vhost. вирус не дает запустить отладчик. перезагружает комп.

интересный вирь. при попытке запуска любого отладчика перегружает комп. запуск AVZ с блокированием перехватчиков кернел-моде приводит к немедленной перезагрузке. Запуск CureIt тоже перезагружает комп.
выполнил скрипт в защищенном режиме, в обычном перегружается.

Заметил, что подменяется winlogon, svhost, explorer, но путь показывает правильный. Ещё возможно детектирует отладчики, прописывая для каждого свою среду окружения (в реестре заметил записи). Например, есть замечательная утилитка autoruns (synterials), после замены системных файлов с компакт-диска, в этой программе путь автозапуска для этих файлов(C:\WINDOWS\explorer.exe) был изменен (D:\autoruns\explorer.exe) , хотя в реестре стоял правильный путь, а запуск этой же утилитки из другой папки показывал правильный путь для этих файлов (C:\WINDOWS\explorer.exe).
восстановление WInd'ы не помогло.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Nla30\0000', 'CSConfigFlags', '1');
BC_DeleteSvc('Nla30');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]Повторите логи. Прикрепите также boot_clr.log из папки AVZ.

после выполнения скрипта (успешно) комп не грузится вообще. даже в защищенном режиме. перезагружается в самом начале загрузки.
сделал откат к последнему работоспособному.

Давайте свежие логи.

логи не изменились. я же сделал откат.

А кто его знает логи те же или нет. Вы уверенны, что откатилось именно к той точке когда Вы делали логи. Не мешало бы сделать новые.

я конечно их делаю, я сразу запустил, время уходит...

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

а скрипт на лечение и сбор инфы работает только в защищенном режиме. толку от него... надо что-то сделать, чтобы работал в обычном режиме.
ошибка обмена с драйвером (драйвером расширенного режима, как я понимаю)

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

Новые логи из защищенного режима

свежие логи

не успел за сегодня, еду в другой офис. продолжу через день. очень прошу помочь

Сделайте логи в нормальном режиме. Используйте только стандартный скрипт №2.

есть ограничения на объем загруженных вложений?
пришлось поудалять старые, чтобы прикрепить эти

сделал в нормальном режиме.

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте[/URL] кнопка file ... найдите и удалите ..
Nla30.sys ... повторите логи ..

удалил файл Nla30.sys
сканирование прошло
выкладываю логи

В логах всё нормально.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!

огромное спасибо :-)

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

а что это за зверь, и как мог попасть?
юзер довольно осторожный, и сайтами сомнительными не пользуется
файр стоит, и симантек

была одна из разновидностей bulknet ...