Посмотрите пожалуйста логи.

Ничего плохого не видно

А вот это?
H:\715a37e40a03b3f2ebd3\DW\DW20.exe Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\Application\VSSetup, EventMessageFile

По моему это подозрительная запись? Как удалить?

Файл DW20.exe является вспомогательным компонентом MS Office и используется во время работы его приложений (Word, Excel и т.д.). Предназначен для своевременного обнаружения и устранения ошибок при обработке временных данных в памяти машины.

Ну а то, что он находится в H:\715a37e40a03b3f2ebd3\DW\ означает то, что скачался вместе с обновлениями Windows. Если вы его установили - папку с файлом можете удалить.

Но у меня не установлен офис, и даже не был, да и что он может делать на не системном диске? 8\

Но у меня не установлен офис, и даже не был, да и что он может делать на не системном диске? 8\ »

Ну а то, что он находится в H:\715a37e40a03b3f2ebd3\DW\ означает то, что скачался вместе с обновлениями Windows. »

Раз так удалите, она не нужна.

У меня получаются не правильные скрипты, а удалить руками никак, т.к. файлы не видно даже при включенных скрытых файлах и папках.

Получается его уже нет. Не беспокойтесь, к вирусам он никакого отношения не имеет.

Составьте пожалуйста скрипт, что бы удалить это.

Кто нибудь составит скрипт?

Не трогайте эту запись

Скажите хотя бы почему?

Ответьте пожалуйста.

Уважаемый jok17er, я ведь написал что это за файл.
Это легальный файл, скачался вместе с обновлениями Windows.

тем более раз вы пишите
не видно даже при включенных скрытых файлах и папках. »
значит его уже нет

Если у вас есть конкретная проблема, опишите её.

Еще раз здравствуйте.
Мне написал один юзер, что он не уверен в чистоте моих логов, с его разрешения опишу часть нашей переписки.

Вот строка в Вашем логе (F2 - REG:system.ini: UserInit=userinit.exe) автозапуск происходит из ini файла.

А вот эти файлы непонятно откуда взялись?

pstf_x64_stub.exe
uze3nju4.sys
a14yspnq.sys


Я знаю что pstf_x64_stub.exe, модуль программы PSTray Factory, первый .sys чистый, а второй немогу найти.
Прокомментируйте пожалуйста выше описанное?

uze3nju4.sys - драйвер AVZ
a14yspnq.sys - драйвер IDE ATAPI

F2 - REG:system.ini: UserInit=userinit.exe
это нормально

Вот строка в Вашем логе (F2 - REG:system.ini: UserInit=userinit.exe) автозапуск происходит из ini файла. »
Это строка из реестра для Windows 7 - норма. Она находится в узле в узле WOW6432Node

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ReportBootOk"="1"
"Shell"="explorer.exe"
"PreCreateKnownFolders"="{A520A1A4-1780-4FF6-BD18-167343C5AF16}"
"DefaultDomainName"=""
"DefaultUserName"=""
"Userinit"="userinit.exe"
"VMApplet"="SystemPropertiesPerformance.exe /pagefile"



Реестр 64-разрядных версий Windows подразделяется на 32- и 64-разрядные разделы. Большинство 32-разрядных разделов имеют те же имена, что и их аналоги в 64-разрядном разделе, и наоборот. По умолчанию в 64-разрядных версиях Windows используется отображение 32-разрядных разделов в узле WOW6432Node. Процесс отображения прозрачен для 32-разрядных приложений, т.е. они могут получать доступ к разделам реестра так, как будто бы они работали в 32-битном окружении несмотря на то, что данные хранятся в другом месте.

Источник (http://www.viva64.com/knowledge/WOW6432Node_issue_rus.html)

Хиджак считает это ошибкой , но это норма для Windows 7 . Позволяет запускать приложения в режиме совместимости.