[thyrex]

Дополнительно к рекомендациям из предыдущего сообщения.

1. Сделайте логи полиморфным AVZ (ссылка в моей подписи) с включенным AVZPM (выбрать первый пунктт в соответствующем меню программы)
2. Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

3. Проверьте наличие файла C:\WINDOWS\system32\userinit.exe
Если он есть, проверьте его на virustotal Ссылку на результат проверки сообщите
4. Проверьте в реестре в ветке

Цитата:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

значение параметра Userinit на соответствие значению C:\WINDOWS\system32\userinit.exe, (запятая обязательна)

[max_str]

iskander-k,
Скопировал и запустил ваш скрипт.
было написано следущее
Скрипт выполнен успешно и кнопочка "ОК"
но в протоколе АВЗ написано красным цветом
"Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\DRIVERS\UIUSYS.SYS)
Карантин с использованием прямого чтения-ошибка
Эти строки дважды повторяются.

Самого файлика по указанному пути нет.

Может я что не так сделал?

[max_str]

После удаления C-Media ничего не изменилось. =(

[max_str]

thyrex,
1. запускать 2 и 3 скрипты с влкюченным AVZPM?
2. вот лог.
3. http://www.virustotal.com/ru/analisi...b34-1246179112
4. значение в реестре совпадает

[thyrex]

Цитата max_str:

запускать 2 и 3 скрипты с влкюченным AVZPM? »

Да, именно так

[iskander-k]

Цитата max_str:

Может я что не так сделал? »

Всё сделали правильно. Подождём логи полиморфного АВЗ.

[max_str]

Собсно, вот

[iskander-k]

max_str, Почему вы запускаете АВЗ в безопасном режиме ?

[Petya V4sechkin]

max_str, попробуйте с помощью Msconfig отключать сторонние (не Microsoft) программы и службы из автозагрузки.

А также создать новую учетную запись и зайти под ней.

Поищите файл services.exe на диске (он должен быть только в папке \WINDOWS\system32 и dllcache).

Еще в дампе присутствует драйвер wpsdrvnt.sys (относится то ли к Sygate, то ли к Panda), может конфликтовать с вашим Symantec.

[max_str]

iskander-k, потому что в обычном он не грузится, а сразу перезагружается, либо в синий экран валится. =(