Не могу сделать логи

Здравствуйте. Начал окучивать компьютер "по правилам" записал CureIT на компакт на здоровом компе, запустил на больном, комп сам перезагрузился. Запуск CureIT в безопасном режиме удался - вылечил несколько вирусов, предложил перезагрузиться.
Больше не могу войти в систему ни в обычном, ни в безопасном режиме. Сразу после логина происходит логаут - комп почти сразу пишет "завершение сеанса", и выходит.
Как лечить?

Зайдите в консоль восстановления или загрузитесь с загрузочного CD типа BartPE и проверьте наличие файлов:
Windows\System32\userinit.exe
Windows\System32\winlogon.exe

Даже если они есть, лучше замените их на чистые из дистрибутива или с чистой системы. О результатах сообщите.

userinit.exe действительно отсутствовал. После его копирования с другой машины винда загрузилась.

Логи "syscure" сделать по-прежднему не могу, т.к. во время выполнения скрипта комп перезагружается, когда AVZ выводит строку "количество найденных процессов: 22"

Выкладываю, что смог собрать.

Отключите восстановление системы, как написано в правилах.

Скачайте [url=http://rapidshare.com/files/133061044/IceSword122en.zip.html]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\System32\Drivers\Wfl26.SYS и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").

Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\iexplorer.exe','');
QuarantineFile('C:\WINDOWS\System32\CTFMON.EXE','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Befe44.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\mickey32.sys','');
QuarantineFile('C:\WINDOWS\glok+1204-196.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wfl26.SYS','');
QuarantineFile('C:\WINDOWS\twain_8.dll','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\ccevtsvc.exe','');
QuarantineFile('c:\windows\system32\cbevtsvc.exe','');
DeleteFile('c:\windows\system32\cbevtsvc.exe');
DeleteFile('c:\windows\system32\ccevtsvc.exe');
DeleteFile('C:\WINDOWS\twain_8.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Wfl26.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\mickey32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Befe44.sys');
DeleteFile('C:\WINDOWS\iexplorer.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('CcEvtSvc');
BC_DeleteSvc('CbEvtSvc');
BC_DeleteSvc('mickey32');
BC_DeleteSvc('Befe44');
BC_DeleteSvc('Wfl26');
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url].

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".

Очистите временные папки и кеш браузера.
Сделайте новые логи.

Лог Куре-Ит, если сохранился пришлите сюда.

[quote=PavelA;260611]Лог Куре-Ит, если сохранился пришлите сюда.[/quote]

Логи не нашел. Где они обычно сохраняются? В папке, откуда запускал, только setup.exe остался.

Скрипт лечения и сбора информации по-прежднему приводит к перезагрузке. Логи прилагаю. Файл wfl26.sys и карантин выслал по правилам

Лог "CureIt.log" лежит в папке "C:\Documents and Settings\имя пользователя\DoctorWeb"
Проще так: пуск - выполнить - %userprofile%\DoctorWeb

Лог CureIT

После очередной перезагрузки НОД нашел какую-то заразу и пообещал вылечить, но проблема осталась.
По-прежднему не могу сделать лог syscure, комп перезагружается. Лог syscheck и hijackthis выкладываю свежий.

Заметил, что перезагрузка происходит не в определенный момент, а хаотично, но всегда после строки "количество найденных процессов"

Жуть что творится. Два серьезных а/вируса - НОД и Симантек + куча зверья. :(

Лечение будет серьезным, готовьтесь.

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsfile;
QuarantineFile('Wfl26.sys','');
QuarantineFile('C:\WINDOWS\glok+1204-196.sys','');
DeleteService('glok+1204-196');
QuarantineFile('c:\windows\system32\winffcdu.exe','');
TerminateProcessByName('c:\windows\system32\winffcdu.exe');
QuarantineFile('c:\windows\system32\secwfbaj.exe','');
TerminateProcessByName('c:\windows\system32\secwfbaj.exe');
BC_DeleteFile('c:\windows\system32\secwfbaj.exe');
DeleteFile('c:\windows\system32\winffcdu.exe');
DeleteFile('C:\WINDOWS\glok+1204-196.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Далее все по стандарту: карантин загрузить по ссылке, сделать новые логи.

