Windows не грузилась ни в обычном, ни в безопасном режиме.

Было много троянов и авторан вирусы, Windows не грузилась ни в обычном, ни в безопасном режиме. Шла перезагрузка. Полечил Док. Вебом, система стартует.
Посмотрите, пожалуйста логи, что-то еще наверняка осталось.

[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Не выключено системное восстановление.
- Не закрыты все программы
- Не запущен Интернет Эксплорер.
- Не выключен установленный антивирус.[/COLOR]

Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]

И еще: обьясните, для кого/чего у Вас работает Акронис, создавая образ зараженной системы?:O

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\System32\Drivers\Winty16.sys
C:\WINDOWS\System32\Drivers\Jos16.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('3bf041ef');
DeleteService('jos16');
DeleteService('tcpsr');
DeleteService('Winty16');
DelBHO('{c5af49a2-94f3-42bd-f434-3604812c897d}');
QuarantineFile('C:\WINDOWS\System32\drivers\3bf041ef.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jos16.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\msserv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\\soundmgr.exe','');
QuarantineFile('C:\WINDOWS\System32\jdgf8edfsde.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winty16.sys',''); QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe',''); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll');
DeleteFile('C:\WINDOWS\TEMP\\soundmgr.exe');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\msserv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jos16.sys');
DeleteFile('C:\WINDOWS\System32\drivers\3bf041ef.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('3bf041ef');
BC_DeleteSvc('jos16');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Winty16');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Забыл посмотреть и отключить системное восстанвление. Спасибо за напоминание!
Акронис не работает, он просто установлен. Никаких образов по расписанию, или как-то иначе, он не делает. А почему вы заговорили об Акронисе? Есть потенциальная опасность?
С помощью IceSword нашел только файл Winty16.sys. Скопировал его, но потом не нашел. Поэтому карантин не высылаю с этим файлом не высылаю.
Скрипт выполнил, очистил папки. Вот новые логи.

Добавлю:
С помощью IceSword нашел только файл Winty16.sys. Скопировал его, но потом не нашел. Возможно он в этом карантине. Высылаю карантин.

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe','');
DelBHO('{c5af49a2-94f3-42bd-f434-3604812c897d}');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\TEMP\\soundmgr.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\jdgf8edfsde.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe','');
DeleteService('Winty16');
DeleteService('tcpsr');
DeleteService('jos16');
DeleteService('Google Online Services');
QuarantineFile('C:\Documents and Settings\Администратор\ie_updates3r.exe','');
DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Jos16.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\TEMP\\soundmgr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe');
DelCLSID('28abc5c0-4fcb-11cf-aax5-81cx1c635612');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ......

Скрипт выполнил. Но новых файлов в карантине не прибавилось. Высылаю старый карантин.
И новые логии.

Windows XP SP1 - жуть .... мы тут никогда не победим ....
отключитесь от интернета и выполните рекомендации из поста 5 заново ....
повторите логи ...

Да, принесли комп с Windows XP SP1, думал вылечу и поставлю SP3. Ведь ставить SP3 на грязный комп, не совсем правильно?
От интернета комп отключен с начала лечения.
>>> выполните рекомендации из поста 5 заново
Т. е. снова запустить ваш последний скрипт от 21:16?

пролечитесь AVPTool ссылка в подписи Rene-gad , а затем скрипт ...

Полечил AvpTool. Скрипт выполнил. Высылаю карантин.
И новые логи.

Коллега V_Bond был прав: через такую систему вермишель хорошо отбрасывать (С).

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{c5af49a2-94f3-42bd-f434-3604812c897d}');
QuarantineFile('C:\WINDOWS\system32\axpm812.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\ie_updates3r.exe','');
QuarantineFile('C:\WINDOWS\wt\webdriver\4.1.1\webdriver.dll','');
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\msserv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\WINDOWS\TEMP\\soundmgr.exe','');
QuarantineFile('C:\WINDOWS\System32\jdgf8edfsde.dll','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winty16.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\3bf041ef.sys','');´
DeleteService('Winty16');
DeleteService('3bf041ef');
DeleteService('ssdpsrvsysmonlog');
DeleteService('Google Online Services');
DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\axpm812.exe');
DeleteFile('C:\WINDOWS\System32\drivers\3bf041ef.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll');
DeleteFile('C:\WINDOWS\TEMP\\soundmgr.exe');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\msserv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe');
DeleteFile('C:\WINDOWS\wt\webdriver\4.1.1\webdriver.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winty16');
BC_DeleteSvc('3bf041ef');
BC_DeleteSvc('ssdpsrvsysmonlog');
BC_DeleteSvc('Google Online Services');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Скрипт выполнил. Вот новые логи.

выполнить стандартный скрипт 6
выполните скрипт ...
[code]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{c5af49a2-94f3-42bd-f434-3604812c897d}');
DeleteService('Google Online Services');
DeleteService('jos16');
DeleteService('Winty16');
DeleteFile('C:\WINDOWS\System32\Drivers\Winty16.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jos16.sys');
DeleteFile('C:\Documents and Settings\Администратор\ie_updates3r.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\System32\jdgf8edfsde.dll');
DeleteFile('C:\WINDOWS\TEMP\\soundmgr.exe');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\msserv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe');
DelCLSID('28abc5c0-4fcb-11cf-aax5-81cx1c635612');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...

Скрипты выполнил. Вот новые логи.

давайте попробуем выполнить(пост 13) скрипт в AvpTool (перейти в ручное лечение) ....
затем сделайте лог AvpTool

Выполнил второй (больший) скрипт из поста 13. Высылаю 2 лога AvpTool до и после выполнения скрипта.

Как последние логи AVP? Что же делать? Как от этого избавиться? Может попробовать установить сейчас SP3? Или переустанавливать систему?

На всякий случай выкладываю новые логи после скрипта выполненного в AvpTool.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe','');
QuarantineFile('C:\WINDOWS\wt\updater\SmallUpdater.exe','');
DeleteFile('C:\WINDOWS\wt\updater\SmallUpdater.exe');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winhelp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Скрипт выполнил, очистил. Карантин пуст.
Вот новые логи.