Компьютер перезагружается.

[eppa]

При включении через несколько секунд перезагружается компьютер. Работает только в безопасном режиме. Логов сделать не могу так как AVZ не запускается даже в безопасном. Прошел Virus Removal Tool ном при установке много ошибок показал пришлось много пропускать. Установился проверил нашел 12 вирусов 8 удалил 4 никак.

Да еще в журнале событий:
Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7026
Дата: 27.05.2009
Время: 12:28:25
Пользователь: Н/Д
Компьютер: KIPEC
Описание:
Сбой при загрузке драйвера(ов) перезагрузки или запуска системы:
AFD
Fips
IPSec
MRxSmb
NetBIOS
NetBT
Processor
RasAcd
Rdbss
Tcpip

[AndreyKa]

Сделайте файл с информацией о системе в Virus Removal Tool :
http://avptool.virusinfo.info/ru/AVP...sk_sysinfo.htm

[eppa]

Виснет на этой функции. Но в диспечере задач написанно что работает.

[light59]

Попробуйте этот AVZ http://depositfiles.com/files/j3apocwxd

[eppa]

Вот получилось. Логи.

[AndreyKa]

Отключите службу восстановления системы (см. Приложение 1 Правил).
Отключите антивирус.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Alter\Local Settings\Temporary Internet Files\Content.IE5\89ABCDEF\1[2].exe','');
 QuarantineFile('C:\Documents and Settings\Alter\Local Settings\Temporary Internet Files\Content.IE5\89ABCDEF\1[3].exe','');
 QuarantineFile('C:\Documents and Settings\Alter\Local Settings\Temporary Internet Files\Content.IE5\KXKBG1IN\1[4].exe','');
 QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
 QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
 QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
 QuarantineFile('D:\autorun.wsh','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
 DeleteService('ramdma');
 ExecuteRepair(1); 
 DeleteFile('D:\autorun.wsh');
 DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
 DeleteFile('C:\WINDOWS\system32\svshost.dll');
 DeleteFile('C:\WINDOWS\system32\wininet.exe');
 DeleteFile('C:\Documents and Settings\Alter\Local Settings\Temporary Internet Files\Content.IE5\KXKBG1IN\1[4].exe');
 DeleteFile('C:\Documents and Settings\Alter\Local Settings\Temporary Internet Files\Content.IE5\89ABCDEF\1[3].exe');
 DeleteFile('C:\Documents and Settings\Alter\Local Settings\Temporary Internet Files\Content.IE5\89ABCDEF\1[2].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

[eppa]

Скрипт выполнил, карантин прислал, лог сделал.

[AndreyKa]

Попробуйте в нормальном режиме работы Windows выполнить скрипт AVZ:

Код:

begin
SetAVZGuardStatus(True);
ClearQuarantine;
 DeleteService('plrvdlvvoxz');
 QuarantineFile('C:\WINDOWS\system32\drivers\rbxdwxzdq.sys','');
 DeleteService('ramdma');
 BC_DeleteSvc('plrvdlvvoxz');
 BC_DeleteSvc('ramdma');
 QuarantineFile('C:\WINDOWS\system32\ramdma.sys','');
 DeleteFile('C:\WINDOWS\system32\ramdma.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\rbxdwxzdq.sys');
 DeleteFile('C:\WINDOWS\system32\twex.exe');
 DeleteFile('C:\Documents and Settings\All Users\beyd.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Если не поможет, проверяйте компьютер утилитой CureIt.

[eppa]

В нормальном не могу так как перегружается.

[AndreyKa]

Запустите в Безопасном, но после перезагрузки загрузитесь в нормальном.

[eppa]

ТАк и сделал. Загрузился, но теперь выдает постоянно ошибка виндовс, а карантин пуст.

[AndreyKa]

Лог за прошлый месяц. Не актуально

Сделайте полный комплект логов по Правилам.

[eppa]

Простите перепутал. Исправил. Новые делаю, сейчас пришлю.

[AndreyKa]

Новый карантин загрузите.
Похоже, зловереды нейтрализованы, посмотрим в других логах, что стоит зачистить.
Какие проблемы остались?

[eppa]

Все вроде и ошибка теперь не вылезает. Логи высылаю карантин пуст.

Спасибо Вам огромное.

[light59]

Выполните скрипт

Код:

begin
 ClearQuarantine;
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\winlogon.exe','');
 DelWinlogonNotifyByFileName('ramdmm.dll');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Карантин пришлите.

[eppa]

ССкрипт выполнил, карантин выслал.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\all users\beyd.dll - Trojan.Win32.Agent.cbcv ( DrWEB: Trojan.DownLoad.33841, BitDefender: Trojan.Generic.1638238 )
  2. c:\documents and settings\alter\local settings\temporary internet files\content.ie5\kxkbg1in\1[4].exe - Trojan-Dropper.Win32.Blocker.n ( DrWEB: Trojan.Winlock.55, BitDefender: Trojan.Dropper.Blocker.A )
  3. c:\documents and settings\alter\local settings\temporary internet files\content.ie5\89abcdef\1[2].exe - Trojan-Dropper.Win32.Agent.amor ( DrWEB: Trojan.DownLoad.32229, BitDefender: Trojan.Kobcka.HR )
  4. c:\documents and settings\alter\local settings\temporary internet files\content.ie5\89abcdef\1[3].exe - Trojan-Dropper.Win32.Agent.aoij ( DrWEB: archive:, BitDefender: Trojan.Generic.1628894 )
  5. c:\windows\system32\mssrv32.exe - Backdoor.Win32.Kbot.ho ( BitDefender: Trojan.CryptRedol.Gen.1 )
  6. c:\windows\system32\svshost.dll - Trojan-Downloader.Win32.Murlo.aot ( BitDefender: Trojan.Generic.1623666 )
  7. c:\windows\system32\twex.exe - Trojan-Spy.Win32.Zbot.vkd ( DrWEB: Trojan.PWS.Panda.106, BitDefender: Gen:Trojan.Heur.Dropper.F0B34C4C4C )
  8. c:\windows\system32\wininet.exe - Trojan-Dropper.Win32.Agent.aoij ( DrWEB: archive:, BitDefender: Trojan.Generic.1628894 )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !