[Котяра]

Irbis, у Вас какой-то интересный лог. Вы его с Windows PE делали что ли?

[okshef]

Irbis, пожалуйста, переделайте логи. Запустите компьютер в обычном режиме, перед началом работы AVZ обязательно обновите антивирусные базы. Попутно проверьте на http://www.virustotal.com/ru/ файл C:\WINDOWS\innounp.exe

[Pili]

Irbis, Здравствуйте. Судя по логам cureit и HJT, система у вас установлена в c:\windows\, по логам AVZ - X:\BART\system32\
X - что за диск? Логи AVZ делались не на самой зараженной системе? Если так, логи переделайте, запустив AVZ в системе, которую требуется лечить.

[Irbis]

логи переделал.
Нашел статью в которой написано что расширения любого типа файлов может быть прописано в одной из следующих веток реестра:
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xxx\OpenWithList
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xxx \OpenWithProgIDs
• HKEY_CLASSES_ROOT\.xxx\ OpenWithList
• HKEY_CLASSES_ROOT\.xxx\ OpenWithProgIDs
• HKEY_CLASSES_ROOT\SystemFileAssociations\PType\OpenWithList
Просмотре все ветки на зараженном компьютере ехе нигде не объявлено, потом посмотрел на рабочем ехе тоже нигде не объявлено!!!

[Pili]

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».

Код:

begin
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
end.

В реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
поменяйте параметр ImagePath %fystemroot%\system32\svchost.exe на %systemroot%\system32\svchost.exe
Можно твиком реестра

Код:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

Если не получится (веткы реестра заблокированы), верните права на данные ветки или скачайте и запустите IceSword
Во вкладке Registry найдите указанные ветки реестра и поменяйте везде параметр ImagePath %fystemroot%\system32\svchost.exe на %systemroot%\system32\svchost.exe
См. Как искать и удалять ключи реестра с помощью IceSword

Код:

Система загружена в режиме защиты от сбоев (SafeMode)

Сделайте лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) в обычном режиме, не забудьте включить AVZM, можете использовать полиморфный AVZ

Скачайте gmer со случайным именем файла(рекомендуется) здесь, либо gmer.zip здесь или здесь, закройте все остальные программы и отключите антивирусное ПО (включите брандмауэр windows или отключите компьютер от локальной сети), запустите программу (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора). После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Внимание! Если при запуске gmer выйдет окно предупреждающее об обнаружении ROOTKIT activity, нажмите No и в правой панели уберите значки напротив следующих пунктов
• Sections
• IAT/EAT
• Show all

[Pili]

Тема двойник
Irbis, выбирайте где будете проходить лечение, на VI или здесь, одновременно и там и здесь нельзя.

[Irbis]

Огромное спасибо!
Проблема с запуском программ похоже решилась.
Но возникло что-то новое связанное с запуском gmer во-первых я не совсем понял gmer запускать в «безопасном режиме» или в «нормальном»? если в «нормальном» то как выгрузить все процессы относящиеся к avira antivir и outpost firewall? А при запуске в безопасном режиме выбрасывает в синий экран с ошибкой:
Technical information
Stop: 0x0000007F (0x0000000D, 0x00000000, 0x00000000, 0x00000000)
Begining dump of physical memory
Physical memory dump complete

[Pili]

Irbis, Новые логи сделали не полиморфным AVZ, по этому логу ничего плохого не вижу.

Цитата Irbis:

не совсем понял gmer запускать в «безопасном режиме» или в «нормальном»? »

В нормальном. В Avira достаточно отключить real-time защиту (Guard), outpost тоже временно отключить.
По BSOD - минидамп можете выложить в разделе Устранение критических ошибок Windows в теме 0x0000007F

Если запуск gmer будет также приводить к BSOD (в нормальном режиме), скачайте RootRepeal, распакуйте и запустите. Перейдите на вкладку "Report" и нажмите Scan. Поставьте все галки, а затем на вновь появившемся окне выберите диск С. После окончания исследования системы нажмите на кнопку Save Report, сохраните лог и вложите в сообщение.

[Irbis]

Переделал логи.