Вирус. Всегда перезагружается виндовс

[Nik]

AVZ меню Сервис -> Менеджер автозапуска -> удалить строки (кнопка с крестиком) с упоминанием следующих файлов:
C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
C:\WINDOWS\system32\agss32.dll
C:\WINDOWS\system32\stonedrv.exe
rpcc.exe

PS. Будьте внимательны, не удалите ничего лишнего.

Здесь всё зделано!

AVZ меню Сервис -> Менеджер файла Host

Оставьте там только строчку:
127.0.0.1 localhost

все остальные, расположенные ниже, удалите.

В этой операции я удаляю все строки, которые расположены ниже 127.0.0.1 localhost, но после перезагрузки компа всё остаётся на прежнем месте.
(Комп всё ещё рестартится...)

[Alexey P.]

Здесь всё зделано!

В этой операции я удаляю все строки, которые расположены ниже 127.0.0.1 localhost, но после перезагрузки компа всё остаётся на прежнем месте.
(Комп всё ещё рестартится...)

Т.е. файлы не удалены ?

Если так, удалите их Avenger-ом.
Скрипт для удаления:

Код:

Files to delete:
C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
C:\WINDOWS\system32\agss32.dll
C:\WINDOWS\system32\stonedrv.exe
C:\WINDOWS\system32\rpcc.exe

Folders to Delete:
C:\Documents and Settings\All Users\Documents\Settings

Строку
C:\WINDOWS\system32\rpcc.exe
сначала проверьте - найдите поиском из AVZ на диске файл rpcc.exe и уточните путь, если он отличается.

[AndreyKa]

Есть еще предложения:
1. Деинсталируйте Trojan Remover. То что не помогает, то мешает.
2. Отключите службу восстановения системы, раз уж она не работает. (как отключить см. Приложение 1. Правил)
Хотя можно еще раз попробовать.

System Restore тоже не получаеться зделать.(число и месяц не могу выделить)

Там дату можно не любую выбирать, а только ту, для которой была создана точка восстановления.
3. task manager можно вернуть так:
В AVZ меню Файл - Восстановление системы - отметьте галочкой строку:
Удаление всех Policies ...
и нажмите кнопку "Выполнить операции"
4. Очистите временные Интернет файлы.

[AndreyKa]

И ещё.
В Control Panel -> System -> Advanced -> Startup and Recovere
снимите галочку Automatically reboot.
Возможно после этого будет появляться синий экран, тогда спишите с него первую пару строк и напишите их тут.

[Nik]

Alexey A


После перезагрузки в блокноте откроется файл с протоколом выполнения, сохраните его.
Ни какого файла не было. Повторная попытка выдаёт ошибку ( could not create zip file) - помоему что то такое, кода ошибок всегда разные. Теперь и error logа нету.

AVZ ничего похожего не нашол на rpcc.exe

[Nik]

AndreYka

1. Trojan Remoover - удалён.
2. Ресторе выключил.
3. Удалил все Policies...
4. Временные файлы тоже удалил.

С Automatically reboot галка снята.

Всё что написано на синем экране:

STOP: c000021a {Ftatal System error}
The Windows Logon Process system process terminated unexpectedly with a status of 0xc0000142 (0x00000000 0x00000000)
The sistem has been shut down.

[pig]

Это зверьё уже удалили?

Код:

C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll

[AndreyKa]

Пофиксите в программе HijackThis следующие строки:
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [stonedrv] C:\WINDOWS\system32\stonedrv.exe
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O4 - HKLM\..\RunServices: [stonedrv] C:\WINDOWS\system32\stonedrv.exe
O4 - HKCU\..\Run: [stonedrv] C:\WINDOWS\system32\stonedrv.exe
O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll (file missing)
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll (file missing)
O21 - SSODL: CDRecorder013 - {A3BC5E20-0235-1ABF-9CE1-00AA00512013} - C:\WINDOWS\system32\agss32.dll (file missing)
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi24159.exe (file missing)

Пофиксить это, значит, запустить программу HijackThis, запустить проверку системы, в открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked".

Перезагрузите компьютер, сделайте новый лог HijackThis и выложите его сюда.

