В ноутбуке много вирусов

[vlad_1976]

Здравствуйте уважаемые! Имеется ноутбук асус м50. Начал лечение с загрузки лайвсд, образ записан правильно, но первый раз столкнулся с тем, что не загружается интерфейс программы, где происходит выбор, что лечить и как. Т.е. загружается до выбора меню, где можно выбрать dr. web. scanner. после сканирования обнаружилось 91 инфиц. файл. Попытался загрузить безопасный режим - быстро появляется синий экран и идет перезагрузка. Запустил в обычном режиме куреит, антивирус удалил кучу файлов с вирусом win32.hllw.autoruner.2497. перегрузил комп - все осталось по прежнему (восстановление системы отключено). hijack не запускается и заново не устанавливается. Вот такая промблема!
Могу загрузить только авз скрипты

[Bratez]

Отключите восстановление системы!
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\mlburmh.exe','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com','');
 QuarantineFile('395705.dll','');
 DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\mlburmh.exe');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\mlburmh.exe');
DeleteFile('C:\Windows\Tasks\At1.job');
DeleteFile('C:\Windows\Tasks\At2.job');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=44449).
Сделайте новые логи.

[vlad_1976]

Извиняюсь что ввел в заблуждение Отключением восстановления системы, щас отключил.
вот новые логи.
карантин отправил.
hijack не загружается.

Безопасный режим не загружается

[vlad_1976]

как процесс?

[Bratez]

Такое впечатление, что скрипт не выполняли. Сообщение об успешном выполнении скрипта выходило? Выполните скрипт еще раз, в безопасном режиме. Затем сделайте новые логи (в обычном).

[vlad_1976]

скрипт выполнял. В безопасный режим войти не могу. врать не умею)))

Добавлено через 1 минуту

все как было, так и осталось. в диспетчере задач висит процесс ati2avxx.exe.

[Bratez]

Пардон, про безопасный в первом посте не доглядел...

Выполните такой скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('d:\windows\system32\ati2avxx.exe');
 DeleteFile('d:\windows\system32\ati2avxx.exe');
 DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\mlburmh.exe');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\mlburmh.exe');
DeleteFile('C:\Windows\Tasks\At1.job');
DeleteFile('C:\Windows\Tasks\At2.job');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи.

[vlad_1976]

Скрипт выполнил.
Вот новые логи
В безопасный режим не входит.

после выполнения скрипта те же процессы в диспетчере

еще какие-нибудь предложения будут?!!!!

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\mlburmh.exe','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('D:\mlburmh.exe','');
 QuarantineFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com','');
 QuarantineFile('395705.dll','');
 QuarantineFile('ntsd.exe','');
 DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
 DeleteFile('D:\mlburmh.exe');
 DeleteFile('D:\autorun.inf');
 DeleteFile('C:\mlburmh.exe');
 DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[vlad_1976]

под "Закройте/выгрузите все программы кроме AVZ и Internet Explorer" Вы имеете ввиду отключить их через диспетчер задач?

[Rene-gad]

под "Закройте/выгрузите все программы кроме AVZ и Internet Explorer" Вы имеете ввиду отключить их через диспетчер задач?

Нет, а то Вы слишком много отключите Выгрузите резидентные программы из трея (возле часов).

[vlad_1976]

Все сделал как Вы сказали, только я не могу отправить hijackthis.log. не устанавливается он и все тут.
поэтому отправляю только эти логи и отправляю карантин... по ходу дела придется сносить винду, мне кажется в компе полная задница)))

До сих пор не загружается "безопасный режим". Как бы его восстановить? Даже restoresafeboot.reg не помог.

Добавлено через 1 час 52 минуты

узнал, что пишется в BSOD, когда запускаешь безопасный режим:
stop: 0x0000007B (0xF78AA524, 0xC0000034, 0x00000000, 0x00000000)

[Rene-gad]

узнал, что пишется в BSOD, когда запускаешь безопасный режим:
stop: 0x0000007B (0xF78AA524, 0xC0000034, 0x00000000, 0x00000000)

http://support.microsoft.com/?scid=k...4103&x=12&y=15

Добавлено через 4 минуты

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('395705.dll','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('D:\autorun.inf','');
 DeleteFile('D:\autorun.inf');
 DeleteFile('C:\autorun.inf');
 DeleteFile('395705.dll');
 DeleteFile('C:\windows\395705.dll');
 DeleteFile('C:\windows\system32\395705.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Сделайте лог gmer: http://virusinfo.info/showthread.php?t=40118
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

[vlad_1976]

Спасибо за ссылку, но статью я уже прочитал. из того, что там написано я понял, что где-то глубоко сидит вирусный драйвер, который не дает загрузить безопасный режим.
скрипт я выполнил. карантин выслал. Вот новые логи...
До сих пор не могу выслать hijackthis.log, потому как на загружается.

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\mlburmh.exe','');
 QuarantineFile('D:\mlburmh.exe','');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('F:\mlburmh.exe','');
 DeleteFile('F:\mlburmh.exe');
 DeleteFile('F:\autorun.inf');
 DeleteFile('D:\mlburmh.exe');
 DeleteFile('D:\autorun.inf');
 DeleteFile('C:\mlburmh.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\Documents and Settings\user\Local Settings\Application Data\jalak-93808215-bali.com');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Сделайте лог gmer: http://virusinfo.info/showthread.php?t=40118. Нужно отключить антивирус и файрвол и нажать кнопку SCAN!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

[vlad_1976]

Скрипт сделал. Карантин отправил. Новые логи...

[Rene-gad]

gmer нужно запускать кнопкой SCAN. Вы статью по ссылке читали?
Повторите последний скрипт в безопасном режиме.

[vlad_1976]

там ничего не написано про безопасный режим

Добавлено через 31 секунду

кнопкой scan и запускал, не дурак

Добавлено через 1 минуту

в безопасный режим не входит!!!

Добавлено через 4 минуты

Так я неправильный gmer-лог отправил или как?

[Rene-gad]

там ничего не написано про безопасный режим

Это моя личная просьба

кнопкой scan и запускал

Очень короткий лог получился...

в безопасный режим не входит!!!

АВЗ/Файл/Восстановление системы, отметить пункт 10 и запустить. Попробовать войти в безопасном режиме.

Проблема в том, что все Автораны остались....

[vlad_1976]

Заметил еще одну особенность, в диспетчере задач 3 процесса ati2evxx.exe, если один из них убиваешь, то он снова появляется.

Добавлено через 2 минуты

бесполезно... в безопасный режим не входит(((

Добавлено через 6 минут

После выполнения скриптов выползло неизвестное устройство.
код: ROOT\LEGACY_UZI5NTE0\0000
запустил его поиск, нигде в инете про него ниче нету.