Мигание экрана, открытие окон IE, блок входа в Вин

Здравствуйте.
Прошу помощи в отлове цветных зловредов.

Основная система - WinXP SP2 (c:\) (второй системой, на d:\, стоит Vista Ultimate)
При работе в Интернет через Интернет Эксплорер 6, экран монитора начал мигать всеми цветами радуги.
После перезагрузки Виндовс, не доходя до страницы выбора пользователя, начинается тоже самое мигание
(блокировка входа в Виндовс). В Safe Mode - тоже самое.

Была произведена загрузка с ERD Commander и сделан скан системного диска с помощью DRWeb CureIt (лечить -> удалить).
Было найдено более 1000 вредоносных объектов.
Sysinternals autoruns показал в секции Image Hijacks много отладчиков ntos.exe -d.
В секции AppInit - автозагрузка c:\windows\fonts\vgT7sdnGydnmHkNm.fon

После лечения, стал возможен доступ в safe mode, но программы не запускались из-за отсутствия COMRes.dll.
После восстановления COMRes.dll из dllcache начали запускаться DrWeb CureIt, avz4.

При попытке загрузки в обычном режиме получаю BSOD:
STOP 0x0000008E (0xC0000005, 0xBF8278AE, 0xB33F2B9C, 0x00000000) win32k.sys
(память проверял - железо в норме, виста работает без проблем).

Лечится установкой КВ959252 до следующей перезагрузки.

При загрузке в обычном режиме выяснилось, что Каспер 6 не запускается, хотя и стоит в автозапуске.
При первой попытке установить KIS 7 инсталлятор, на шаге "Настройка приложений" закончил свою работу.

После перезагрузки Каспер все-таки доустановился (начал с того места, где остановился) и со второго раза обновил базы через Инет.

На рабочем столе обнаружились ярлыки запуска IE с названиями-абракадабрами вида ап3Жрв4_6чр, ведущие на com и cn домены. После всех методов лечения (загрузка с ERD Commander и лечение DrWeb CureIt, лечение в безопасном режиме avz4, лечение в обычном режиме работы Виндовс Касперским 7 с максимальными настройками) имеет место самопроизвольное открытие IE с какими-то китайскими сайтами.
Во многих ярлыках изменено свойство "Объект".
Добавилась приставка:
"C:\Program Files\Canon\rtsuu.exe" lnk, то есть ярлыки выглядят так:
"C:\Program Files\Canon\rtsuu.exe" lnk "C:\PROGRA~1\Far\Far.exe"
При изменении свойств таких ярлыков, получаю сообщение: "Не удается сохранить изменения. Отказано в доступе" (и в обычном, и в безопасном режимах).

Спасибо.

Автозапуск пока не зачищал.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\WinRAR\stimon.pif.v','');
QuarantineFile('C:\WINDOWS\system32\drivers\wfbmvngf.sys','');
DeleteService('mtlrd');
StopService('mtlrd');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys','');
DeleteService('WinHelp32');
DeleteService('WcsSrv');
QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
QuarantineFile('C:\Program Files\Common Files\Svc.exe','');
QuarantineFile('C:\WINDOWS\system\Noy2CD4.tmp','');
DeleteFile('c:\windows\system32\csrss.exe');
DeleteFile('C:\Program Files\Common Files\Svc.exe');
DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys');
DeleteFile('C:\Program Files\WinRAR\stimon.pif.v');
BC_ImportAll;
ExecuteRepair(9);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать заново логи.
Загрузить карантин по Правилам.

Здравствуйте.
После выполнения данного скрипта, комп перегрузился и теперь не могу зайти в Винду, ни в обычном режиме, не в безопасном, (пишу из под Висты), не доходя до страницы Приветствия и выбора пользователя, ВиндаХП падает в BSOD с сообщением:
STOP: c000021a {
} кракозябры кракозябры Session Manager Initialization
кракозябры 0xc0000034 (0x00000000 0x00000000)
кракозябры кракозябры кракозябры
:(
Как пофиксить? Может попробовать "Загрузиться с последними работоспособными параметрами?
Спасибо.

