проверим др. утилитами. AVPTool можете деинсталлировать.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (не переименовывайте Combofix).
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению
Скачайте SDFix - описание тут, загрузитесь в безопасном режиме, запустите утилиту, после проверки скопируйте текст из из C:\Report.txt в сообщение, если лог окажется слишком большой, запакуйте C:\Report.txt и прикрепите архив к сообщению.