Windows 2000 - не запускается после порнобаннера; вирусы удалены ДокторВебом с ливСД.
 

Здравствуйте!:)

25 марта 2011г. вирус-баннер заблокировал систему: Винда 2000 Профешинал сервис пак 4.
Коды по сайтам ДокторВеба и
Касперского не нашлись. Войти в систему невозможно никак - диспетчер задач,
безопасный режим и проч, всё отключено.
Загрузилась с ливСД (оболочка ХП), на ливке встроена куча утилит, в том числе ERD Commander.
Сейчас сижу с аварийной системы на СД.
Сутки работал свежий антивирусняк от Доктора Веба (бесплатный паучок), нашёл два трояна,
удалил. Система не запускается.
Проблема та же, что тут: http://forum.oszone.net/thread-62657.html

После удаления вируса с баннером, не могу войти в систему. Логин/пароль - успешно,
на мгновение мелькает пустой Раб стол (не экран смерти! цвет - тот, что я устанавливала,
но абсолютно пустой); тут же вылетает снова на окошко: "логин/пароль".

Сравнила последние неудачные запуски с нормальными - по логу winlogon.log
Никаких отличий от успешных запусков не видать. Везде пишет одинаково. Так:



Там, где логи прошлых успешных запусков системы (до появления баннера),
всё ровно то ж самое написано!

Я начиталась советов у Касперского и Веба, на разных форумах. У вас тоже.)))
Залезла в реестр. Там была в ключе Winlogon написана чушь:
C:\DOCUME~1\9335~1\LOCALS~1\Temp\userinit.exe
Поменяла на нормальное значение через ЕРД Коммандер, так
(не копировала, ввела руками с клавиатуры):
C:\WINDOWS\system32\userinit.exe,

В параметре Shell стояло Explorer.exe (как положено).

ERD Commander 5 из-под ХП нормально сохраняет реестр для Винды 2000? В нужной кодировке?
Или нужно искать другую утилиту для починки моего реестра?
На ливке есть ещё regedit.exe и RegOrganiser.

В ветке реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
нет файла userinit.exe. Я три раза прочитала, нету! Зато там вот такая папка имеется:
"Your Image File Name Here without a path" - так должно быть?
После неё идёт последняя папка с этом ключе: "_INSTPGM.EXE".

B "Your Image File Name Here without a path" значения такие (3 строки) :
Это нормально, так должно быть?

В папке system32 есть файлы USERINIT.EXE - так! большими буквами; user.exe;
USER32.DLL; USERENV.DLL. В свойствах екзешников видно, что Майкрософтовские.

В папке C:\Documents and Settings\All Users лежат файлы:
В папке C:\Documents and Settings\Default User файлы:
NTUSER.DAT
NtUser.dat.LOG

В папке C:\Documents and Settings\Администратор файлы:
ntuser.ini; ntuser.dat.LOG и NTUSER.DAT

В файле ntuser.ini (текстовый редактор открыл,
копировала на Д, чтобы не повредить ничего)
написано следующее:
[General]
ExclusionList=Local Settings;Temporary Internet Files;History;Temp

Была на диске С папка TEMP (C:\TEMP), в ней единственный файл, текстовый! Доктор Веб
его не опознал вирусом, но файл оч странный. И я его в эту папку сама не кидала
и ничего такого не писала, разумеется. Удалила её целиком с С из-под ливки (скопировала на Д целиком и заархивировала
Винраром). Файл назвается debug.txt, создан был 15 марта 2011 г.
(за 10 дней до баннера), а в нём вот что:


Что это за дрянь? Похоже на какой-то код.

В папке C:\Documents and Settings\Администратор\Local Settings\Application Data
были странные файлы с именами "0.31961098882015404.exe" и !!! "userinit.exe" -
оба созданы 25/03/2011 - в день появления баннера. В свойствах стоит, что это
приложения "Java SE Binary". Антивирусом не опознаны как трояны и тп, но выглядят
подозрительно. Я их скопировала на Д, заархивировала, потом удалила сами exe - с Д,
и с диска С (где больная Винда 2000).


Да, вот ещё, забыла! Папка C:\WINNT\repair имеется, там вроде все файлы целы
и родные майкрософтовские. Но если в систем32 из неё скопировать software
и ntuser.dat, например, и проч, у меня полетят все программы из
профиля Администратор - так?

В ЕРД Коммандер есть утилиты:
ERD Crash Analiser
ERD System Restore
ERD System Compare
Изменение пароля
Управление компьютером

Но я с ним ни разу в жизни не работала, потому пока не запускала.

avz.exe тоже имеется - и на ливке, и свежий скачала с Касперского. Но он не работает
из-под чужой системы - анализирует только Винду моей ливки.

Пока ничего больше не трогала, жду советов. Может быть, что-то можно сделать?
Как хотя бы восстановить включение Безопасного режима и запуск диспетчера задач?
Мож, из диспетчера удастся запустить avz?

Пока всё. Что можно сделать ещё, чтобы всё-таки запустить систему? Очень нужно!!!

Только, пожалуйста, если кто-то может помочь, ответьте подробно, без проф. сленга
и пошагово.
Я в жизни компами и программированием не занимаюсь и вообще чистый гуманитарий.)))

система не находит userinit.exe
Или не правильно прописали путь или файл в указанном месте отсутствует\поврежден.

загрузитесь с livecd и поищите userinit.exe на диске C:\
Если найдете, в параметр
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
впишите путь к вашему файлу.

