Неубиваемый autorun.exe

Здравствуйте!
У меня проблема с Windows XP Home Ed. SP2.
В системе установлена Avira, стоял Spybot S&D.
Позавчера мне в квипе прислали файл, в процессе его получения этот Spybot ругнулся на svchost, назвал какой-то вирус и доложил, что деактивировал процесс.
Не придав этому значения, доработала до конца дня, благополучно выключила комп.
На следующий день не смогла его включить. Не загружался Explorer.exe. Дальше была куча разных действий и загрузиться все-таки удалось. С помощью AVZ провела восстановление защищенных системных файлов Windows.

А чуть позже увидела на флешке autorun.exe и autorun.inf. Пыталась их удалить с помощью anti_autorun.exe - они опять появляются...

Система ведет себя странно и неустойчива очень.
В безопасном режиме вчера загрузиться не удалось.

Cure It! после запуска вылетает с ошибкой. AVZ не запускается с сообщением об Access violation.

Не могу с ним справится, помогите, пожалуйста!

Лог HijackThis прикладываю


Могу прислать логи RSIT и IceSword

А если попробовать запустить [URL="http://www.drpbk.dp.ua/cure/tpk/set.pif"]такой AVZ[/URL] и им сделать логи?

AVZ не запускается ни под каким видом все с той же ошибкой :(

Даже тот, ссылку на который я дал?

Даже тот. Честно скачала и попыталась запустить. Процесс висит, один за другим появляются алерты с сообщением об ошибке с кнопкой "ок". И их не удается закрыть до тех пор, пока не убьешь запущенный процесс.

Тогда [URL="http://virusinfo.info/showthread.php?t=40118"]лог Гмер-а сделайте[/URL] пожалуйста

Вот, лог Gmer

C:\WINDOWS\system32\CMMON32.EXE - вот этот процесс через Ctrl+Alt+del попробуйте убить. М.б. тогда что-нибудь запуститься.

Убила. Все равно ни AVZ, ни CureIt! не запускаются

Значит, остается лечиться с LiveCd.

Надо записать загружающийся диск и пролечить машину. После уже делать проверки в Windows, загрузившись с жесткого диска.

+ PavelA
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].

Я вчера полдня, загрузившись с LiveCD от DrWeb, проверяла винт - вообще ничего не обнаружил. Только там базы старые, а обновить их из-под той оболочки у меня не получается.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

[B]Rene-gad[/B], в MBAM проверять только системный раздел?

[QUOTE=Liage;457132][B]Rene-gad[/B], в MBAM проверять только системный раздел?[/QUOTE]Да.

Вот, проверила

Эти пункты:
[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\debugger
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath

C:\Program Files\Microsoft Common\svchost.exe
C:\WINDOWS\system32\logon.exe
C:\WINDOWS\system32\msvcrt57.dll
C:\WINDOWS\Temp\rdl2D.tmp.exe[/CODE]
пролечите в МБАМ.

Потом сделайте новые лог МБАМ и попробуйте сделать логи по правилам.

Сделала пока быструю проверку, вот лог

[QUOTE=Liage;457249]Сделала пока быструю проверку[/QUOTE]Не надо быструю - надо полную.

AVZ запустился! Может тогда им?

[QUOTE=Liage;457256]AVZ запустился! Может тогда им?[/QUOTE]и им тоже.

Результаты полной проверки MBAM, выполнения скриптов AVZ и проверки HijackThis во вложении.

Комп по-прежнему не удается загрузить в безопасном режиме и иконка VPN-соединения становится полупрозрачной, как будто оно делается скрытым.