Синий экран периодически

Добрый вечер.
Проблема в том что ноут стал после удаления банера в синий экран падать. на диске с: виста на d: XP , при загрузке использую тока ХР.

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "c:\progra~1\ThunMail\testabd.dll,c:\progra~1\MicPhone\antit.dll,c:\progra~1\Manson\liser.dll"
>>> Обратите внимание - нестандартный диспетчер задач "D:\RECYCLER\S-1-5-21-4234379965-8432809081-060662768-9384\hdav.exe"
>>> D:\WINDOWS\system32\sfcfiles.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> D:\WINDOWS\system32\tpszxyd.sys ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)

1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - Default URLSearchHook is missing
O2 - BHO: MS Media Module - {C93DFD2E-942F-0868-955E-3C8A87CA9775} - (no file)
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\tpszxyd.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\GDEMGS.sys','');
QuarantineFile('D:\WINDOWS\system32\wiawow32.sys','');
QuarantineFile('D:\WINDOWS\system32\vp_setup.exe','');
QuarantineFile('D:\WINDOWS\system32\vic_setup.exe','');
QuarantineFile('D:\Program Files\plugin.exe','');
QuarantineFile('D:\RECYCLER\S-1-5-21-4234379965-8432809081-060662768-9384\hdav.exe','');
DeleteFile('D:\RECYCLER\S-1-5-21-4234379965-8432809081-060662768-9384\hdav.exe');
DeleteFile('D:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]

>>> D:\WINDOWS\system32\sfcfiles.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> D:\WINDOWS\system32\tpszxyd.sys ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)

Бук продолжает падать в синий экран
Сканирование в gmer не получается, то синий экран, то просто сам по себе закрывается

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('D:\WINDOWS\System32\drivers\GDEMGS.SYS');
DeleteFile('D:\WINDOWS\system32\tpszxyd.sys');
DeleteFile('D:\WINDOWS\system32\wiawow32.sys');
DeleteFile('D:\WINDOWS\system32\vp_setup.exe');
DeleteFile('D:\WINDOWS\system32\vic_setup.exe');
DeleteFile('D:\WINDOWS\system32\drivers\ovfsthxxnosrrwq.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторные логи virusinfo_syscheck.zip; virusinfo_syscure.zip

Вопрос? А если IE перестал вкл. т.е. при запуске открывается и закрывается. что тогда?

давайте сделаем скрипт из поста №4 и новые логи, а после будем разбираться дальше

из ситуации с IE вышел, высылаю файлы

Ноут вроде работает.... но все же AVZ показывает
[SIZE=2]>>> Подозрение на маскировку ключа реестра службы\драйвера "ovfsthxbrpdqvxe"
[/SIZE][SIZE=2][COLOR=#ff0000]>>> D:\WINDOWS\system32\sfcfiles.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)[/COLOR][/SIZE][SIZE=2]
[/SIZE]

Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ovfsthxbrpdqvxe');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\ovfsthxbrpdqvxe\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ovfsthxbrpdqvxe');
end.[/code]
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\windows\system32\tpszxyd.sys - [B]Trojan-Downloader.Win32.DlfBfkg.gs[/B] ( DrWEB: Trojan.Bfkq.17, BitDefender: Trojan.Generic.IS.530997, NOD32: Win32/Adware.Coolezweb.AV application, AVAST4: Win32:Refpron-AH [Trj] )[*] d:\windows\system32\vic_setup.exe - [B]Trojan-GameThief.Win32.WOW.ozc[/B] ( DrWEB: archive: Trojan.Siggen.2417, BitDefender: Trojan.Generic.2044135 )[*] d:\windows\system32\vp_setup.exe - [B]Trojan-Clicker.Win32.VB.cwi[/B] ( DrWEB: archive: Trojan.PWS.Siggen.103, BitDefender: Dropped:Trojan.Generic.1958351 )[*] d:\windows\system32\wiawow32.sys - [B]Trojan.Win32.VBimay.hj[/B] ( DrWEB: Trojan.Click.26518, BitDefender: Gen:Trojan.Heur.cm0@sSDbs8pb, AVAST4: Win32:Trojan-gen )[/LIST][/LIST]