Вирус. Всегда перезагружается виндовс

[QUOTE]AVZ меню Сервис -> Менеджер автозапуска -> удалить строки (кнопка с крестиком) с упоминанием следующих файлов:
C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
C:\WINDOWS\system32\agss32.dll
C:\WINDOWS\system32\stonedrv.exe
rpcc.exe

PS. Будьте внимательны, не удалите ничего лишнего.[/QUOTE]

Здесь всё зделано!

[QUOTE]AVZ меню Сервис -> Менеджер файла Host

Оставьте там только строчку:
127.0.0.1 localhost

все остальные, расположенные ниже, удалите.[/QUOTE]

В этой операции я удаляю все строки, которые расположены ниже 127.0.0.1 localhost, но после перезагрузки компа всё остаётся на прежнем месте.
(Комп всё ещё рестартится...)

[QUOTE=Nik]Здесь всё зделано!

В этой операции я удаляю все строки, которые расположены ниже 127.0.0.1 localhost, но после перезагрузки компа всё остаётся на прежнем месте.
(Комп всё ещё рестартится...)[/QUOTE]
Т.е. файлы не удалены ?

Если так, удалите их [url=http://www.virusinfo.info/showthread.php?t=5757]Avenger-ом[/url].
Скрипт для удаления:
[CODE]
Files to delete:
C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
C:\WINDOWS\system32\agss32.dll
C:\WINDOWS\system32\stonedrv.exe
C:\WINDOWS\system32\rpcc.exe

Folders to Delete:
C:\Documents and Settings\All Users\Documents\Settings
[/CODE]

Строку
C:\WINDOWS\system32\rpcc.exe
сначала проверьте - найдите поиском из AVZ на диске файл rpcc.exe и уточните путь, если он отличается.

Есть еще предложения:
1. Деинсталируйте Trojan Remover. То что не помогает, то мешает.
2. Отключите службу восстановения системы, раз уж она не работает. (как отключить см. Приложение 1. Правил)
Хотя можно еще раз попробовать.
[quote]System Restore тоже не получаеться зделать.(число и месяц не могу выделить)[/quote]
Там дату можно не любую выбирать, а только ту, для которой была создана точка восстановления.
3. task manager можно вернуть так:
В AVZ меню Файл - Восстановление системы - отметьте галочкой строку:
Удаление всех Policies ...
и нажмите кнопку "Выполнить операции"
4. Очистите временные Интернет файлы.

И ещё.
В Control Panel -> System -> Advanced -> Startup and Recovere
снимите галочку Automatically reboot.
Возможно после этого будет появляться синий экран, тогда спишите с него первую пару строк и напишите их тут.

Alexey A


После перезагрузки в блокноте откроется файл с протоколом выполнения, сохраните его.
Ни какого файла не было. Повторная попытка выдаёт ошибку ( could not create zip file) - помоему что то такое, кода ошибок всегда разные. Теперь и error logа нету.

AVZ ничего похожего не нашол на rpcc.exe

AndreYka

1. Trojan Remoover - удалён.
2. Ресторе выключил.
3. Удалил все Policies...
4. Временные файлы тоже удалил.

С Automatically reboot галка снята.

Всё что написано на синем экране:

STOP: c000021a {Ftatal System error}
The Windows Logon Process system process terminated unexpectedly with a status of 0xc0000142 (0x00000000 0x00000000)
The sistem has been shut down.

Это зверьё уже удалили?
[code]C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll[/code]

Пофиксите в программе HijackThis следующие строки:
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [stonedrv] C:\WINDOWS\system32\stonedrv.exe
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O4 - HKLM\..\RunServices: [stonedrv] C:\WINDOWS\system32\stonedrv.exe
O4 - HKCU\..\Run: [stonedrv] C:\WINDOWS\system32\stonedrv.exe
O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll (file missing)
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll (file missing)
O21 - SSODL: CDRecorder013 - {A3BC5E20-0235-1ABF-9CE1-00AA00512013} - C:\WINDOWS\system32\agss32.dll (file missing)
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi24159.exe (file missing)

Пофиксить это, значит, запустить программу HijackThis, запустить проверку системы, в открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked".

Перезагрузите компьютер, сделайте новый лог HijackThis и выложите его сюда.