Загрузившись из-под Висты, распакуйте файл из вложения и поместите его в папку [B]c:\windows\system32[/B]
После этого пробуйте загрузиться и делать повторные логи

После восстановления csrss.exe смог загрузиться в Вин ХП. Спасибо.
При попытке загрузки файла virusinfo_cure.zip через красную ссылку вверху темы, получаю сообщение об ошибке:
---
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
---
Сам файл имеет размер: 22 байта и внутри пустой.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\WinRAR\stimon.pif','');
QuarantineFile('C:\WINDOWS\system32\xg4hAPNygs29.dll','');
QuarantineFile('C:\WINDOWS\system32\w7uds3zyayg9.dll','');
QuarantineFile('C:\WINDOWS\system32\v54M9wWBuNGTf2m.dll','');
QuarantineFile('C:\WINDOWS\system32\skcfujQ5EDN.dll','');
QuarantineFile('C:\WINDOWS\system32\rfpz9wwyy2np.dll','');
QuarantineFile('C:\WINDOWS\system32\h5yUmHGVdqVr.dll','');
QuarantineFile('C:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll','');
QuarantineFile('C:\WINDOWS\system32\dhDhwS7fFW.dll','');
QuarantineFile('C:\WINDOWS\system32\Rwad8sdv4e7V8xpKZ.dll','');
QuarantineFile('C:\WINDOWS\system32\Q9q2MHJ3uTBErM7wc.dll','');
QuarantineFile('C:\WINDOWS\system32\MV3ArsBMAPjxBcRuu.dll','');
QuarantineFile('C:\WINDOWS\system32\JPccCJnKygDdp3.dll','');
QuarantineFile('C:\WINDOWS\system32\EMPPpCCSA8GtjURjn.dll','');
QuarantineFile('C:\WINDOWS\system32\BRv8dETwEzcN.dll','');
QuarantineFile('C:\WINDOWS\system32\76B9BA7A.dll','');
QuarantineFile('C:\WINDOWS\system32\704C3595.dll','');
QuarantineFile('C:\WINDOWS\system32\122B901E.dll','');
QuarantineFile('C:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon','');
QuarantineFile('C:\WINDOWS\fonts\tY5UFS434YYd.fon','');
QuarantineFile('C:\WINDOWS\fonts\jUxfqJDwmfQEHcy2.fon','');
QuarantineFile('C:\WINDOWS\fonts\VBw9ZHsJt3M8tVgF.fon','');
QuarantineFile('C:\WINDOWS\fonts\SD78dgC7hD2sktQHyAu.fon','');
QuarantineFile('C:\WINDOWS\fonts\NPPVWvYEyCe8H.fon','');
QuarantineFile('C:\WINDOWS\fonts\E4kaa97Nsz8WJ9UV.fon','');
QuarantineFile('C:\WINDOWS\fonts\A97CRaCB.fon','');
QuarantineFile('C:\WINDOWS\system32\drivers\wfbmvngf.sys','');
QuarantineFile('C:\WINDOWS\system\Noy2CD4.tmp','');
QuarantineFile('c:\xue.exe','');
DeleteFile('c:\xue.exe');
DeleteFile('C:\WINDOWS\system\Noy2CD4.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\wfbmvngf.sys');
DeleteFile('C:\WINDOWS\fonts\A97CRaCB.fon');
DeleteFile('C:\WINDOWS\fonts\E4kaa97Nsz8WJ9UV.fon');
DeleteFile('C:\WINDOWS\fonts\NPPVWvYEyCe8H.fon');
DeleteFile('C:\WINDOWS\fonts\SD78dgC7hD2sktQHyAu.fon');
DeleteFile('C:\WINDOWS\fonts\VBw9ZHsJt3M8tVgF.fon');
DeleteFile('C:\WINDOWS\fonts\jUxfqJDwmfQEHcy2.fon');
DeleteFile('C:\WINDOWS\fonts\tY5UFS434YYd.fon');
DeleteFile('C:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon');
DeleteFile('C:\WINDOWS\system32\122B901E.dll');
DeleteFile('C:\WINDOWS\system32\704C3595.dll');
DeleteFile('C:\WINDOWS\system32\76B9BA7A.dll');
DeleteFile('C:\WINDOWS\system32\BRv8dETwEzcN.dll');
DeleteFile('C:\WINDOWS\system32\EMPPpCCSA8GtjURjn.dll');
DeleteFile('C:\WINDOWS\system32\JPccCJnKygDdp3.dll');
DeleteFile('C:\WINDOWS\system32\MV3ArsBMAPjxBcRuu.dll');
DeleteFile('C:\WINDOWS\system32\Q9q2MHJ3uTBErM7wc.dll');
DeleteFile('C:\WINDOWS\system32\Rwad8sdv4e7V8xpKZ.dll');
DeleteFile('C:\WINDOWS\system32\dhDhwS7fFW.dll');
DeleteFile('C:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll');
DeleteFile('C:\WINDOWS\system32\h5yUmHGVdqVr.dll');
DeleteFile('C:\WINDOWS\system32\rfpz9wwyy2np.dll');
DeleteFile('C:\WINDOWS\system32\skcfujQ5EDN.dll');
DeleteFile('C:\WINDOWS\system32\v54M9wWBuNGTf2m.dll');
DeleteFile('C:\WINDOWS\system32\w7uds3zyayg9.dll');
DeleteFile('C:\WINDOWS\system32\xg4hAPNygs29.dll');
DeleteFile('C:\Program Files\WinRAR\stimon.pif');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
DelCLSID('{2bf41072-b2b1-21c1-b5c1-0305f4545525');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=52302[/url]).
Сделайте новые логи.

