Возможно вирус

При включении иногда останавливается на картинке запуск Windows 2000 и строка загрузки была где-то по серединке. Я изменил файл boot.ini, добавив параметры /sos /bootlog.
Вот некоторые строчки из ntbtlog.txt созданного в результате параметра /bootlog:
Loaded driver \??\C:\WINNT\System32\Drivers\ute0nzk2.sys
Did not load driver \??\C:\WINNT\System32\Drivers\ute0nzk2.sys
Loaded driver \??\C:\WINNT\System32\drivers\klif.sys
В логе АВЗ, в процессах System.exe с ошибкой получения информации о файле.
Порты TCP/UDP нет данных о приложении.

stat.ru - известный вам домен?
В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('System.exe','');
QuarantineFile('C:\WINNT\System32\drivers\ati_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\cirrus_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\et4000_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\mga_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\qv_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\s3legacy_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\wdvga_det.sys','');
QuarantineFile('C:\WINNT\System32\drivers\weitekp9_det.sys','');
BC_ImportAll;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/code]


После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин [b]quarantine.zip[/b] по красной ссылке [B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B] вверху темы.
Логи повторите.

stat.ru - домен мне неизвестный
И ещё загружается долго, в начале на экране появляется панель управления, через, примерно, 40сек. рабочий стол, за ним каспер. Может это из-за каспера или автозагрузки?

Карантин я выслал

Файлы не попали в карантин.
сделайте лог [url=http://virusinfo.info/showthread.php?t=40118]Gmer[/url]
Сделайте лог [url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url]

При запуске GMERа ругается Каспер "подозрительные действия", дважды нажав "запретить" сделал лог.

МВАМ - скачал по ссылке, при установке останавливается на файле с расширением *.ref и всё, зависает. Причем в диспечере задач два процесса МВАМ, один из них забирает всю производительность на себя.
Может где другой скачать?

И тачка опять зависла при перезагрузке. Я посмотрел в логе загрузки, когда порядок загрузки драйверов нарушен - комп. виснет.

При сканировании gmer нужно отключать антивирус. При установке mbam - также, отключаем антивирус и фаервол. Попробуйте с учетом этого.

Отключил антивирус, Гмером лог сделал, выкладываю.
МВАМ - как и писал, зависает при установке на файле "rules.ref" (при отключенном антивирусе). Загрузка 99%, окно установки не отвечает. МВАМ я скачал по ссылке.

В логе гмер чисто. Сделайте лог [url=http://virusinfo.info/showthread.php?t=59446]GSI[/url],[b]ссылку на результат проверки напишите.[/b]

MBAM установил, просканировал, но лог не сохранился. Я сохранил только отчет.
GSI - под Win2000 не запустился.

Вот ещё, я скачал IceSword. Через его поиск я нашел кучу разных System, только несмог сохранить найденое списком, поэтому сделал снимок экрана и сохранил в Word. Если понадобится, могу выслать.
В разделе Files (IceWord) на диске С он показывает папки, у некоторых вместо имен - иероглифы. Посмотрел через TotalComander этих папок там нет. Можно их удалить?

[size="1"][color="#666686"][B][I]Добавлено через 57 секунд[/I][/B][/color][/size]

Извините за опечатки :)

НИЧЕГО не удалять!!! IceSword так интерпретирует русские символы. В логе мбам ничего интересного. Если вы проявили самостоятельность, то попробуйте с помощью IceSword найти и скопировать файлы из сообщения #2, ни один из файлов в карантин не попал.

IceSword ничего не нашел. AVZ, IceSword - пытался сделать карантин в безопасном режиме, ничего. В boot_clean.log пишет ?? и путь к файлу, через дефис failed (0xC000000D) и так на все файлы карантина.
В модуле пространства ядра были несколько записей черного цвета и одна красного. Я сделал их дамп, если потребуется.
Красной строкой:
VGA.dll \SystemRoot\System32\VGA.dll

VGA.dll - это нормальный драйвер. Проверьте его на virustotal, если есть сомнения.
Файлы находятся по поиску через AVZ? Попробуйте пожалуйста. Либо это просто ссылки в реестре.

VirusTotal.com - невозможно найти удаленный сервер. А кроме VirusTotal еще кому-нибудь можно отправить?
По поиску через AVZ файлов тоже нет.

Видимо их нет на диске. Кроме этих файлов я больше ничего подозрительного не обнаружил в логах.

Откуда берется System.exe, в процессах есть а на диске нет?
С файлами которые не попали в карантин и записями в реестре о них, что делать?

[QUOTE='Petrovich031;723171']Откуда берется System.exe, в процессах есть а на диске нет?[/QUOTE]
это обычный псевдопроцесс, его и нет на диске.

[QUOTE='Petrovich031;723171']С файлами которые не попали в карантин и записями в реестре о них, что делать?[/QUOTE]
ничего не делать. Я не могу сделать вывод зловредны они или нет, так как нет файлов для анализа, поэтому ничего не удаляю.

Если зловредов нет значит это что-то с системой, буду разбираться.
Спасибо за помощь!
Тему можно закрыть.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\oftsemd.dll - [B]Trojan.Win32.Cidox.av[/B] ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6222656, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:MalOb-HG [Cryp] )[/LIST][/LIST]