симптомы:
Не грузятся ни виста ни ХР. ХР постоянно идёт либо на перезагрузку, либо в синий экран. Виста после показа шарика-логотипа уходит в темный экран и всё, без всяких перезагрузок, просто виснет на стадии загрузки.
Что делал:
Проверка Dr.Web CureIt, AVP tool, Dr.Web LiveCD, AVZ. Все со свежими обновлениями. При проверке найдено 14 вирусов-троянов, всё удалено, логов к сожалению не сохранилось.

тему по поводу синего экрана разместил тут - http://forum.oszone.net/thread-142197.html
там модератор сказал, что это вирус sfc.SYS, glaide32.sys
таким образом, если указанные утилиты не обезвредили и не обнаружили этот хитромудрый вырус, что мне дальше то делать ?
А то уже надоело в безопасном режиме работать !

AVZ ... логов к сожалению не сохранилось. »
Логи должны быть. В папке с АВЗ.

Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html#post717373) инструкциями.

В первом посте вложенные логи !

Здравствуйте.

Скопируйте и выполните, расположенный ниже, скрипт в AVZ.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe','');
QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe');
DeleteFile('C:\WINDOWS\system32\riodrv.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



После перезагрузки выполните скрипт



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

Пофиксить в HijackThis.


O21 - SSODL: oledll - {99045B67-9132-9234-D429-7F84D923BC79} - C:\WINDOWS\system32\wrZ2tokl.dll

и сделайте новые логи

Пофиксите:

O21 - SSODL: oledll - {99045B67-9132-9234-D429-7F84D923BC79} - C:\WINDOWS\system32\wrZ2tokl.dll

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe','');
QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');
QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe');
DeleteFile('C:\WINDOWS\system32\riodrv.exe','');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После перезагрузки (автоматической) отправьте quarantine.zip из папки с AVZ на koshkin@rbcmail.ru
P.S. Пока я писал это, iskander-k тоже написал инструкции.
Однако файлы там удаляются те же, так что можете или его, или мои инструкции выполнить.
Но если выполните его инструкции, то все равно quarantine.zip отправьте мне, у него этот файл генерируется после 2-ого скрипта.

А я тем более опоздал. Но скрипт самый полный :)

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
QuarantineFile('C:\WINDOWS\system32\riodrv.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe','');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S3IVQN89\1[1].exe');
DeleteFile('C:\WINDOWS\system32\riodrv.exe');
DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');
DeleteFileMask('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. Компьютер перезагрузится.

Выполнить скрипт в AVZ.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Пофиксить в HiJack
R3 - Default URLSearchHook is missing
O21 - SSODL: oledll - {99045B67-9132-9234-D429-7F84D923BC79} - C:\WINDOWS\system32\wrZ2tokl.dll

Сделайте новые логи (по возможности в нормальном режиме)

Не ожидал такой быстрой реакции и проверил диск С avp tool, он опознал эти файлы как вирусы и удалил. Но дело в том, что буквально вчера это же сделал и др вэб, но сегодня всё на месте было.
есть смысл после авп тул отсылать вам карантин или стоит новые логи создать ?
но проблема с синим экраном осталась.


и не нашел как в пофиксить в HiJack ?!

AlhimikRus, запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked"

А кстати авз на висте нормально работает ? А то у меня не сработала Установка драйвера расширенного мониторинга процессов, просто никакой реакции на нажатие этой функции не произошло. и если эта функция не заработала, есть ли смысл в дальнейшей проверке ?

thyrex, видел "askbar", но вроде это AdWare. Так что сомневался и не стал писать в скрипт.

А кстати авз на висте нормально работает ? »
нужно запускать с правами администратора. Правой кнопкой по значку программы, выбрать пункт "Запустить от имени администратора" - обязательное условие.
Котяра, NOD его давно считает жутким вирусом-трояном

но проблема с синим экраном осталась.
не сработала Установка драйвера расширенного мониторинга процессов, просто никакой реакции на нажатие этой функции не произошло
Возможно, руткит не дает.
Давайте на всякий случай все закарантиним (включая левые имена из дампов): AVZ -> меню Файл -> Выполнить скрипт -> выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку Запустить.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('55742417.sys','');
QuarantineFile('27179896.sys','');
QuarantineFile('31795838.sys','');
QuarantineFile('glaide32.sys','');
QuarantineFile('30541495.sys','');
QuarantineFile('29101354.sys','');
QuarantineFile('09136143.sys','');
QuarantineFile('35304826.sys','');
QuarantineFile('55156289.sys','');
QuarantineFile('sfc.SYS','');
QuarantineFile('Video3D32.sys','');
QuarantineFile('BrukerIR.sys','');
QuarantineFile('asyncmac.sys','');
QuarantineFile('A3AB.sys','');
DeleteFile('55742417.sys');
DeleteFile('27179896.sys');
DeleteFile('31795838.sys');
DeleteFile('glaide32.sys');
DeleteFile('30541495.sys');
DeleteFile('29101354.sys');
DeleteFile('09136143.sys');
DeleteFile('35304826.sys');
DeleteFile('55156289.sys');
DeleteFile('sfc.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить еще скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте мне в PM (http://forum.oszone.net/private.php?do=newpm&u=27596).

Сделайте новые логи (virusinfo_syscheck.zip, hijackthis.zip из п. 3.4, 3.5 правил (http://forum.oszone.net/thread-98169.html)).

Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.htm) здесь (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) или здесь (http://www.downloads.andymanchesta.com/RemovalTools/SDFix.zip), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению.
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html) и здесь (http://virusnet.info/forum/showthread.php?t=512).

Если BSOD будут по-прежнему, выложите свежие дампы.

AlhimikRus,
Вы не выполнили все рекомендации.
и сделайте новые логи »

Почему ?

A3AB.sys' »
это - Related to D-Link driver for your wireless network card.

Вот требования по 2 сверху сообщению:
лог SDFix




Опять благополучно ушёл в DSOD
Есть правда кое какие изменения. в бсод стал уходит немного позже, при попытке открыть интернет соединение (в основном).

вот новые логи

Попробуйте сделать в нормальном режиме логи с помощью полиморфного AVZ (ссылка есть в моей подписи)

Э в нормальном режиме, при попытке запуска чег либо (в том числе и авз) уходим в синий экран. только безопасный режим.

Может тут дело не всётаки не в вирусе, а в дравах каких то ?

Попробуйте сделать отчет GSI (GetSystemInfo) (http://forum.kaspersky.com/index.php?showtopic=36317&view=findpost&p=764187)

уходим в синий экран.
Выложите свежие дампы.

последний дамп