virusinfo_cure.zip пустой с размером 22 байта.
virus.zip закачался успешно (по красной ссылке).

Выполните скрипт:
[CODE]begin
SetAVZGuardStatus(True);
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]
После перезагрузки повторите п.2 Диагностики.

Скрипт и п.2 Диагностики выполнил.

Проблема с ярлыками все еще существует:
----
Во многих ярлыках изменено свойство "Объект".
Добавилась приставка:
"C:\Program Files\Canon\rtsuu.exe" lnk, то есть ярлыки выглядят так:
"C:\Program Files\Canon\rtsuu.exe" lnk "C:\PROGRA~1\Far\Far.exe"
При изменении свойств таких ярлыков, получаю сообщение: "Не удается сохранить изменения. Отказано в доступе" (и в обычном, и в безопасном режимах).
Но они без проблем удаляются.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.


-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\a8skrv5p.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\a8skrv5p.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('');
ExecuteRepair(17);
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

Извиняюсь за долгий перерыв - командировка.
На компе за это время немного поработали - итог, 10 троянов + один залез в userinit.exe. Вроде полечил.
Посмотрите пожалуйста.
Вот новые логи.

[QUOTE=antiboot;456610]
На компе за это время немного поработали[/QUOTE]За такую работу пилюлю выписать надо, и причем такую, чтобы долго не забывалась... 8)

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Скачайте последнюю версию АВЗ по ссылке в правилах.
- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.


