Подмена имени

Здравствуйте,
сегодня пришлось ставить систему на соседний раздел (WinXP, E: ), т.к. при выполнении скрипта [B]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" [/B] на рабочей ОС (WINXP, С: ) компьютер уходит в перезагрузку. На новой системе скрипт обнаруживает подмену имени... spidernt.exe и еще парочки.

DRWEB ничего подозрительного не находит.
Прикрепленные логи - новая система с раздела E:
Очень хотелось бы как-нибудь победить заразу на основной системе.
Заранее огромное спасибо.

Какой смысл делать логи после переустановки Windows?

Я не переустанавливал, а просто установил новую систему на соседний раздел. А проблема с подменой имен осталась и в новой ос. Просто очень хочется не переустанавливать рабочую систему.

Только что попробовал запустить скрипт на (Win, С:) в безопасном режиме. скрипт отрабатывает практически до конца. уже появляется сообщение о создании отчета, еще пара строк ... BSOD на долю секунды и перезагрузка.

При проверке диска chkdsk находит одну ошибку в файле AVZ*.tmp, в логах программы ничего нет :(

[QUOTE='asdas911;122958']Я не переустанавливал, а просто установил новую систему на соседний раздел.[/QUOTE]
Так ничего не получится. Необходимо чтобы AVZ работал с реестром и системными путями именно той системы в которой есть поблемы.

[QUOTE='asdas911;122958']А проблема с подменой имен осталась и в новой ос.[/QUOTE]Нет никакой проблемы. Все нормально.

Сureit надо запускать только тем, у кого антивирус НЕ DrWeb.

Чтобы сдвинутся с мервой точки попробуем так:
Выполните из рабочей ОС (WINXP, С: ) в [B]безопасном[/B] режиме то, что написано [url=http://virusinfo.info/showpost.php?p=55790&postcount=1] тут[/url], но архив загрузите не как там написано, а по ссылке:
[url]http://virusinfo.info/upload_virus.php?tid=11079[/url]

не знаю, поможет ли это сдвинутся с мертвой точки, но...

в безопасном режиме доходит до:
"Выполняется автокарантин"
c:\.... успешно добавлен в карантин
с:\....\winlogon.exe успешно добавлен в карантин
и BSOD, перезагрузка.

в нормальном режиме - тоже самое, только перед winlogon.exe больше файлов. :-(

Отключие автоматическую перезагрузку:
Свойства компьютера - Дополнительно - Загрузка и восстановление.
И запишите первые две строки с синего экрана.

+

Лог Hijackthis в рабочей ОС вы можете сделать?

Выполните пожалуйста [url]http://virusinfo.info/showthread.php?t=10963[/url]
Рекомендации актуальны для Вашего случая.

Проверка системного тома ничего не дала.

В системных событиях после очередной перезагрузки только запись экрана смерти, больше ничего интересного:
Компьютер был перезагружен после критической ошибки: 0x1000008e (0xc0000005, 0xf741d640, 0xf5838b80, 0x00000000). Копия памяти сохранена: C:\WINDOWS\Minidump\Mini071707-01.dmp.

BSOD
Stop: 0x0000008E
FastFat.Sys - adress f741d640

посмотрел на форумах про эту ошибку, в основном грешат на память.
проверил память двумя разными тестами. все ок.
попробовал менять местами планки и оставлять по одной. результат тот же.

сегодня уже сил нет. попробую повоевать завтра. у нас уже ночь давно.

на скрепке лог Hijackthis и дамп памяти.

Каждый раз при запуске 3-го скрипта пишет красным:

Функция NtDeleteValueKey (41) перехвачена (8058EAFA->F76F04C2), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (8056EF68->F76EFFFA), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (8057EC28->F76F01B6), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (80567BFB->F76EFF4C), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80574D1D->F76F0372), перехватчик C:\WINDOWS\system32\drivers\runtime2.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован

и

1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=F5942000, размер=73728, имя = "\??\C:\WINDOWS\system32\DRIVERS\NVKEYNT.SYS"


Спасибо за участие.

лог дополнительный в Safe Mode запросто решит все ваши проблемы!!
(почти реклама СБ)

А если серьезно. Выполните скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
// Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
// BC_DeleteSvc('Ip6Fw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Это должно помочь, почти как аспирин.:) После логи в студию !!!
З.Ы.сорри! У нас сегодня праздник.

[QUOTE='PavelA;123049']З.Ы.сорри! У нас сегодня праздник.[/QUOTE]Какой праздник?

скрипт не помог =((
таже история: экран смерти (fastfat.sys).

очень жду еще вариатов борьбы с этой гадостью.

Сделайте дополнительный лог на зараженной системе как написано [URL="http://virusinfo.info/showthread.php?t=10387"]здесь[/URL].

И пришлите то, что попало в карантин.

доп. лог уже пробовал делать. таже проблема (bsod). в карантине пусто.