Файлы:
[LEFT]C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
AVZ не нашёл. (наверно удалены)
---------------------------

В списке (HijackThis) не нашёл следующие строки:

O4 - HKLM\..\Run: [stonedrv] C:\WINDOWS\system32\stonedrv.exe
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O4 - HKLM\..\RunServices: [stonedrv] C:\WINDOWS\system32\stonedrv.exe
O4 - HKCU\..\Run: [stonedrv] C:\WINDOWS\system32\stonedrv.exe
O21 - SSODL: CDRecorder013 - {A3BC5E20-0235-1ABF-9CE1-00AA00512013} - C:\WINDOWS\system32\agss32.dll (file missing)
[/LEFT]

Лог с HijackThis

Скажите, как удалить второго пользователя. (Появился ни откуда) "Administrator"

Чтото новенькое появилось:
[quote]O4 - HKLM\..\Run: [radnjycq] C:\wqutfwpg.bat
O4 - HKLM\..\Run: [ixmqvwcy] C:\hbuwaino.bat
O4 - HKLM\..\Run: [phmjmtct] C:\vywyqrvt.bat
O4 - HKLM\..\Run: [tuqppiko] C:\ebcjnces.bat
O4 - HKLM\..\Run: [mmxqcqun] C:\enqlxkwy.bat
O4 - HKLM\..\Run: [uubvyuft] C:\pkjxcbbl.bat
O4 - HKLM\..\Run: [berbnsle] C:\utogarsc.bat
O4 - HKLM\..\Run: [wdrsyrgi] C:\xbwcsvem.bat
[/quote]
Пришлите эти файлы.

В нормальном режиме компьютер все еще не запускается? Работать в Интернет, загрузившесь в Безопасном режиме совсем не безопасно. :)
Так как не работает антивирус и файрвол.

[quote]Скажите, как удалить второго пользователя. (Появился ни откуда) "Administrator"[/quote]
Пользователь Administrator это встроенная учетная записть, ее нельзя удалить, только отключить.

Да и отключать большого смысла нет. Резервный вход, если у основного пользователя что-то в профиле сломалось.

Комп всё ещё перезагружается.

Выслал!

Запутался немного! Извеняюсь!

[QUOTE=Nik]Комп всё ещё перезагружается.
Выслал!
Запутался немного! Извеняюсь![/QUOTE]
пришли старые файлы (от 27 числа), а вовсе не те, которые были запрошены тут [url]http://www.virusinfo.info/showpost.php?p=80543&postcount=32[/url]

файлы C:\WINDOWS\system32\dlh9jkdq8.exe, C:\WINDOWS\system32\vx.tll как я уже говорил ранее - мусор, удаляйте

Мусор удалил.

Файлы с 27 числа тоже выслал.

[QUOTE=Nik]Файлы с 27 числа тоже выслал.[/QUOTE]
вы вообще читаете, что именно вас просили выслать? файлы от 27 числа вы присылаете уже в третий раз...
а то, что нужно, так и не прислали.
увы, при таком раскладе ничем помочь не могу

всё, понятно.
я не отметил правельный "Folders"
Выслал..

[QUOTE=Nik]всё, понятно.
я не отметил правельный "Folders"
Выслал..[/QUOTE]
вот эти строки (и им подобные) пофиксите в HijackThis:
O4 - HKLM\..\Run: [radnjycq] C:\wqutfwpg.bat
O4 - HKLM\..\Run: [ixmqvwcy] C:\hbuwaino.bat
O4 - HKLM\..\Run: [phmjmtct] C:\vywyqrvt.bat
O4 - HKLM\..\Run: [tuqppiko] C:\ebcjnces.bat
O4 - HKLM\..\Run: [mmxqcqun] C:\enqlxkwy.bat
O4 - HKLM\..\Run: [uubvyuft] C:\pkjxcbbl.bat
O4 - HKLM\..\Run: [berbnsle] C:\utogarsc.bat
O4 - HKLM\..\Run: [wdrsyrgi] C:\xbwcsvem.bat
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi24159.exe (file missing)

файл rpcc.exe удалите при помощи отложенного удаления из AVZ

rpcc.exe удалил.

и самый свежий лог: