[iskander-k]

По логу постороннего вроде не видно.
Подождем результатов анализа.

вы так и не ответили...

Цитата tonsberg:

что увидел нечто вроде «CMOS checksum failure». Предлагалось нажать F1 для продолжения или DEL для входа в биос. »

Цитата iskander-k:

А батарейку биоса на всякий случай проверяли ? »

[S.R]

Цитата:

Здравствуйте, Файлы не заражены. С уважением, Вирусный аналитик

MBR не заражена. Остается только найти способ проверить bios.

[tonsberg]

Цитата iskander-k:

А батарейку биоса на всякий случай проверяли ? » »

Пост №3 содержит ответ на этот вопрос, Вы просто пропустили. Да, батарейку заменил, даже не проверяя старую.

Цитата S.R:

MBR не заражена. Остается только найти способ проверить bios. »

Приятная новость. ЗдОрово, если этой действительно так. Тут мне в личку сообщили, что после перепрошивки BIOS появление запроса на продолжение через клавишу F1 это нормально. Но проблема-то была в том, что одновременно "исчез" MBR и его пришлось восстанавливать после сбоя; оказались нерабочими антивирус и файервол и возникли прочие выше озвученные непонятки. Именно поэтому и перепрошил BIOS на новый, на всякий случай. И затем стал искать причину такого серьёзного сбоя.

Кроме того (даже такая мелочь) невозможность в безопасном режиме восстановить с помощью Safeboot7.reg (Касперского) возможность выбора вариантов загрузки системы и её "нетипичное" поведение в работе лишь усилили подозрение в заражении. Впрочем, уже повторяюсь.

Тут Comodo через почти 3 часа сканирования нашёл 19 угроз. Одна из них, к примеру, инсталлятор Chrome 15.0.874.106. Буду сейчас разбираться с остальными.

[iskander-k]

Цитата tonsberg:

появление запроса на продолжение через клавишу F1 это нормально »

Чтобы убрать запрос F1 - для этого зайдите в биос настройте или загрузите оптимальные настройки по умолчанию и сохранитесь.



Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Цитата tonsberg:

Пост №3 содержит ответ на этот вопрос, Вы просто пропустили. »

Действительно пропустил.

[tonsberg]

Цитата iskander-k:

Чтобы убрать запрос F1 - для этого зайдите в биос настройте или загрузите оптимальные настройки по умолчанию и сохранитесь. »

Запрос F1 появился в двух случаях:

а) после изложенного краха системы (впервые за всю мою практику, а случаи бывали очень разные).
б) после перепрошивки BIOS на новый.

Однажды выбрав загрузку по F1 такая ситуация больше не повторялась. Даже при условии изменения настроек. Правда с новым биосом появился двойной старт.


Из 19 угроз Comodo оставил для удаления 3: одна в Windows\System32 и две в AppData\Local. Обещает пролечить после перезагрузки.

[S.R]

tonsberg, приложите, если можете, отчет сканирования комодо

[tonsberg]

Это отчёт сканирования Comodo. После перезагрузки сообщил, что теперь жизнь наладится. UVS скачал, сейчас буду разбираться.

[iskander-k]

Цитата tonsberg:

Это отчёт сканирования Comodo »

В основном, на мой взгляд - паранойя этого антивируса в этом логе-отчете.

[tonsberg]

UVS отработал. Лог прикладываю. Но ещё вдруг обнаружил кое-что интересное.



По цифре 1 картинки мой первый (плохо работающий) GMER находил запись в реестре где-то тут (примерно)

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3FB70834-F0A7-F953-C0F3-C299E37F8BD9}.

Файл и запись я смог удалить вручную. И ещё что-то (уже не помню, запутался) ругалось на файл по цифре 2 картинки. Тоже смог удалить руками.
Вот такое дополнение к логу UFS.

[tonsberg]

Цитата iskander-k:

В основном, на мой взгляд - паранойя этого антивируса в этом логе-отчете. »

Это точно
Кстати UFS пока работал (тут же всё двигается) выкинул много разных сообщений с претензией с инсталлятору Chrome. В общем-то комп завис именно на работе в Chrome. Уже не знаю что и думать Утро вечера мудреннее.