Проблема с автозапуском

Дико увеличилось время с "приветствия" до нормальной возможности пользоваться компьютером:
Долго висит приветствие, таскбар долго загружается и тп.

В автозапуске (через avz) висит много "черных" пунктов. Кратко посмотрел по поисковикам, "ху из ху", но все же решил обратиться сюда.

+почему-то каждый раз, когда пытаюсь запустить icesword (хочу удалить "MsSip*) вылетает "экран смерти".

Восстановление системы отключил после пункта 1 диагностики.
Про блокировку настроек IE-знаю, моих рук дело.


Спасибо.

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {1FD79A59-37B1-459B-9097-09F9FAB8A523} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\yayyVoNE','');
DeleteFile('C:\WINDOWS\system32\yayyVoNE');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=53320[/url]).

Прочитайте и выполните это:
[url]http://virusinfo.info/showthread.php?t=43700[/url].

Сделайте новые логи.

Прислал карантин.
[QUOTE=Bratez;459299]
Прочитайте и выполните это:
[url]http://virusinfo.info/showthread.php?t=43700[/url].
[/QUOTE]
BITS-поменял значение без проблем.
wuauserv-"не удается изменить "ImagePath". Ошибка при записи нового значения параметра".

Готовьте новые логи.

[QUOTE=nismoxid;459322]wuauserv-"не удается изменить "ImagePath". Ошибка при записи нового значения параметра".[/QUOTE]
Разрешения не получается поменять?

Да, не получается.

Сейчас повторю логи.

[QUOTE=nismoxid;459388]Сейчас повторю логи.[/QUOTE]++ Сделайте лог полного сканирования [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL].

Загрузил все новые логи.

Удалите с помощью МБАМ
[CODE]HKEY_CLASSES_ROOT\dnscache.dnscacheobj
HKEY_CLASSES_ROOT\dnscache.dnscacheobj.1
HKEY_CLASSES_ROOT\Interface\{3f8febf0-4a50-4420-904c-52b90054223e}
HKEY_CLASSES_ROOT\Interface\{a825b3f7-6d09-4e4b-89a3-0dc05c0121fe}
HKEY_CLASSES_ROOT\CLSID\{376892ae-1825-4e5f-9f85-23f9640051cc}
HKEY_CLASSES_ROOT\Typelib\{46633232-ceae-4e9d-a0b7-37dcecbb97c6}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b5ac49a2-94f2-42bd-f434-2604812c897d}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b5af0562-94f3-42bd-f434-2604812c797d}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{32c620d6-cc10-4e6a-9715-bacacd5b0e61}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{376892ae-1825-4e5f-9f85-23f9640051cc}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09a78b33-c7f6-465d-9cca-98d5b98b78cb}
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7}
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6}
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7}
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\apexdc++
HKEY_CLASSES_ROOT\WR
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP


HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RList
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1


HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{010f0c47-7489-482b-a25f-be0000ffda24}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a236cbfe-56ce-47c5-8f0a-f0336d353314}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{010f0c47-7489-482b-a25f-be0000ffda24}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a236cbfe-56ce-47c5-8f0a-f0336d353314}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{010f0c47-7489-482b-a25f-be0000ffda24}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a236cbfe-56ce-47c5-8f0a-f0336d353314}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{010f0c47-7489-482b-a25f-be0000ffda24}\DhcpNameServer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{a236cbfe-56ce-47c5-8f0a-f0336d353314}\DhcpNameServer


C:\Documents and Settings\All Users\Ãëàâíîå ìåíþ\Ïðîãðàììû\Ardamax Keylogger
C:\WINDOWS\system32\lowsec
C:\Documents and Settings\All Users\Application Data\16877964


C:\Documents and Settings\All Users\Application Data\16877964\16877964.exe
C:\Documents and Settings\C. Four\Local Settings\Temp\CSM101.tmp
C:\Documents and Settings\C. Four\Local Settings\Temp\TMP115.tmp
C:\Documents and Settings\C. Four\Local Settings\Temp\~TM129.tmp
C:\Documents and Settings\C. Four\Local Settings\Temp\~TM149.tmp
C:\WINDOWS\system32\ttlylwg.dll
C:\Documents and Settings\All Users\Ãëàâíîå ìåíþ\Ïðîãðàììû\Ardamax Keylogger\Help.lnk
C:\Documents and Settings\All Users\Ãëàâíîå ìåíþ\Ïðîãðàììû\Ardamax Keylogger\Log Viewer.lnk
C:\WINDOWS\system32\lowsec\local.ds
C:\WINDOWS\system32\lowsec\user.ds
C:\Documents and Settings\C. Four\Application Data\wiaserva.log
C:\autorun.inf
C:\WINDOWS\system32\sft.res
C:\WINDOWS\aol.com-error.html
C:\WINDOWS\gmail.com-error.html
C:\WINDOWS\Google.com-error.html
C:\WINDOWS\live.com-error.html
C:\WINDOWS\search.yahoo.com-error.html [/CODE]
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- [URL="http://virusinfo.info/showthread.php?t=7660"]Очистите[/URL] файл [B]hosts[/B].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

А если я закрыл MBAM после проверки, как пофиксить ошибки? Неужели придется заново проверять всю систему? Это 2 с половиной часа!

[QUOTE=nismoxid;459756]Неужели придется заново проверять всю систему? Это 2 с половиной часа![/QUOTE]Ну завтра сделаете - вирусы не тараканы, за ночь не разбегутся ;)

Загрузил логи. Через MBAM удалял не все-т.к. Вы посоветовали мне удалить то что у меня давно стоит, то что я ставил сам. Например, adramax keylogger. :)

[CODE]127.0.0.1 q4master.idsoftware.com
81.177.22.48 farmerbot.mmteh.ru[/CODE]
Вы сами прописывали? Если НЕТ: [url]http://virusinfo.info/showthread.php?t=7660[/url]

- Прочитайте и сделайте: [url]http://virusinfo.info/showthread.php?t=43700[/url]

- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL].

Разрешение меняется?

Прописывал я.
Удалил "Бонжур".

Разрешение НЕ меняется. Опять wuauserv.

[QUOTE=nismoxid;460089]
Разрешение НЕ меняется. Опять wuauserv.[/QUOTE]- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.
[/CODE]

Выполнил. Все равно не изменить значение.

[QUOTE=nismoxid;460152]Выполнил. Все равно не изменить значение.[/QUOTE]
Безопасный режим + логин Администратор. Попробуйте оттуда.

В диалоге разрешений нажмите кнопку [I]Дополнительно[/I], выберите вкладку [I]Владелец [/I]и измените владельца на группу [I]Администраторы[/I].

[QUOTE=Bratez;460183]В диалоге разрешений нажмите кнопку [I]Дополнительно[/I], выберите вкладку [I]Владелец [/I]и измените владельца на группу [I]Администраторы[/I].[/QUOTE]

Проделал это, и сразу поменял значение.

---

А тут только меня интересует некий [B]splm.sys[/B]?

[QUOTE=nismoxid;460236]А тут только меня интересует некий [B]splm.sys[/B]?[/QUOTE]
sp??.sys - это от эмулятора CD.