Лишение прав администратора, "windows security alert"

Всего 3 дня не было, уже намудрили с переустановленной системой. Во-первых постоянно висит желтый треугольник в углу с открытым окном - Windows antivirus.
Windows has detected spyware infection! и так далее. Пытается послать на некий [url]http://sanitardiska.com[/url]. Помимо этого периодически выкидывает окно Windows Security alert, пытается поставить Ultimate Defender. Ad-aware 2007 нашел

Winlogon shell
CLSID
hklm\software\microsoft\windows nt\currentversion\winlogon\shell

Nod32 ничего не нашел, Agnitum outpost тоже нашел этот winlogon shell, но сделать ничего не смог. В процессах долгое время запускался reg.exe(windows\system32\), причем дублируя себя. Также в фоне работает spoolsv.exe(запускает SYSTEM), shell.exe(от имени текущей учетной записи). Лишился доступа в настройкам, regedit, свойствам Мой Компьютер. Других пользователей не вижу при попытке сменить запись, через total commander нашел такие новые папки в documents and settings:
Default User, Default user.windows, LocalService, LocalService.NT Authority.000, LocalService.NT Authority, NetworkService и еще две такие же папки с NT.Authority и 000.

Нужны логи AVZ.

Скачайте и запустите маленькую [URL="http://virusinfo.ifolder.ru/4839289"]утилиту[/URL]. Всё что красное отметить и нажать 'Remove'. Чтобы выйти из программы, нажать 'Exit'. Потом перезагрузитесь и сделайте заново логи, в том числе логи AVZ.

Утилиту запустил, сейчас по новой сделаю логи. Досадно, что без safe mode не работает у меня. / Еще вопрос, у меня есть процесс shovth.exe, который периодически умирает, и говорит об этом, не знаете что это?)

Делайте логи, попробуем исправить.

Фуф.. Еще 2 синих экрана позади.) Вот логи..

Проблема с последним логом. Вроде удалось выложить.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Helper\ifastseek.dll','');
QuarantineFile('C:\windows\trayicons.exe','');
QuarantineFile('C:\windows\system32\winsos.exe','');
QuarantineFile('C:\windows\system32\winsn.exe','');
QuarantineFile('C:\windows\system32\spoolvs.exe','');
QuarantineFile('C:\windows\system32\printer.exe','');
QuarantineFile('C:\WINDOWS\system32\wowfx.dll','');
QuarantineFile('C:\WINDOWS\system32\ctfmona.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\findfast.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\nvoclock.sys','');
QuarantineFile('C:\WINDOWS\system32\kirjtkkd6c07-221a.sys','');
QuarantineFile('C:\WINDOWS\system32\kirjtkkd399e-3c12.sys','');
QuarantineFile('C:\windows\windisk.dll','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll','');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('c:\windows\shell.exe','');
DeleteFile('c:\windows\shell.exe');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\bot.dll');
DeleteFile('C:\windows\windisk.dll');
DeleteFile('C:\WINDOWS\system32\kirjtkkd399e-3c12.sys');
DeleteFile('C:\WINDOWS\system32\kirjtkkd6c07-221a.sys');
DeleteFile('C:\WINDOWS\system32\taskmon.sys');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\findfast.exe');
DeleteFile('C:\WINDOWS\system32\ctfmona.exe');
DeleteFile('C:\WINDOWS\system32\wowfx.dll');
DeleteFile('C:\windows\system32\printer.exe');
DeleteFile('C:\windows\system32\spoolvs.exe');
DeleteFile('C:\windows\system32\winsn.exe');
DeleteFile('C:\windows\system32\winsos.exe');
DeleteFile('C:\windows\trayicons.exe');
DeleteFile('C:\Documents and Settings\Меню\Application Data\trant.exe');
DeleteFile('C:\autorun.inf');
BC_ImportALL;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(16);
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин по [URL="http://virusinfo.info/upload_virus.php?tid=15997"]этой[/URL] ссылке. Повторите логи.

Спасибо сейчас сделаю все.

хороший наборчик ;-)
вот Qby41.sys ещё поискать - по второму пункту правил. и не забывать перед исполнением скриптов отключать инет , антивирус и фаэрвол.

Да уж. Я тоже дивлюсь как за 3 дня такое можно устроить. =) 3 лога новые выкладываю, и 2 карантина скидываю по просьбе.
Пока ничего не изменилось, все по старому, после того как запускал скрипт. Все делал в safe mode, так что вряд ли там хоть что-то лишнее будет)

1. Отключить восстановление системы.
2. Обновить базы AVZ
3. Сделать полную проверку куритом в безопасном режиме, потом в обычном и лишь потом переделать логи.

Шутки шутками, но каким образом я могу ее выключить если у меня даже на свойства рабочего стола ограничение. /
Что такое курит? о.О У меня при попытке создать в avz лог не в безопасном режиме а обычном, выкидывает синий экран. /
Подскажите пожалуйста, а то я пока не пойму что делать.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(16);
RebootWindows(false);
end.[/CODE]О курите прочитайте в [URL="http://virusinfo.info/showthread.php?t=1235"]правилах[/URL].

С cureit разобрался, когда перечитал название третий раз.) Запустил его сперва в safe mode, потом в обычном, отчего-то он написал что все удалил, но ничего не изменилось. запустил повторно в той же последовательности, теперь исчезли назойливые окна и вся эта дрянь из процессов. Теперь запустить этот скрипт и создать заново логи?

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

Запускаю скрипт, он работает а затем выдает синий экран, пробовал 2 раза. Сейчас запущу из safe mode. По прежнему лишен прав администратора. Что делать?

запустите в safe mode ...

Сделайте ещё один лог как написано [url="http://virusinfo.info/showthread.php?t=10387"]здесь[/url].

Из safe mode нормально заработал, ограничения сняты, spyware удалены.)
Спасибо большое.)
Зы. Стоит все-таки еще раз делать лог?

Сделайте лог о котором я говорил выше. AVZ по прежнему не работает в нормальном режиме?

Нет. Не работает в обычном режиме никак.
Сделал лог. Когда запускал первый стандартный скрипт, в итоге ругался на отсутсвие драйвера avz. Протокол служб сделал.