[Pili]

Zusul666, Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
 QuarantineFile('C:\WINDOWS\system32\spupdsvc.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportQuarantineList;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.
Повторите лог virusinfo_syscheck.zip

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix

Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи OTViewIt.txt и Extras.txt и прикрепите к сообщению

[Zusul666]

Pili,
Письмо с quarantine.zip отправил
остальное тут

[Zusul666]

Цитата Pili:

Повторите лог virusinfo_syscheck.zip »

Блин забыл вот

[Pili]

Zusul666, файлы в карантине чистые, по логам ничего зловредного не вижу
Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов или выполните скрипт

Код:

begin
SetAVZPMStatus(false);
ExecuteStdScr(6);
RebootWindows(true); 
end.

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

[Zusul666]

Большое спасибо.
когда работал Combofix, запустилась служба автоматического обновления(хотя служба была выключена) и Combofix провис где-то на 15 минут.Так и не дождавшись отклика я установил эти 7 обновлений и перезагрузил комп.Но дело в том что обновления уже были установлены на моем компе и он их просто переустановил. Может быть я что то сделал не правильно?
и еще вопрос в логах AVZ есть такие строчки:
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A5721F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A5721F8 -> перехватчик не определен
Это нормально?

И может быть есть какое-то свое мнение на этот счет,почему под юзером возникает такая проблема а под админом все в порядке

[Severny]

Цитата Zusul666:

запустилась служба автоматического обновления(хотя служба была выключена) »

Combofix включает неработающие, но с точки зрения безопасности нужные службы. Поэтому у тебя должны были включиться "Автоматическое обновление", "Служба безопасности системы" и т.п.

Цитата Zusul666:

и еще вопрос в логах AVZ есть такие строчки: \FileSystem\ntfs[IRP_MJ_CREATE] = 8A5721F8 -> перехватчик не определен »

Не стоит обращать внимания.

Цитата Zusul666:

почему под юзером возникает такая проблема а под админом все в порядке »

Возможно под админом у AVZ хватает прав определить перехватчик.

[Zusul666]

Я неправильно выразился, вобщем почему при входе под юзером игра мне пишет "Loading of the keyboard module failed. Pleaze exit the game and reload" а под админом все впорядке.И если создать нового юзера там тоже все нормально (ну во всяком случае первых 2-3 дня)
Буду рад выслушать любые мнения на этот счет.

[Zusul666]

Severny,

Цитата Severny:

Combofix включает неработающие, но с точки зрения безопасности нужные службы. Поэтому у тебя должны были включиться "Автоматическое обновление", "Служба безопасности системы" и т.п. »

угу 4 или 5 служб врубил

Цитата Severny:

Не стоит обращать внимания. »

понял

[Pili]

Перехватчики м.б. от sptd.sys

Цитата Zusul666:

почему при входе под юзером игра мне пишет "Loading of the keyboard module failed. Pleaze exit the game and reload" а под админом все впорядке. »

Некоторые программы требуют прав админа, игры в том числе. Вопрос по проблеме в конкретной игре нужно обсуждать точно не в этом разделе форума.
Предположение - игра пытается что-то записать в ту область(реестр или папку на диске, например C:\windows\system32), куда нет права записи под пользователем, посмотреть что и куда та или иная программа пытается получить доступ можно с помощью regmon и filemon от sysenternals - см. здесь и соответственно раздать права на необходимые ветки реестра и папки или выход проще - запускать игру от имени администратора (можно на это время отключиться от сети)
Добавлю ещё, CоmboFix также доп. включает восстановление системы и перед каждым запуском создает доп. точку восстановления.

[Zusul666]

Мда стоило остаться без оутпоста всего на сутки и вот результат