Проблемы с ноутом

На рабочем ноутбуке начальника возникли проблемы: запускается на 5-10 раз (в противном случае ошибка на синем экране), если запускается, то Др.Вэб находит вирусы-трояны, после удаления все равно появляются снова, в частности Backdoor.Bulknet и Trojan.Packed140. В общем невесело, т.к. переустановка очень непроста - есть проблемы с рабочими приложениями, а помощи ждать неоткуда, мы в Аргентине, а они в Питере (наши компьютерщики). Из безопасного режима проверил системный диск AVZ и HiJack, логи прилагаю. Надеюсь на помощь.

Закройте все программы.
Отключитесь от Интернета.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SearchRootkit(true, true);
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\luk\Local Settings\Temp\win1D3F.tmp','');
QuarantineFile('C:\WINDOWS\system32\helper.dll','');
QuarantineFile('tphklock.dll','');
QuarantineFile('psqlpwd.dll','');
QuarantineFile('notifyf2.dll','');
QuarantineFile('cligumim.exe','');
QuarantineFile('autorun.bat','');
QuarantineFile('C:\WINDOWS\system32\wpfcef.dll','');
QuarantineFile('C:\WINDOWS\system32\vexg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\rpcc.exe','');
QuarantineFile('C:\WINDOWS\system32\rdsruns.exe','');
QuarantineFile('C:\WINDOWS\system32\mmswr.exe','');
QuarantineFile('C:\WINDOWS\system32\kernels32.exe','');
QuarantineFile('C:\WINDOWS\system32\edconss.exe','');
QuarantineFile('C:\WINDOWS\system32\cpdbl32.dll','');
QuarantineFile('C:\WINDOWS\system32\clifhysb.exe','');
QuarantineFile('C:\WINDOWS\retadpu27.exe','');
QuarantineFile('C:\DOCUME~1\luk\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
QuarantineFile('C:\WINDOWS\system32\tphklock.dll','');
QuarantineFile('\??\C:\WINDOWS\system32\xpdx.sys','');
QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
BC_QrFile('C:\WINDOWS\system32\a3dx8.dll');
BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
ExecuteSysClean;
ClearHostsFile;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(false);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил)

Из обычного режима AVZ запускается каким-то кривым и скрипт не выполнить. Можно это сделать из Safe Mode?

Да, скрипт можно запустить из Safe mode.
Что значит, AVZ запускается кривым и почему скрипт не выполнить?

После выполения скрипта [url=http://virusinfo.info/showthread.php?t=4491]пофиксте[/url] в HijackThis следующие строки:
[quote]
O2 - BHO: Helper Class - {850C7964-9320-4055-BE11-7D7B562A6417} - C:\WINDOWS\system32\helper.dll (file missing)
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A284661A64DB7C8F0287E55E246220D9E728F80D6664366DB7D5475E744AB97
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe
O4 - HKLM\..\Run: [clsvxs] cligumim.exe
O4 - HKLM\..\Run: [uiprocs] C:\WINDOWS\system32\clifhysb.exe
O4 - HKLM\..\Run: [newrs32] C:\WINDOWS\system32\edconss.exe
O4 - HKLM\..\Run: [mwini32] C:\WINDOWS\system32\mmswr.exe
O4 - HKLM\..\Run: [msrlink] C:\WINDOWS\system32\rdsruns.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vexg6ame4.exe
O4 - HKCU\..\Run: [clsvxs] cligumim.exe
O4 - HKCU\..\Run: [uiprocs] C:\WINDOWS\system32\clifhysb.exe
O4 - HKCU\..\Run: [newrs32] C:\WINDOWS\system32\edconss.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\luk\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [mwini32] C:\WINDOWS\system32\mmswr.exe
O4 - HKCU\..\Run: [msrlink] C:\WINDOWS\system32\rdsruns.exe
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dx8.dll
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: psfus - C:\WINDOWS\SYSTEM32\psqlpwd.dll
O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll
O21 - SSODL: CDRecorder036 - {A3BC5E20-0235-1ABF-9CE1-00AA00512036} - C:\WINDOWS\system32\cpdbl32.dll (file missing)
O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\wpfcef.dll (file missing)
[/quote]
Перезагрузите компьютер.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме вместе с файлом boot_clr.log из папки AVZ.

Спасибо за помощь, но все идет не так быстро, как хочется - Hijack не запускается даже переименованный, придется из Safe Mode

Пожалуйста, делайте то что вам говорят. Вы не прислали карантин, а уже стали фиксить в HijackThis.
И отвечайте на вопросы. Иначе, помочь вам будет очень сложно.

AVZ запускается с черными кнопками, скрипт не вставляется.

А как посылать файлы из карантина, их там много? Все и посылать?

Двадцать четыре файла было заряжено скриптом. Можно считать, что это много. Присылайте, что есть.

Спасибо за помощь, завтра пришлю

1. Выполните скрипт:
[code]begin
BC_DeleteSVC('runtime');
BC_DeleteSVC('runtime2');
BC_DeleteSvc('xpdx');
BC_DeleteFile('C:\WINDOWS\system32\xpdx.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
В безопасном режиме выполните пункт 2 правил -перезагрузитесь.
После, установив AVZPM, сделайте новые логи.

Посылаю файлы карантина. По 2 пункту правил - у меня Др.Веб, написано, что в этом случае этот пункт пропустить. И что значи AVZPM??

После скрипта от [B]Alex_Goodwin [/B]выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\a3dx8.dll');
DeleteFile('C:\WINDOWS\system32\autorun.*');
DeleteFile('C:\autorun.*');
BC_DeleteFile('C:\WINDOWS\system32\a3dx8.dll');
ExecuteSysClean;
ClearHostsFile;
BC_Activate;
RebootWindows(true);
end.[/code]
(последует перезагрузка)
Если возникнут проблемы с открытием дисков через "Мой компьютер",
решение найдете [URL="http://virusinfo.info/showthread.php?t=8877"]здесь[/URL].
Если сделать логи в нормальном режиме по-прежнему невозможно,
сделайте, как написано [URL="http://virusinfo.info/showthread.php?t=10387"]здесь[/URL].

Высылаю логи, сделанные после выполенения скрипта Alex_Goodwin в нормальном режиме. Сейчас буду делать следующий скрипт.

Вышлите получившийся карантин. Там много чего отловилось.

[QUOTE]Сейчас буду делать следующий скрипт.[/QUOTE]
Хорошо. После него еще вот этот:
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\Documents and Settings\luk\Local Settings\Temp\*.*');
DeleteFile('C:\WINDOWS\Temp\*.*');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
и опять новые логи.

Высылаю последние логи. Все уже гораздо лучше - Windows грузится с первого раза, IE работает.

Опять возникают подозрительные файлы во временной папке, странно это,
хотя в системе вроде бы уже чисто...
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: IBM Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - shell32.dll (file missing)
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
[/code]
Обновите базы DrWeb и сделайте полную проверку компьютера в безопасном режиме.
Надеюсь, на этом ваши проблемы закончатся.

Но тем не менее, Др.Веб нашел Trojan.Packed.140 в папке С:\Documents_and_Settings\...\Temp
Да, сейчас сделаю.

Большое спасибо за помощь, все работает, вирусов больше не найдено.