[Nik]

Файлы:

C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
AVZ не нашёл. (наверно удалены)
---------------------------

В списке (HijackThis) не нашёл следующие строки:

O4 - HKLM\..\Run: [stonedrv] C:\WINDOWS\system32\stonedrv.exe
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O4 - HKLM\..\RunServices: [stonedrv] C:\WINDOWS\system32\stonedrv.exe
O4 - HKCU\..\Run: [stonedrv] C:\WINDOWS\system32\stonedrv.exe
O21 - SSODL: CDRecorder013 - {A3BC5E20-0235-1ABF-9CE1-00AA00512013} - C:\WINDOWS\system32\agss32.dll (file missing)

[Nik]

Лог с HijackThis

[Nik]

Скажите, как удалить второго пользователя. (Появился ни откуда) "Administrator"

[AndreyKa]

Чтото новенькое появилось:

O4 - HKLM\..\Run: [radnjycq] C:\wqutfwpg.bat
O4 - HKLM\..\Run: [ixmqvwcy] C:\hbuwaino.bat
O4 - HKLM\..\Run: [phmjmtct] C:\vywyqrvt.bat
O4 - HKLM\..\Run: [tuqppiko] C:\ebcjnces.bat
O4 - HKLM\..\Run: [mmxqcqun] C:\enqlxkwy.bat
O4 - HKLM\..\Run: [uubvyuft] C:\pkjxcbbl.bat
O4 - HKLM\..\Run: [berbnsle] C:\utogarsc.bat
O4 - HKLM\..\Run: [wdrsyrgi] C:\xbwcsvem.bat

Пришлите эти файлы.

В нормальном режиме компьютер все еще не запускается? Работать в Интернет, загрузившесь в Безопасном режиме совсем не безопасно.
Так как не работает антивирус и файрвол.

Скажите, как удалить второго пользователя. (Появился ни откуда) "Administrator"

Пользователь Administrator это встроенная учетная записть, ее нельзя удалить, только отключить.

[pig]

Да и отключать большого смысла нет. Резервный вход, если у основного пользователя что-то в профиле сломалось.

[Nik]

Комп всё ещё перезагружается.

Выслал!

Запутался немного! Извеняюсь!

[MOCT]

Комп всё ещё перезагружается.
Выслал!
Запутался немного! Извеняюсь!

пришли старые файлы (от 27 числа), а вовсе не те, которые были запрошены тут http://www.virusinfo.info/showpost.p...3&postcount=32

файлы C:\WINDOWS\system32\dlh9jkdq8.exe, C:\WINDOWS\system32\vx.tll как я уже говорил ранее - мусор, удаляйте

[Nik]

Мусор удалил.

Файлы с 27 числа тоже выслал.

[MOCT]

Файлы с 27 числа тоже выслал.

вы вообще читаете, что именно вас просили выслать? файлы от 27 числа вы присылаете уже в третий раз...
а то, что нужно, так и не прислали.
увы, при таком раскладе ничем помочь не могу

[Nik]

всё, понятно.
я не отметил правельный "Folders"
Выслал..

[MOCT]

всё, понятно.
я не отметил правельный "Folders"
Выслал..

вот эти строки (и им подобные) пофиксите в HijackThis:
O4 - HKLM\..\Run: [radnjycq] C:\wqutfwpg.bat
O4 - HKLM\..\Run: [ixmqvwcy] C:\hbuwaino.bat
O4 - HKLM\..\Run: [phmjmtct] C:\vywyqrvt.bat
O4 - HKLM\..\Run: [tuqppiko] C:\ebcjnces.bat
O4 - HKLM\..\Run: [mmxqcqun] C:\enqlxkwy.bat
O4 - HKLM\..\Run: [uubvyuft] C:\pkjxcbbl.bat
O4 - HKLM\..\Run: [berbnsle] C:\utogarsc.bat
O4 - HKLM\..\Run: [wdrsyrgi] C:\xbwcsvem.bat
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi24159.exe (file missing)

файл rpcc.exe удалите при помощи отложенного удаления из AVZ

[Nik]

rpcc.exe удалил.

и самый свежий лог: