[Котяра]

Цитата garik404:

Можно подробней объяснить процесс лечения и ссылку на Boot Disk с Арконисом. garik404 »

Режим отладки (Debugging Mode) не загружается?

Попробуйте поискать на диске с XP файл svhgost.exe (именно так!) и удалить.

Профессионалы, скажите: регедит Висты подключит ветки реестра XP?

[virbus]

Цитата garik404:

Можно подробней объяснить процесс лечения и ссылку на Boot Disk с Арконисом. garik404 »

Лечением это не назовешь - это восстановление, давно практикую после установки системы делать резервный образ, спасало много раз.
Использовал этот диск
Ссылка на варез удалена. Предупреждение, ещё раз попробуете - будет бан.
он содержит:
- Установка Windows XP в автоматическом режиме
- Установка Windows XP в ручном режиме + восстановление
- Hiren's Boot CD 9.7 RUS от lexapass
- WindowsPE full CD Edition (codename "SunBear") от XaseR
- Загрузка с ошибкой NTLDR is missing
- Windows Key Enterprise Edition 8.0 build 2596

[brt]

garik404, скачай Dr.Web LiveCD:
http://www.freedrweb.com/livecd
запиши на CD диск и запустись с него, проверишь весь жёсткий диск, даже если винда не грузится

[garik404]

Цитата brt:

garik404, скачай Dr.Web LiveCD: http://www.freedrweb.com/livecd запиши на CD диск и запустись с него, проверишь весь жёсткий диск, даже если винда не грузится »

LiveCD не запускается т.к. он сформирован на Linuxe, а он не воспринимает видимо все железо компа.

[Pili]

garik404, Варианты:
Подключите винчестер к другому компьютеру и проверьте различными антивирусами (напр. cureit, МВАМ и др. - см. в подписи). Сделайте загрузочный CD (WinPE, BartPE и пр.) и проверьте cureit (можно предварительно распаковать например на флешку и запустить _start.exe)
Дополнительно
KAV RescueDisk
Avira Antivir RescueCD
Можете подключить реестр как куст или воспользоваться ERD Commander и посмотреть ветки реестра
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

Рекомендую ознакомиться с описанием Viruslist.com - Trojan.Win32.Krotten.l
И Если что-то отключено — wiki.drweb.com - Если не запускаются программы.

[Котяра]

Pili, ну не факт, что это кроттен, однако посоветую тут

Цитата Pili:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run »

удалить "Ekzabc" - это элемент вируса подобного типа.
Еще забыли: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, параметр Shell должен быть равен explorer.exe и ничего после, если будет что-то иное, ставим explorer.exe.

Итак, правка реестра:
1. Запустите regedit.exe Vista

Это можно сделать, нажав и R вместе и введя regedit.exe.
2. Щелкните
3. В меню выберите Файл => Загрузить куст. Укажите файл \windows\system32\config\software на диске XP.
4.
Введите TEST.
5. Перейдите к HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows NT\CurrentVersion\Winlogon
6. Дважды нажмите на Shell.
7. Введите explorer.exe
8. Кликните ОК
9. Перейдите к HKEY_LOCAL_MACHINE\TEST\Microsoft\Windows\CurrentVersion\Run
10. Удалите ekzabc
11. Щелкните TEST
12. Выберите файл, Выгрузить куст

[garik404]

Цитата Pili:

Подключите винчестер к другому компьютеру и проверьте различными антивирусами (напр. cureit, МВАМ и др. - см. в подписи). Сделайте загрузочный CD (WinPE, BartPE и пр.) и проверьте cureit (можно предварительно распаковать например на флешку и запустить _start.exe) »

Curiet проверил - ничего не нашел.
Запустил AVZ и как указано на форуме по правилам провел проверку. Нашел трояны на Viste и XP, но действующую проблему не решил.
Прикрепляю протоколы проверок.
На С - Vista, D - XP.

http://forum.oszone.net/attachment.p...1&d=1239282315

[garik404]

Цитата garik404:

hijackthis.rar (2.4 Kb) »

Цитата garik404:

virusinfo_cure.zip (8.2 Kb) »

Цитата garik404:

virusinfo_syscheck.zip (42.8 Kb) »

Цитата garik404:

virusinfo_syscure.zip (40.3 Kb) »

[Pili]

garik404, Логи делались в Vista, проблема у вас возникает в этой ОС? Скриптом ниже чистм только то, что в Vista, AskTBar - деинсталлируйте через установку/удаление программ.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Alta\SSTART.EXE','');
 QuarantineFile('C:\Program Files (x86)\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL','');
 DeleteFile('C:\Program Files (x86)\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL');
 DelBHO('{9CB65201-89C4-402c-BA80-02D8C59F9B1D}');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите.

Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files (x86)\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files (x86)\AskTBar\bar\1.bin\ASKTBAR.DLL

Очень странная версия ОС, многие файлы не прошли проверку по базе безопасных.
Если проблема возникает в Vista, можете пополнить базу чистых файлов AVZ, дождаться рез-та анализа CyberHelper`ом архива, далее через некоторое время обновить базы AVZ и сделать новый лог virusinfo_syscheck.zip, 2-ой стандартный скрипт AVZ
Выложите также результаты проверки архива безопасных, дополнительно см. здесь

Если проблема возникает в Windows XP - загрузитесь в Windows XP и сделайте логи по правилам, если в Windows XP загрузится не получается, см. пост 15
Дополнительно, если будет редактировать реестр Windows XP из под Vista (или с CD), кроме веток реестра из 15 и 16 поста, посмотрите ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
И выставьте там значения, отключающие Software Restriction Policies "DefaultLevel"=dword:00040000 и "PolicyScope"=dword:00000001

[Котяра]

Цитата Pili:

Если проблема возникает в Windows XP - загрузитесь в Windows XP и сделайте логи по правилам, если в Windows XP загрузится не получается, см. пост 15 Дополнительно, если будет редактировать реестр Windows XP из под Vista (или с CD), кроме веток реестра из 15 и 16 поста, посмотрите ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers И выставьте там значения, отключающие Software Restriction Policies "DefaultLevel"=dword:00040000 и "PolicyScope"=dword:00000001 »

По первому посту - проблема в XP.
Pili, А за что эта ветка реестра отвечает?