В ноутбуке много вирусов

Здравствуйте уважаемые! Имеется ноутбук асус м50. Начал лечение с загрузки лайвсд, образ записан правильно, но первый раз столкнулся с тем, что не загружается интерфейс программы, где происходит выбор, что лечить и как. Т.е. загружается до выбора меню, где можно выбрать dr. web. scanner. после сканирования обнаружилось 91 инфиц. файл. Попытался загрузить безопасный режим - быстро появляется синий экран и идет перезагрузка. Запустил в обычном режиме куреит, антивирус удалил кучу файлов с вирусом win32.hllw.autoruner.2497. перегрузил комп - все осталось по прежнему (восстановление системы отключено). hijack не запускается и заново не устанавливается. Вот такая промблема!
Могу загрузить только авз скрипты :(

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\mlburmh.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com','');
QuarantineFile('395705.dll','');
DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\mlburmh.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\mlburmh.exe');
DeleteFile('C:\Windows\Tasks\At1.job');
DeleteFile('C:\Windows\Tasks\At2.job');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=44449[/url]).
Сделайте новые логи.

Извиняюсь что ввел в заблуждение Отключением восстановления системы, щас отключил.
вот новые логи.
карантин отправил.
hijack не загружается.

Безопасный режим не загружается

как процесс?

Такое впечатление, что скрипт не выполняли. Сообщение об успешном выполнении скрипта выходило? Выполните скрипт еще раз, в безопасном режиме. Затем сделайте новые логи (в обычном).

скрипт выполнял. В безопасный режим войти не могу. врать не умею)))

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

все как было, так и осталось. в диспетчере задач висит процесс ati2avxx.exe.

Пардон, про безопасный в первом посте не доглядел...

Выполните такой скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\windows\system32\ati2avxx.exe');
DeleteFile('d:\windows\system32\ati2avxx.exe');
DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\mlburmh.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\mlburmh.exe');
DeleteFile('C:\Windows\Tasks\At1.job');
DeleteFile('C:\Windows\Tasks\At2.job');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи.

Скрипт выполнил.
Вот новые логи
В безопасный режим не входит.

после выполнения скрипта те же процессы в диспетчере

еще какие-нибудь предложения будут?!!!!

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\mlburmh.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('D:\mlburmh.exe','');
QuarantineFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com','');
QuarantineFile('395705.dll','');
QuarantineFile('ntsd.exe','');
DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
DeleteFile('D:\mlburmh.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\mlburmh.exe');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

под "Закройте/выгрузите все программы кроме AVZ и Internet Explorer" Вы имеете ввиду отключить их через диспетчер задач?

[QUOTE=vlad_1976;393620]под "Закройте/выгрузите все программы кроме AVZ и Internet Explorer" Вы имеете ввиду отключить их через диспетчер задач?[/QUOTE]Нет, а то Вы слишком много отключите :) Выгрузите резидентные программы из трея (возле часов).

Все сделал как Вы сказали, только я не могу отправить hijackthis.log. не устанавливается он и все тут.
поэтому отправляю только эти логи и отправляю карантин... по ходу дела придется сносить винду, мне кажется в компе полная задница)))

До сих пор не загружается "безопасный режим". Как бы его восстановить? Даже restoresafeboot.reg не помог.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 52 минуты[/I][/B][/color][/size]

узнал, что пишется в BSOD, когда запускаешь безопасный режим:
stop: 0x0000007B (0xF78AA524, 0xC0000034, 0x00000000, 0x00000000)

[QUOTE=vlad_1976;393664]
узнал, что пишется в BSOD, когда запускаешь безопасный режим:
stop: 0x0000007B (0xF78AA524, 0xC0000034, 0x00000000, 0x00000000)[/QUOTE][url]http://support.microsoft.com/?scid=kb%3Bru%3B324103&x=12&y=15[/url]

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('395705.dll','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFile('395705.dll');
DeleteFile('C:\windows\395705.dll');
DeleteFile('C:\windows\system32\395705.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте лог gmer: [url]http://virusinfo.info/showthread.php?t=40118[/url]
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

Спасибо за ссылку, но статью я уже прочитал. из того, что там написано я понял, что где-то глубоко сидит вирусный драйвер, который не дает загрузить безопасный режим.
скрипт я выполнил. карантин выслал. Вот новые логи...
До сих пор не могу выслать hijackthis.log, потому как на загружается.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\mlburmh.exe','');
QuarantineFile('D:\mlburmh.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('F:\mlburmh.exe','');
DeleteFile('F:\mlburmh.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('D:\mlburmh.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\mlburmh.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте лог gmer: [url]http://virusinfo.info/showthread.php?t=40118[/url]. Нужно отключить антивирус и файрвол и нажать кнопку SCAN!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

Скрипт сделал. Карантин отправил. Новые логи...

gmer нужно запускать кнопкой SCAN. Вы статью по ссылке читали?
Повторите последний скрипт в безопасном режиме.

там ничего не написано про безопасный режим

[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]

кнопкой scan и запускал, не дурак

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

в безопасный режим не входит!!!

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Так я неправильный gmer-лог отправил или как?

[QUOTE=vlad_1976;394102]там ничего не написано про безопасный режим[/QUOTE]Это моя [B]личная просьба[/B] :)
[QUOTE=vlad_1976;394102]кнопкой scan и запускал[/QUOTE]Очень короткий лог получился...
[QUOTE=vlad_1976;394102]в безопасный режим не входит!!![/QUOTE]
АВЗ/Файл/Восстановление системы, отметить пункт 10 и запустить. Попробовать войти в безопасном режиме.

