[Baw17]

удалите O4 - HKLM\..\Run: [VIPv3_Auto_Update] C:\WINDOWS\VIPv3\CheckForUpdates.exe
http://support.microsoft.com/kb/3247...173&sid=global

[Elkmann]

Извините, Baw17, но Ваша инструкция мне не совсем понятна. C:\WINDOWS\VIPv3\CheckForUpdates.exe - это ладно, удалил. А вот что такое O4 - HKLM\..\Run: [VIPv3_Auto_Update]? это ключ реестра такой? не нашел.

[Pili]

Elkmann, не все логи представлены, ну да ладно.
выполните скрипт в AVZ (файл - выполнить скрипт), перед выполнением скрипта закройте все защ. прогр.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\SETUPAPI.dll','');
 QuarantineFile('C:\WINDOWS\system32\stobject.dll','');
 QuarantineFile('logon.scr','');
 QuarantineFile('C:\WINDOWS\VIPv3\CheckForUpdates.exe','');
 QuarantineFile('c:\program files\punto switcher\ps.exe','');
 QuarantineFile('C:\Program Files\Punto Switcher\correct.dll.1202123081','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится, после перезагрузки выполните ещё один скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл 'quarantine.zip' выложить на файлообменник (из карантина можно убрать файлы, в которых вы уверены и очень большие файлы) и дать ссылку или самостоятельно проверить файлы в карантине на virustotal.com - подозрительные файлы в архиве с паролем virus отправить на newvirus@kaspersky.com
пофиксить в hijackthis

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [VIPv3_Auto_Update] C:\WINDOWS\VIPv3\CheckForUpdates.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'NETWORK SERVICE')

Интернет.lnk сами в автозагрузку поставили?

[Baw17]

Цитата Elkmann:

А вот что такое O4 - HKLM\..\Run: [VIPv3_Auto_Update]? »

Пуск - выполнить - regedit
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
там и смотри

[rubin-vinfo]

Легитимные системные файлы:
C:\WINDOWS\system32\DRIVERS\lirsgt.sys
C:\WINDOWS\system32\DRIVERS\atksgt.sys
Дитя Даемон тулз\Алкоголя:
spna.sys

[Baw17]

Цитата Pili:

QuarantineFile('C:\Program Files\Punto Switcher\correct.dll.1202123081',''); »

это как бы от Punto Switcher, зачем его убивать? он просто клавиатурный перехватчик

Цитата Pili:

QuarantineFile('C:\WINDOWS\system32\stobject.dll',''); »

- значки регулятора громкости и разряда ​батарей (+ SysTray Systray shell service object Microsoft Corporation)

Цитата Pili:

QuarantineFile('C:\WINDOWS\system32\SETUPAPI.dll',''); »

Интерпретаторы

В MS Windows присутствует по умолчанию два интерпретатора скриптов INF: SETUPAPI и ADVANCEDINF. Оба интерпретатора представляют два DLL-файла в системной директории и некоторое количество ключей в реестре. Интерпретатор SETUPAPI находится в библиотечном файле setupapi.dll, интерпретатор ADVANCEDINF - в библиотечном файле advpack.dll. В операционных системах MS Windows 95, 98 интерпретатор SETUPAPI находится в 16-разрядной библиотеке setupx.dll. Библиотека setupapi.dll есть в MS Windows 98 и включена в пакеты заплат для MS Windows 95, однако основным интерпретатором остаётся setupx.dll. То есть, следует учитывать, что setupapi.dll не всегда присутствует в системе. Исходя из того, что библиотеки интерпретаторов не являются исполняемыми файлами, требуется внешний инициатор запуска функции интерпретации скрипта. Им является системная утилита RunDLL32.exe.
Формат запуска любой библиотеки посредством RunDLL32:

[rubin-vinfo]

Скрипт ничего и не убивает - лишь карантинит

[Pili]

Цитата Baw17:

это как бы от Punto Switcher, зачем его убивать? он просто клавиатурный перехватчик »

скрипт ничего не удаляет, понятно, что Punto Switcher патченный, но с ним связано некоторое кол-во троянов - по поиску в гугл (и на virusinfo были случаи с ps .exe тут) можно найти, то же самое с stobject.dll и SETUPAPI.dll - м.б. патченные, проверить не помешает, если чистые, могут пойти в базу безопасных AVZ (а если уже в базе - в карантин не попадут)

[Baw17]

Elkmann, Попробуйте восстановить файлы autoexec.nt и config.nt в папке Windows/System32 - возможно, они были повреждены. Взять оригиналы можно в папке Windows\Repair или распаковать из дистрибутива системы.

В этом случае однозначный совет один - не надо устанавливать старые программы, использующие DOS. Дело в том, что NTVDM - это виртуальная DOS машина, эмулирующая далеко не все функции реального DOS по причине запрета NT на обращение к портам ввода-вывода напрямую. В данном случае это как раз и получилось.

Процессор NTVDM обнаружил недопустимую инструкцию правда это относится к NT 4.0, но должно и вам помочь
так же скажите вы устанавливали, какие нибудь патчи для ОС после которых появилась проблема, если да то удалите их