Выполнял скрипт два раза, т.к. один раз запуск скрипта привел к перезагрузке.

В карантин почему-то попало только два файла.

После выполнения скрипта опять то же самое - не получается выполнить скрипт лечения и сбора информации.

Вот логи, какие есть. Карантин выложил

Профиксить:
O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_8.dll

Скрипт, из сообщения выше, выполнить в безопасном режиме. почему-то ничего не удалилось.

[quote=PavelA;260979]Профиксить:
O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\twain_8.dll
[/quote]

Просто так не фиксится - сейчас попробую сделать все вышеописанное из безопасного режима
-----------
Из безопасного режима по-моему опять ничего особенного не получилось. Файлов в карантине стало побольше, но не все запрошенные. Карантин отправил.
----------
Сейчас снова перезагрузился. Запустить скрипт лечения так и не удалось - опять уходит в перезагрузку. Удалось выдернуть кусок лога - может пригодится... (отменил выполнение перед сканированием процессов).
После перезагрузки NOD ругнулся на %windir%\system32\regxswgo.exe - вероятно неизвестный NewHeur_PE вирус. Вроде бы, не в первый раз ругается, имя файла знакомо.

вот логи. hijackthis не фиксит О18 ни в безопасном режиме, ни в обычном.

Что делать? Есть ещё предложения? Может с компакта загрузиться, и файлики пособирать?

Может так попробовать: сделать копию корня диска (или только %windir%) на другой диск в какую-л. папку, затем загрузиться с miniPE, и через total commander сделать синхронизацию папок? Все скрытые файлы, которые не видно из больной ос, сразу всплывут... и их пришлю архивом.

Или ещё что посоветуете?

Такой скрипт еще (в порядке бреда).
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
executerepair(11);
executerepair(17);
DelCLSID('{53B95211-7D77-11D2-9F80-00104B107C96}');
TerminateProcessByName('c:\windows\system32\secwfbaj.exe');
TerminateProcessByName('c:\windows\system32\regxswqo.exe');
DeleteFile('c:\windows\system32\regxswqo.exe');
DeleteFile('c:\windows\system32\secwfbaj.exe');
DeleteFile('C:\WINDOWS\twain_8.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('c:\windows\system32\regxswqo.exe');
BD_DeleteFile('c:\windows\system32\secwfbaj.exe');
BC_DeleteFile('C:\WINDOWS\twain_8.dll');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Я думаю перед всеми этими скриптами временно деинсталлить НОДа и Симантека.
М.б. они мешаются.

После деинсталла лечиться с отключенным Инетом.

Удалил антивирусы, повторил выполнение первого и второго скрипта, предварительно выключив сеть. Ситуация вроде немного изменилась, выкладываю свежие логи. Карантин высылать не буду, там все файлы по нулям, кроме winlogin.exe (его уже присылал). При запуске скрипта лечения комп по-прежднему перезагружается.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [mbvedpx32] secwfbaj.exe
O4 - HKLM\..\Run: [eprogqm] C:\WINDOWS\System32\regvpcfw.exe
O4 - HKCU\..\Run: [mbvedpx32] secwfbaj.exe
O4 - HKCU\..\Run: [eprogqm] C:\WINDOWS\System32\regvpcfw.exe
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
TerminateProcessByName('c:\windows\system32\regvpcfw.exe');
QuarantineFile('secwfbaj.exe','');
QuarantineFile('C:\WINDOWS\System32\secwfbaj.exe','');
QuarantineFile('c:\windows\system32\regvpcfw.exe','');
DeleteFile('c:\windows\system32\regvpcfw.exe');
DeleteFile('C:\WINDOWS\System32\secwfbaj.exe');
DeleteFile('secwfbaj.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.

В карантин почему-то попал только один файл. Выслал по правилам.

Лечение по-прежднему не проходит.

Скрипты, какие есть, прилагаю.

Про меня забыли? ((

Выполните скрипт
[CODE]begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\system32\winlogon.exe','');
BC_QrFile('c:\windows\system32\winlogon.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Закачайте карантин по правилам.