Проблема в том, что все Автораны остались....

Заметил еще одну особенность, в диспетчере задач 3 процесса ati2evxx.exe, если один из них убиваешь, то он снова появляется.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

бесполезно... в безопасный режим не входит(((

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

После выполнения скриптов выползло неизвестное устройство.
код: ROOT\LEGACY_UZI5NTE0\0000
запустил его поиск, нигде в инете про него ниче нету.

[QUOTE=vlad_1976;394111]Заметил еще одну особенность, в диспетчере задач 3 процесса ati2evxx.exe, [/QUOTE][url]http://www.file.net/prozess/ati2evxx.exe.html[/url][QUOTE=vlad_1976;394111]
После выполнения скриптов выползло неизвестное устройство.[/QUOTE]Удалите его.
И давайте новые логи.

отключил неизвестное устройство, после перезагрузки: explorer.exe - ошибка, drwtsn32.exe - ошибка, комп завис. выключил, включил - вроде нормально. делаю логи.

Вот новые логи. gmer все такой же маленький...
а карантин отправлять?

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\ati2avxx.exe','');
DeleteFile('D:\WINDOWS\system32\ati2avxx.exe');
DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
BC_DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
BC_DeleteFile('D:\WINDOWS\system32\ati2avxx.exe');
BC_DeleteFile('C:\autorun.inf');
BC_DeleteFile('C:\mlburmh.exe');
BC_DeleteFile('D:\autorun.inf');
BC_DeleteFile('D:\mlburmh.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

высылаю новые логи и карантин...
hijack не усстанавливается((

мысли еще какие-нить будут?:>

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 46 минут[/I][/B][/color][/size]

Уважаемые, мне чего-нибудь ждать?

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\ati2avxx.exe','');
DeleteFile('D:\WINDOWS\system32\ati2avxx.exe');
DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
BC_DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
QuarantineFile('D:\WINDOWS\system32\IMES.dll','');
DeleteFile('D:\WINDOWS\system32\IMES.dll');
BC_DeleteFile('D:\WINDOWS\system32\IMES.dll');
BC_DeleteFile('D:\WINDOWS\system32\ati2avxx.exe');
BC_DeleteFile('C:\autorun.inf');
BC_DeleteFile('C:\mlburmh.exe');
BC_DeleteFile('D:\autorun.inf');
BC_DeleteFile('D:\mlburmh.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

Новые логи. Карантин отправил.
HijackThis не устанавливается.

Сделайте проверку на файловые вирусы (см. в моей подписи ссылку).

[QUOTE=Rene-gad;394586]Сделайте проверку на файловые вирусы (см. в моей подписи ссылку).[/QUOTE]

Rene-gad, если учесть то, что не могу загрузить ноут в безопасный режим, придется сканить в нормальном. такое уже делалось мной в самом начале. куреит после лечения попросил перегрузить ноут. после этого автораны и все остальное опять гуляло по компу. пытался загрузить LiveCD, но почему-то до графической оболочки не доходит, останавливается где меню и мне пришлось только сканировать...
но я все таки попробую куреитом еще раз прогнать. У меня такой вопрос после куреита надо логи выслать?

скачайте этот avz [url]http://rapidshare.com/files/199106177/toto.pif[/url] и повторите им последний скрипт.
[QUOTE=vlad_1976;394610] У меня такой вопрос после куреита надо логи выслать?[/QUOTE]Да, и тоже от Тотошки.

Высылаю скрипты от Тотошки.

AVZ скрипты

HijackThis не устанавливается!

АВЗ/Сервис/Диспетчер планировщика задач - все удалить
Отключите ASUS Security Center - он может блокировать запуск программ и удаление зловредов.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\MsSip3.dll','');
QuarantineFile('D:\WINDOWS\system32\MsSip2.dll','');
QuarantineFile('D:\WINDOWS\system32\MsSip1.dll','');
DeleteFile('D:\WINDOWS\system32\MsSip1.dll');
DeleteFile('D:\WINDOWS\system32\MsSip2.dll');
DeleteFile('D:\WINDOWS\system32\MsSip3.dll');
DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
BC_DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Hijackthis.exe переименуйте напр. в vasja.com
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

С васей здорово получилось:D
Новые логи. карантин выслан.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: 395705 - D:\WINDOWS\
[/CODE]
А насчет планировщика задач: забыли или не получилось?
Насчет ASUS Security Center: забыли или не получилось?

Пофиксил.
в системном трее горит только звук!
из диспетчера задач убирал Asus Security Center

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

имеется в виду Менеджер планировщика задач?

[QUOTE=vlad_1976;394989]
имеется в виду Менеджер планировщика задач?[/QUOTE]Да. Там сидят 2 задачи, которые надо убрать.

Высылаю новые логи после удаления этих задач.
Карантин высылать я думаю незачем. В карантине всего 3 файла: monk.pif, toto.pif и denevosoft.v2.exe

безопасный режим не загружается

[size="1"][color="#666686"][B][I]Добавлено через 40 минут[/I][/B][/color][/size]

я дико извиняюсь и заранее прошу прощения... хотелось бы до майских праздников починить ноут. есть какие-нить предложения? Еще раз заранее прошу меня простить.

АВЗ/Файл/Восстановление системы, отметить п.10, перегрузить систему.

[B]Запуск системы в минимальной конфигурации[/B]
1. Пуск/Выполнить... набрать [B]msconfig[/B], нажать клавишу [B]ВВОД[/B].
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему
5. Попробовать загрузиться в безопасном режиме

Файл boot.ini должен выглядеть так.
[code][boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn[/code]