вирус убил Windows???

Пожалуйста, помогите!
Вчера подцепили какой-то вирус на ноутбук. В результате имеем синий экран...
В безопасном режиме проверили Доктором Вебом, убил много троянов. Потом несколько раз прогнали через AVZ, еще убил кого-то...
Но копм до сих пор грузится только в безопасном режиме. При попытке обычной загрузке на странице ввода пароля снова выдает синий экран с аглицкими словами типа "Проверьте, весь ли софт у вас установлен". Что это может быть?
Высылаю последние логи.

-а есть ли в BSOD`е(синем экране) упоминание какогото конкретного файла или программы?.. по возможности, процитируйте его содержание полностью.
-ну, а логи посмотрим...

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

-пофиксить в HijackThis:[code]O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\62AE~1\LOCALS~1\Temp\winlogon.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)[/code]
-в AVZ выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\62AE~1\LOCALS~1\Temp\winlogon.exe','');
BC_DeleteFile('C:\DOCUME~1\62AE~1\LOCALS~1\Temp\winlogon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

цитирую:
amon.sys
page_fault_in_nonpaged_area

stop: 0x00000050 (0xA99E0000? 0x00000000, 0xA996EB1E, 0x00000000)

amon.sys - Address A996EB1E base at A9966000 DateStamp 42b817d6

А еще при загрузке безопасного режима он пишет: press Esc to cancel loading a347bus.sys

Пофиксила, лог выполнила. Теперь нужно что-то Вам прислать?

удалить нод32 из безопасного, должно полегчать ;)

И полегчало, однако! :D загрузилась в обычном режиме, слава virusinfo ;)
теперь уже можно обратно Nod32 поставить, или еще какое лечение необходимо?:?

-пришлите карантин... ну, и выполните совет [b]drongo[/b]

высылаю карантин в архиве

[B]Pat[/B],карантин по ссылке [url]http://virusinfo.info/upload_virus.php?tid=12163[/url], здесь низя

Drongo, так и знала, что нарушила правила... :'-(
теперь закачала по ссылке

И логи свежие нужны. В нормальном режиме.

Что из этого надо ?
[code]Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена[/code]

Если ничего, вот скрипт для закрытия этих дырок:

[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]

затем то что сказал Bratez.

дырки закрыла
вот новые логи :?

Логи чистые.

c:\windows\System32\Drivers\Parport.SYS - почему маскируется ? из авз поискать и прислать .
это тоже отключить:
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

Теперь все стерильно ;)

[QUOTE='drongo;131701']c:\windows\System32\Drivers\Parport.SYS - почему маскируется ? из авз поискать и прислать [/QUOTE]
Он всегда так. Мы где-то месяц назад за ним несколько дней гонялись тут на форуме.

ясно, это редиска ;)

ну тогда, как говорится, "всем спасибо, все свободны" ;)
И серьезно: большущее вам всем СПАСИБО! :good:

[B]Pat[/B], можете ставить антивирус по вашему вкусу ;)

Чтобы уменьшить шанс заражения, советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!

Удачи!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]