Windows не загружается!

Доброго времени суток! Подхватил где-то вирус. Синий экран - мол якобы нелегально использую ПО, просят отослать СМС с кодом. Dr. Web и др. антивирусы не помогают. Переустановка системы не помогла..Пробовал прогнать некоторые скрипты из похожих тем вашего сайта, все скрипты пробывать не стал...Нужные файлы прикрепляю. Помогите, очень прошу!

[QUOTE]Нужные файлы прикрепляю[/QUOTE]
куда ?

Вот файлы!

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5NRUHCSC\vs8[1].exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\734.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\504.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\490.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\272.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\103.exe','');
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\WINDOWS\system32\msvgr.exe.exe','');
QuarantineFile('C:\WINDOWS\cmon.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4224348172-3125463221-669423834-7292\csvcs.exe,explorer.exe,c:\recycler\s-1-5-21-4972589252-8817423393-453611420-9876\mwau.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-4224348172-3125463221-669423834-7292\csvcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
QuarantineFile('c:\windows\system32\umdmgr.exe','');
TerminateProcessByName('c:\windows\system32\umdmgr.exe');
QuarantineFile('c:\windows\ntdrive32.exe','');
TerminateProcessByName('c:\windows\ntdrive32.exe');
DeleteFile('c:\windows\ntdrive32.exe');
DeleteFile('c:\windows\system32\umdmgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4224348172-3125463221-669423834-7292\csvcs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-4224348172-3125463221-669423834-7292\csvcs.exe,explorer.exe,c:\recycler\s-1-5-21-4972589252-8817423393-453611420-9876\mwau.exe');
DeleteFile('C:\WINDOWS\cmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','cmon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msvgr.exe.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msvgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','800');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','796');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','235');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\*.*');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5NRUHCSC\vs8[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=55680[/URL]

3. Повторите логи.

Спасибо:beer:!!! Экран исчез!! Вот скрипты! Теперь всё будет нормально??

[QUOTE]Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: [COLOR="Red"]включено[/COLOR][/QUOTE]

1. [COLOR="Red"][B]Восстановление системы отключите![/B][/COLOR]

2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\umdmgr.exe');
TerminateProcessByName('c:\windows\ntdrive32.exe');
DeleteFile('c:\windows\ntdrive32.exe');
DeleteFile('c:\windows\system32\umdmgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-8734917451-6928283849-771097579-5136\csvcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msvgr.exe.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msvgr.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','305');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\286.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\5NRUHCSC\vs8[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Повторите логи.

Вроде бы выполнил! Проверте, если не сложно

Ничего зловредного в логах нет. Что с проблемами?

Проблем пока не нахожу, синий экран исчез, всё пока работает нормально! Aleksandra, спасибо:>

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Cтоп!!!! Опять! В начале исчезли все значки, потом синий экран!! Это издевательство! Что делать??????????

[QUOTE=Jurezzz;475023]Что делать??????????[/QUOTE]
Еще раз сделайте полный комплект логов.

Ещё признаки: на диске С появляются перед этим файлы C:\Lock.exe, C:\up2.exe, C\: d32b.exe, C\:d32b.bat. Даже если в безопасном режиме запустить C:\Lock.exe появиться синее окно.. И ещё перед этим выдаётся сообщение "Ошибка сценария Internet Explorer" и ниже синтаксическая ошибка, строка: 2, символ:1,Код: 0, указывается URL и вопрос: "продолжить выполнение сценариев на этой странице?"...
Сейчас попробую всё заново, но думаю результат будет тот же. Также было и при переустановке системы.

[QUOTE='Jurezzz;475037']Ещё признаки: на диске С появляются перед этим файлы C:\Lock.exe, C:\up2.exe, C\: d32b.exe, C\:d32b.bat. Даже если в безопасном режиме запустить C:\Lock.exe ... [/QUOTE]
Так зачем же запускать такие подозрительные файлы???
Запакуйте их все в пархив с паролем virus и пришлите по ссылке для карантина.
Ждем новые логи.

[QUOTE=Jurezzz;475037]Ещё признаки: на диске С появляются перед этим файлы C:\Lock.exe, C:\up2.exe, C\: d32b.exe, C\:d32b.bat. Даже если в безопасном режиме запустить C:\Lock.exe появиться синее окно.[/QUOTE]
Не нужно ничего запускать даже в безопасном режиме!

[QUOTE=Jurezzz;475037]Сейчас попробую всё заново, но думаю результат будет тот же.[/QUOTE]
Результат тот же не будет. Повторяйте логи.

