Винда перезагружается

Доброго времени суток.

Нужна Ваша помощь в лечении .

Симтомы Каспер(Лицензия) постоянно находит и удаляет в корзине вирусы и парочку нашел в папке Sistem32 но ничего с ними сделать не может.
Производится загрузка ОС, ввод пользователя/пароля, появляется рабочий стол и когда как, обычно через секунд 10-20 происходит перезагрузка и так до бесконечности.
Вариант лечения средствами ОС.
При выборе вариантов загрузки - пункта последнюю удачную конфигурацию загружается нормально, до последующей перезагрузки или выключения.

Прилагаются логи.
Компьютер рабочий
Установлены: чтобы лишний раз не спрашивали Крипто-Про, модуль VNC.
При делании логов было запущено терминальное подключение, отключить нельзя было.

Установить AVZPM, повторить логи. Руткит у Вас сидит. ;)

PavelA, однако, AVZPM уже установлен.

Алексей, [b]отключите службу восстановления системы[/b] (см. Приложение 1 Правил).
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\system32\drivers\00000D76.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Установите Adobe Acrobat 9 или удалите старый.

[url=http://virusinfo.info/showpost.php?p=64376&postcount=1]Пофиксте[/url] в HijackThis следующие строки:
[quote]
O17 - HKLM\System\CCS\Services\Tcpip\..\{C036AB6F-24AB-47F7-A7E3-6ADD858420CC}: NameServer = 80.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDF5F033-74E9-4B1A-9D86-6A03BDCC13F1}: NameServer = 80.25
[/quote]
Сделайте новый лог HijackThis.

AndreyKa

В корне диска С найдены
1.clean.bat - ?????? бат файл
2.PDOXUSRS.NET

таких насколько я знаю не должно быть особенно в корне диска

По поводу скрипта
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\system32\drivers\00000D76.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Как выдастся свободная минутка сделаю.

Может эти файлы тоже добавить в карантин и проверить????

логи сделаны добавляю

clean.bat - вот этого только можно добавить.

[quote=PavelA;339877]clean.bat - вот этого только можно добавить.[/quote]
Ну счас мы его добавим

[size="1"][color="#666686"][B][I]Добавлено через 29 минут[/I][/B][/color][/size]

Результат загрузки
Файл сохранён как 090126_161659_virus_497db7cb01b5f.zip
Размер файла 48358
MD5 55b40811bb2dfb1b6e33daf5332a8df5

Файл закачан, спасибо!

Выполнил скрипт
перегрузился комп
загрузка, ввод пароля, рабочий стол и ... (5-10 секунд и ушел на перезагрузку)
сделал при выборе вариантов загрузки последную удачную конфигурацию с работоспособными параметрами и нормально загрузился. Пока работает, просто еще не перезагружался

Видать еще не все было удалено

Чуть не забыл при загрузке вывалилась ошибка типа (скриншот прилагается)
папка C:\Program Files\NOS существует но она пустая

а вот скриншот

Алексей, вы службу восстановления системы отключить пытались? Судя по логам она все еще включена.

[quote=AndreyKa;339905]Алексей, вы службу восстановления системы отключить пытались? Судя по логам она все еще включена.[/quote]

Когда делались логи было все включено
не мог раньше выключить.
когда выполнялся скрипт отключил

сейчас отключено,
новые логи делать ????

Действия надо было выполнять в том порядке, в котором они были написаны.

Новые логи с отключенным системным восстановлением

Скачать этот AVZ [url]http://depositfiles.com/files/5k0qihqas[/url]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\00000CC7.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...

продолжение лечения следует ????????????

Угу. Выполняйте скрипт от Гриши.

[quote=Гриша;340201]Скачать этот AVZ [URL]http://depositfiles.com/files/5k0qihqas[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\00000CC7.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Повторите логи...[/quote]

Выполнил скрипт
перегрузился комп
загрузка, ввод пароля, рабочий стол и ... (5-10 секунд и ушел на перезагрузку) так подряд два раза
сделал при выборе вариантов загрузки последную удачную конфигурацию с работоспособными параметрами и нормально загрузился. Пока работает, просто еще не перезагружался

Логи делаются
А вот и логи

А вот и логи

Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer[/URL]. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Кроме того, что Гриша написал ещё сделайте следущее.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
BC_DeleteSvc('owhyw');
DeleteFile('C:\WINDOWS\system32\drivers\owhyw.sys');
QuarantineFile('C:\WINDOWS\system32\drivers\owhyw.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файл [B]owhyw.sys [/B], если он попадет в карантин, через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

[quote=AndreyKa;341709]Кроме того, что Гриша написал ещё сделайте следущее.
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
BC_DeleteSvc('owhyw');
DeleteFile('C:\WINDOWS\system32\drivers\owhyw.sys');
QuarantineFile('C:\WINDOWS\system32\drivers\owhyw.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файл [B]owhyw.sys [/B], если он попадет в карантин, через ссылку [B][COLOR=red]Прислать запрошенный карантин [/COLOR][/B]вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.[/quote]

Это как - сначала удаляем, а потом садим в карантин,
может наоборот карантин чтоб сделать "препарацию" файла,
а потом удалим, тогда переписывать скрипт надо.