explorer.exe:userini.exe и др.

[dleecher5]

Проблема пока остается...

Апдейт: утром вновь появился синий экран с все теми же параметрами (это произошло во время того как я смотрел видео в VLC Media Player 1.0.5). Может проблема не в вирусах, а в чем-то другом?..

Апдейт2: после синего экрана заметил 2 загадочных процесса в диспетчере: idm1.exe и setupv.exe... Кажется недавно какой-то антивирус находил угрозы с такими именами и удалял их.

[Шапельский Александр]

Выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Daniel\Главное меню\Программы\Автозагрузка\update.exe','');
 QuarantineFile('C:\DOCUME~1\Daniel\LOCALS~1\Temp\nsw4B.tmp\System.dll','');
 QuarantineFile('C:\DOCUME~1\Daniel\LOCALS~1\Temp\nsw4B.tmp\Progress.dll','');
 QuarantineFile('C:\DOCUME~1\Daniel\LOCALS~1\Temp\nsw4B.tmp\nswebgui.dll','');
 QuarantineFile('C:\DOCUME~1\Daniel\LOCALS~1\Temp\nsw4B.tmp\InetLoadEx.dll','');
 QuarantineFile('c:\docume~1\daniel\locals~1\temp\setupv.exe','');
 TerminateProcessByName('c:\docume~1\daniel\locals~1\temp\setupv.exe');
 QuarantineFile('c:\docume~1\daniel\locals~1\temp\ldm1.exe','');
 TerminateProcessByName('c:\docume~1\daniel\locals~1\temp\ldm1.exe');
 DeleteFile('c:\docume~1\daniel\locals~1\temp\ldm1.exe');
 DeleteFile('c:\docume~1\daniel\locals~1\temp\setupv.exe');
 DeleteFile('C:\DOCUME~1\Daniel\LOCALS~1\Temp\nsw4B.tmp\InetLoadEx.dll');
 DeleteFile('C:\DOCUME~1\Daniel\LOCALS~1\Temp\nsw4B.tmp\nswebgui.dll');
 DeleteFile('C:\DOCUME~1\Daniel\LOCALS~1\Temp\nsw4B.tmp\Progress.dll');
 DeleteFile('C:\DOCUME~1\Daniel\LOCALS~1\Temp\nsw4B.tmp\System.dll');
 DeleteFile('C:\Documents and Settings\Daniel\Главное меню\Программы\Автозагрузка\update.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(9);
Executerepair(20);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[dleecher5]

...

[Шапельский Александр]

Сделайте лог Gmer

[dleecher5]

gmer вылетает с ошибкой (отправить/не отправлять). Сделал сканы с помощью какого-то особого АВЗ, которых был скачан с форума cyberforum. Там выдало фразу "обнаружен статический путь к сайту антивируса" (или как-то так). Прилагаю логи.

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program.exe','');
DeleteFile('C:\Program.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(20);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[dleecher5]

Скачал гмер с другого источника и получилось запустить. Лог прилагается. Самое интересное - только что заработал доступ к АВ-сайтам. Не знаю пока что с синими экранами... Но за последнее время синие экраны появлялись по более разнообразным причинам чем ранее. Например было замечение в сторону файла ipnat.sys, еще была надпись вида "IRQ_***_***...", так же менялся код ошибки.

[Шапельский Александр]

Пофиксите в Hijack

Код:

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O23 - Service: AODService - Unknown owner - C:\Program.exe (file missing)

Перезагрузите ПК.
Сделайте логи обычным АВЗ (обновите базы), + лог Hijack

[dleecher5]

...

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\SystemRoot\system32\drivers\AtapiDrv.sys','');
 QuarantineFile('%system32%\drivers\AtapiDrv.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

[dleecher5]

есть

[Шапельский Александр]

Найдите и пришлите этот файл--C:\WINDOWS\System32\drivers\AtapiDrv.sys
Как правильно искать и присылать, см. здесь--http://virusinfo.info/showthread.php?t=4567

[dleecher5]

есть

[thyrex]

Ждем ответ из вирлаба

[dleecher5]

А тем временем у меня компьютер вообще перестал запускаться. Сразу после входа в Виндоус - синий экран. Различные безопасные режимы - тоже самое. Случилось это внезапно и, можно сказать, на ровном месте. Я сидел в интернете, тут раз - пропадает коннект. Пытаюсь перезапустить сеть, модем - ничего не помогает. И наконец получаю синий экран. После чего перезапускал компьютер 15-20 раз в разных режимах, вышло запустить 2 раза из этой массы, но те 2 раза проработали минут 10 и тоже выдали синий экран. Теперь уже ни одна попытка загрузиться не проходит успешно.

[pig]

Что на синем экране?

[dleecher5]

0x0000007E - чаще всего
0x00000050 - кажется это выскакивает при попытке загрузить безопасный режим
0x0000005B(?) - иногда это

ничего более конкретного. Файлы не указываются, иногда пишется надпись вида PAGE_LALALA_FROM_UNPAGED_LALALA. В папке Minidump не создаются логи, хотя опция активирована. В журнале событий - ничего об этих ошибках.

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\SystemRoot\system32\drivers\AtapiDrv.sys');
DeleteFile('%system32%\drivers\AtapiDrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Сделайте новый лог virusinfo_syscheck.zip

[dleecher5]

На самом деле свежий CureIt сам нашел и удалил этот файл (причем в двух экземплярах по одному и тому же адресу). Стоит выполнять этот скрипт в таком случае?

[Шапельский Александр]

На самом деле свежий CureIt сам нашел и удалил этот файл (причем в двух экземплярах по одному и тому же адресу). Стоит выполнять этот скрипт в таком случае?

Не надо, сделайте лог virusinfo_syscheck.zip