Карантин загрузил по вышеуказанной ссылке. Прикрепляю логи.
P.s. я запустил этот файл C:\Lock.exe как только появилась проблема, после ваших инструкций я его не запускал

В карантин добавил вышеназванные файлы

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\ZTWKVB3I\vs8[1].exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\645.exe','');
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7001591013-7692830069-241915520-6170\csvcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('C:\WINDOWS\ntdrive32.exe','');
DeleteFile('C:\WINDOWS\ntdrive32.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7001591013-7692830069-241915520-6170\csvcs.exe');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\645.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\ZTWKVB3I\vs8[1].exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.

Очистите временные файлы IE через "Свойства обозревателя".
Вышеуказанные ехе-шники из корня диска удалите.

Сделайте новые логи.

Всё сделал по инструкциям..

Spyware Terminator - деинсталлируйте!

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\zlbt.exe');
DeleteFile('c:\windows\system32\drivers\zlbt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msvgr.exe.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msvgr.exe');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится!

3. Повторите логи.

Готово! Но в корне диска С теперь появляется при каждой загрузке e6q5m3f5o2p7.exe

Посмотрите, пожалуйста логи..

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]
begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('c:\e6q5m3f5o2p7.exe','');
DeleteFile('c:\e6q5m3f5o2p7.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=55680[/url]

3. Повторите лог [B]virusinfo_syscheck.[/B]

Теперь появляется в корне диска С:\d32b.exe. Скрипт выполнил, карантин отправил.

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]

[CODE]begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
QuarantineFile('C:\WINDOWS\system32\msvgr.exe.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9117168191-1420926068-975134534-7782\csvcs.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\759.exe','');
QuarantineFile('c:\windows\system32\umdmgr.exe','');
TerminateProcessByName('c:\windows\system32\umdmgr.exe');
QuarantineFile('c:\windows\ntdrive32.exe','');
TerminateProcessByName('c:\windows\ntdrive32.exe');
QuarantineFile('c:\d32b.exe','');
TerminateProcessByName('c:\d32b.exe');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\808.exe','');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\808.exe');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\759.exe','');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\759.exe');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\471.exe','');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\471.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\471.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\759.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\808.exe');
DeleteFile('c:\d32b.exe');
DeleteFile('c:\windows\ntdrive32.exe');
DeleteFile('c:\windows\system32\umdmgr.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\759.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9117168191-1420926068-975134534-7782\csvcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\msvgr.exe.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msvgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','849');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','507');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','770');
DeleteFile('C:\WINDOWS\system32\wshost32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/pravila.html"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=55680[/url]

3. Повторите лог [B]virusinfo_syscheck.[/B]

Готово! карантин отправил!

Но C:\d32b.exe и C:\d32b.bat опять появились

Сейчас в логе ничего зловредного не видно. Они появились уже после выполнения скрипта?

Да, после перезагрузки! Я их сейчас даже не трогаю

Плохо что в логах не все видно. Как у Вас с трафиком обстоят дела?

Протестировал только что. Download 5900 kbit/sec upload 33830 kbit/sec

Я другое имела ввиду. Сможете оперативно скачать 80 Mb? Нужно загрузиться с Live CD и пролечить машину. Иначе все это будет тянуться до бесконечности.

Да! Конечно! что скачивать?

Скачайте Live CD Vba32 Rescue [URL]http://virusinfo.info/showpost.php?p=433671&postcount=3[/URL] и пролечитесь им. Если что-то непонятно, то спрашивайте.

Вопрос! Нужно ли распаковывать заархивированный образ??

Нет, это iso-файл и его надо записывать на болванку как образ. Чем Вы пишите диски?

Nero 6.0.0.20

В Nero должен быть пункт Копирование -> Записать образ на диск.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

И еще, в Чаво п.6 не нужен. Я забыла выправить. Сразу идете на сканирование.

Я ничего не могу понять. Сделал всё как нужно: записал образ на болванку, выставил в BIOS загрузку с CD/DVD-ROM, вставил диск в привод и загрузитесь с него. Далее красными буквами на чёрном фоне выбираю vbarescue> screen 1024*768, далее появляется окно Booting screen 1024*768 и привод замолкает так всё и остаётся. Что это вообще?? Никакого меню языка и пр. не видно!

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Может я под несчастливой звездой родился??

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Может я под несчастливой звездой родился??

Попробуйте ничего не выбирать. Пусть сам загрузится.

Дело в том что у меня ноутбук, я прогуглил проблемку загрузки, не у одного меня так бывает. На стационарном компьютере всё идёт

[QUOTE=Jurezzz;475357]На стационарном компьютере всё идёт[/QUOTE]
Загрузитесь на нем и сделайте загрузочную флэшку. Она может быть не чистая. Нужно где-то около 100 Mb. свободного места. В главном меню есть пункт создание носителя. После вставьте оба носителя. Начнет грузиться с диска и потом подхватит данные с флэшки. Читайте
[url]http://virusinfo.info/showpost.php?p=436504&postcount=15[/url]