-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('WmiSvc');
QuarantineFile('C:\WINDOWS\system32\drivers\WmiSvc.sys','');
QuarantineFile('C:\WINDOWS\fonts\A97CRaCB.fon','');
QuarantineFile('C:\WINDOWS\fonts\E2advSTs3Y7QbBJXYH26aYt.fon','');
QuarantineFile('C:\WINDOWS\fonts\NPPVWvYEyCe8H.fon','');
QuarantineFile('C:\WINDOWS\fonts\SD78dgC7hD2sktQHyAu.fon','');
QuarantineFile('C:\WINDOWS\fonts\UY9BAMKvGrn7yfjF.fon','');
QuarantineFile('C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon','');
QuarantineFile('C:\WINDOWS\fonts\jUxfqJDwmfQEHcy2.fon','');
QuarantineFile('C:\WINDOWS\fonts\tY5UFS434YYd.fon','');
QuarantineFile('C:\WINDOWS\fonts\vds9ae5G5FmED.fon','');
QuarantineFile('C:\WINDOWS\fonts\vwuXtYbhj.fon','');
QuarantineFile('C:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon','');
QuarantineFile('C:\WINDOWS\system32\08223B03.dll','');
QuarantineFile('C:\WINDOWS\system32\122B901E.dll','');
QuarantineFile('C:\WINDOWS\system32\6to4.dll','');
QuarantineFile('C:\WINDOWS\system32\76B9BA7A.dll','');
QuarantineFile('C:\WINDOWS\system32\704C3595.dll','');
QuarantineFile('C:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll','');
QuarantineFile('C:\WINDOWS\system32\Rwad8sdv4e7V8xpKZ.dll','');
QuarantineFile('C:\WINDOWS\system32\SCEVFJRCmaB7.dll','');
QuarantineFile('C:\WINDOWS\system32\WcCtgJ4zcxHF.dll','');
QuarantineFile('C:\WINDOWS\system32\Y4npJWJNr.dll','');
QuarantineFile('C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll','');
QuarantineFile('C:\WINDOWS\system32\dhDhwS7fFW.dll','');
QuarantineFile('C:\WINDOWS\system32\eNyN5X48HrtXc.dll','');
QuarantineFile('C:\WINDOWS\system32\ed78ab9.dll','');
QuarantineFile('C:\WINDOWS\system32\hmnuguwk.dll','');
QuarantineFile('C:\WINDOWS\system32\ndxq9awMc.dll','');
QuarantineFile('C:\WINDOWS\system32\skcfujQ5EDN.dll','');
QuarantineFile('C:\WINDOWS\system32\rfpz9wwyy2np.dll','');
QuarantineFile('C:\WINDOWS\system32\w7uds3zyayg9.dll','');
DeleteFile('C:\WINDOWS\system32\w7uds3zyayg9.dll');
DeleteFile('C:\WINDOWS\system32\rfpz9wwyy2np.dll');
DeleteFile('C:\WINDOWS\system32\skcfujQ5EDN.dll');
DeleteFile('C:\WINDOWS\system32\ndxq9awMc.dll');
DeleteFile('C:\WINDOWS\system32\hmnuguwk.dll');
DeleteFile('C:\WINDOWS\system32\ed78ab9.dll');
DeleteFile('C:\WINDOWS\system32\eNyN5X48HrtXc.dll');
DeleteFile('C:\WINDOWS\system32\dhDhwS7fFW.dll');
DeleteFile('C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll');
DeleteFile('C:\WINDOWS\system32\Y4npJWJNr.dll');
DeleteFile('C:\WINDOWS\system32\WcCtgJ4zcxHF.dll');
DeleteFile('C:\WINDOWS\system32\SCEVFJRCmaB7.dll');
DeleteFile('C:\WINDOWS\system32\Rwad8sdv4e7V8xpKZ.dll');
DeleteFile('C:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll');
DeleteFile('C:\WINDOWS\system32\76B9BA7A.dll');
DeleteFile('C:\WINDOWS\system32\704C3595.dll');
DeleteFile('C:\WINDOWS\system32\122B901E.dll');
DeleteFile('C:\WINDOWS\system32\08223B03.dll');
DeleteFile('C:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon');
DeleteFile('C:\WINDOWS\fonts\vwuXtYbhj.fon');
DeleteFile('C:\WINDOWS\fonts\vds9ae5G5FmED.fon');
DeleteFile('C:\WINDOWS\fonts\tY5UFS434YYd.fon');
DeleteFile('C:\WINDOWS\fonts\jUxfqJDwmfQEHcy2.fon');
DeleteFile('C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon');
DeleteFile('C:\WINDOWS\fonts\UY9BAMKvGrn7yfjF.fon');
DeleteFile('C:\WINDOWS\fonts\SD78dgC7hD2sktQHyAu.fon');
DeleteFile('C:\WINDOWS\fonts\NPPVWvYEyCe8H.fon');
DeleteFile('C:\WINDOWS\fonts\E2advSTs3Y7QbBJXYH26aYt.fon');
DeleteFile('C:\WINDOWS\fonts\A97CRaCB.fon');
DeleteFile('C:\WINDOWS\system32\drivers\WmiSvc.sys');
DeleteService('WmiSvc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('WmiSvc');
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:

- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Сделайте лог полного сканирования [URL="http://www.malwarebytes.org/mbam-download.php"]MBAM[/URL].
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

Вот новые логи.

Лог gmer пришлю наверное уже завтра, т.к. он проверять будет до ночи.

MBAM установить/запустить не удалось :(
В конце установки и при запуске выдает ошибки:

Название окна:vbAccelerator SGrid II Control
Текст ошибки: Run-time error '0'
После нажатия ОК вылазит еще ошибка: Run-time error '440'
Automation Error

Карантин загрузил, но он вроде пустой.
Жду дальнейших указаний.
Спасибо.

Вполните:
[CODE]begin
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]
Повторите лог [B]virusinfo_syscheck.zip[/B].

Вот лог gmer.

Здесь чисто.

[QUOTE]Повторите лог virusinfo_syscheck.zip.[/QUOTE]

Свежий лог.

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\i8042prt.sys','');
DeleteFile('C:\WINDOWS\system32\6to4.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Повторите логи.

Новые логи.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\\xue.exe','');
DeleteFile('c:\\xue.exe');
QuarantineFile('c:\xue.exe','');
DeleteFile('c:\xue.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи