Не вижу скрытых файлов и папок

[zonet]

Думаю проблема глубже, чем кажется. Прошу Вашей помощи! Несколько пояснений что я сделал: сразу отмечу-действовал по инструкции!
1)произвел проверку Доктором Вебом, скачанным 12.04.08 в 15 часов, начал проверку. Проверил диск С без ошибок, но трояны были! При проверке диска D вылетел синий экран и ноутбук завис-пришлось выключить принудительно, после этого хотел сразу войти в Безопасный режим(нажимал F - не получилось, горел черный экран с _ символом в левом верхнем углу. Понадобилось снова отключение. Потом прошла проверка на ошибки и, наконец, снова был запущен доктор Веб в Безопасном режиме, но история в точности повторилась, и снова синий экран, при проверке диска D(могу выложить его фото). Запустил отдельно проверку диска D в безопасном режиме - прошла без осложнений.
2.Далее все делал по инструкции - получилось!(искал, трояны находил, удалял - но проблемы остались)

[wise-wistful]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('avldr.dll','');
 QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
 DeleteFile('C:\WINDOWS\system32\amvo1.dll');
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(6);
 ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21445

Повторите логи.

[zonet]

Сделал логи и карантин

[zonet]

и еще, после последней проверки сделал карантин, но он почему-то больше 2мб получился и его нельзя выслать

Добавлено через 3 минуты

впрочем вот http://ifolder.ru/6134535, загрузил сюда 2,16мб.
Кажется теперь проблем нет? Можно спать спокойно?

[Bratez]

1. Вам дали ссылку для отправки карантина, зачем вы прикрепили его сюда?
2. Почему логи в безопасном режиме? Надо сделать в нормальном, с запущенным IE, как написано в правилах.

[zonet]

Все сделал, надеюсь правильно

[Гриша]

amvo1.dll- Worm.Win32.AutoRun.des(удален)

Пришлите согласно приложению 2 правил,вот этот файлик avldr.dll

[zonet]

AVZ выдал вот что:

Ошибка карантина файла, попытка прямого чтения (avldr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\avldr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\avldr.dll)
Карантин с использованием прямого чтения - ошибка

[wise-wistful]

avldr.dll - попробуйте по всем путям которые найдутся поместить в архив вручную под пароль virus и вышлите по ссылке http://virusinfo.info/upload_virus.php?tid=21445

[zonet]

Я так понял, надо поискать обычными средствами Windows? Если да, то система их не видит, хотя я вижу скрытые файлы и папки

[wise-wistful]

АВЗ выдаёт пути к файлам? Если да тогда идите по этим путям обычными средстави и добавляйте в архив.

[zonet]

Сделал еще интереснее: дал в AVZ команду: "Сервис"-"Поиск файлов на диске", нашел файлы но в другх местах, карантин выслал

[Гриша]

Присланные вами файлы чистые.

[zonet]

Прямым путем доступа к файлам нет
C:\WINDOWS\avldr.dll
C:\WINDOWS\system32\avldr.dll
Вылетает сообщение:
"Не удается найти file:///c:/WINDOWS/system32/avldr.dll. Проверьте правильность пути или адреса в Интернете."
и такое же сообщение для "C:\WINDOWS\avldr.dll" адреса

[V_Bond]

avldr.dll - кусок от панда антивирус (был такой ?)
выполните скрипт ...

Код:

begin
 DeleteFile('avldr.dll');
 DelWinlogonNotifyByFileName('avldr.dll');
 ExecuteSysClean;
 RebootWindows(true);
end.

[zonet]

А мне нельзя последовать этому совету, частично конечно:
"пофиксите с помощью HijackThis:
O4 - HKLM\..\Run: [audiag] C:\WINDOWS\system32\audconf.exe
O4 - HKLM\..\Run: [dssdiag] C:\WINDOWS\system32\dssconf.exe
O20 - Winlogon Notify: atkcadpt - C:\WINDOWS\system32\atkcadpt.dll
O20 - Winlogon Notify: audmgr - C:\WINDOWS\SYSTEM32\audmgr32.dll
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: dssconf - C:\WINDOWS\SYSTEM32\cfgdss.dll" источник - http://virusinfo.info/showthread.php...oto=nextnewest

И написать скрипт для этого пути:
C:\WINDOWS\avldr.dll? по этому примеру O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

Или это не мой случай?

Добавлено через 2 минуты

avldr.dll - кусок от панда антивирус (был такой ?)
выполните скрипт ...

Код:

begin
 DeleteFile('avldr.dll');
 DelWinlogonNotifyByFileName('avldr.dll');
 ExecuteSysClean;
 RebootWindows(true);
end.

Я что-то не понял. Мне выполнить скрипт? Или это вопрос, выполнял ли я его? Сорри, только 2 дня этим занимаюсь

[Гриша]

Нужно выполнить этот скрипт.

[zonet]

1.Скрипт выполнил
2.Сделал еще раз проверку и логи

Смущают вот эти надписи:
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552380
KiST = 805011FC (284)
Функция NtCreateKey (29) перехвачена (80618E86->BA6AB0E0), перехватчик spoc.sys
Функция NtEnumerateKey (47) перехвачена (806196C6->BA6C8CA2), перехватчик spoc.sys
Функция NtEnumerateValueKey (49) перехвачена (80619930->BA6C9030), перехватчик spoc.sys
Функция NtOpenKey (77) перехвачена (8061A21C->BA6AB0C0), перехватчик spoc.sys
Функция NtQueryKey (A0) перехвачена (8061A540->BA6C910, перехватчик spoc.sys
Функция NtQueryValueKey (B1) перехвачена (80616F40->BA6C8F8, перехватчик spoc.sys
Функция NtSetValueKey (F7) перехвачена (80617546->BA6C919A), перехватчик spoc.sys
-----------------------------------
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 899D1500 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 899D1500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89E511F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 89E511F8 -> перехватчик не определен

Что они означают?

Да, а что было вот это:
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
C:\WINDOWS\Installer\55148.msi/{MS-OLE}/\96 >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00511B0B 08CD8ABD 001C13F0 001FD6D9 5324
C:\WINDOWS\Installer\{A1200000-0004-0000-0000-074957833700}\ICON_SetupPalm.exe >>> подозрение на Trojan-PSW.Win32.OnLineGames.htm ( 00511B0B 08CD8ABD 001C13F0 001FD6D9 5324
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Если я от всего уже избавился, дайте совет какой антивирус лучше (Dr.Web?), какой версии? И какой файервол ставить Agnitum Outpost?(он у меня стоял, но как видно допустил заражение системы, стоит ли теперь доверять? Или не в нем дело?) Спасибо

[zonet]

Карантин загрузил.
Забыл отметить, что пользуюсь файлообменной сетючерез такие клиенты как Apex DC+, GreyLink, стоит ли продолжать это делать? Подозрение на заражение у меня, именно, на неё. До пользования ФОС проблем не было вовсе. Если поьзоваться можно, то как настроить Агнитум (использование его с ФОС сплошное мучение, приходится всё время вручую разрешать процессы). Программы качать из ФОС опасно-это спору нет, а безопасно ли видео и фото, документы?

[Гриша]

IRP перехваты от эмулятора дисков,вам нет повода беспокоиться, по поводу выбора антивируса:Касперский или Dr.Web,Agnitum Outpost оставьте хороший фаерволл,универсальной защиты не существует,все зависит от вас