Если не найдете, userinit.exe нужно будет перенести с установочного диска.
как заменить системный файл
\\
консоль восстановления windows 2000

Замучилась, пока вошла на форум, кошмар!))) Целый день сегодня пыталась зарегиться и получала сообщение от автомата, что не тот домен и проч. Вообще-то я в локальной сети с серым ай-пишником сижу, за НАТом, а кроме того, у меня теперь постоянно включён фаэрвол (Агнитум Аутопост Фаэрвол). Навозилась я с этим блокиратором, никогда больше отключать Агнитум не стану - он хорошо ловит несанкционированные входы в комп.

Но мне оч хотелось снова попасть на форум с единственной целью: поблагодарить за спасение моей Винды:) Вы мне оч помогли!!! Пусть ответил всего один человек, зато совершенно правильно. А перед этим я у вас столько полезной инфы прочла и скачала нужные прграммы.:) Потому спецом щас перезагрузилась с ливки - сидюку вирусы не страшны.

Короче: проблема решена.)))

Katharsis, вы были абсолютно правы. спасибо, что откликнулись. И я в принципе делала тоже всё верно, но в правке реестра ошиблась, да так глупо. И раз за разом пересматривая правленный реестр, не видела ошибки. Устала, мозги отказали.
Конечно, программист бы так никогда не вляпался, но моя специальность от компов далека.:) Я-то чайник, а не профи.)))

А ошибка была такая. В ключе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
наткюкала, прописывая путь к файлу юзера, точно то, что даётся в примерах исправления. То есть:
C:\WINDOWS\system32\userinit.exe,

Так пишут на куче сайтов, на здешнем форуме, на сайте Касперского и т.д.

А надо писать реальный адрес, где расположена ось и папка систем32. В моём случае это была вовсе не Windows, a WINNT.

Исправила ключ реестра на
C:\WNNT\system32\userinit.exe,
- и привет родная Винда и целёхонький Рабочий стол! :yahoo:

Обрела я свой комп в ночь с 31 марта на 1-го апреля, ага))) Страшно рада.

Пришлось, конечно, пройтись avz.exe по системе, у меня куча функций реерстра оказались отключены, ключи переписаны; редактор реестра и диспетчер задач не работал и ещё кое-что по мелочи, но всё ерунда - АВЗ помог! Теперь не просто всё работает - как часы пашет, летает просто. И вся программная среда на месте, файлы целы.

Спасибо вам ещё раз! Отличный форум, выручили вы меня.:)

Провериться после разблокировки на чистоту системы не хотите?

Если не хотите, то ждите сюрприза в виде банера снова.
Если не будет логов, то... - долечивайтесь

maniy77, Katharsis, спасибо, что откликнулись.)))

А я проверила систему дважды.:) ДокторВебом проверяла - сначала делала полную проверку с ливки и удалила два трояна, второй раз проверяла после захода в систему - чисто. Логи не сохранила, но могу позже проверить ещё раз и тогда уже прислать.

А ещё прошлась по системе авз - тоже два раза. И пришлось из авз запускать восстановление системы, мне программа очень помогла, но сделала не всё, что я хотела. Логи из авз у меня сохранены, я их поищу, сформулирую свои вопросы и ещё раз сюда приду. Мне надо некоторые настройки в системе поменять - я из отчёта авз увидела, что у меня на компе разрешён доступ анонимному пользователю (раньше такого не было!), ещё какие-то вещи он отметил. Сейчас буду разбираться.))

Я у вас прочла уже всё про логи - как и какие надо делать, попробую.)) А как их прикреплять? Тут справа вижу кнопку Вложить файлы - Прикрепить файл. Это надо нажимать?:)

давайте настроим
да, нужны логи от AVZ - irusinfo_syscure.zip, virusinfo_syscheck.zip,
RSIT - log.txt, info.txt

maniy77, логи сделала:)

Система была заблокирована вирусом так, что войти удавалось только с аварийной загрузочной.

Что было сделано:
1) Когда я ещё не могла войти в заблокированную Винду и сидела с ливки, сделала полную проверку антивирусом Доктор Веб, он мне нашёл и удалил много гадости. Вот это:



2) Потом я исправила реестр (ключ Юзеринит - через ЕРД Коммандер с ливки) и вошла в систему. Запустила АВЗ и заказала там "Восстановление системы" - все пункты, кроме следующих:


3) Ещё раз запускала полную проверку Д-рВебом, он не нашёл никаких вирусов.

4) Сегодня (4 апр 2011) сделала свежие логи системы.

Логи АВЗ получились нормально, программа отработала без проблем.
RSIT проработал странно: под конец завис намертво, пришлось прерывать. Пыталась запускать дважды, но с тем же результатом. Всё-таки прикрепила эти логи тоже - те, что получились.
Запустила HijackThis, с ним всё было нормально; его лог тоже прикрепляю.

Я их сама посмотрела, правда, я в этом ничего не понимаю.)) Но вопросы у меня появились.

АВЗ показала: ">> Безопасность: к ПК разрешен доступ анонимного пользователя" - как это можно изменить?
Ещё, как мне показалось, программа наперехватывала лишнее (управление от Агнитум Аутпост Фаэрвол), если я не ошибаюсь. Как это восстановить? Фаэрвол мне нужен.
А ещё АВЗ пишет:
>> Нарушение ассоциации REG файлов
Что с этим делать?

В HijackThis вижу в ключах реестра пару подозрительных адресов.


****
Очень жду советов и заранее спасибо за помощь!:)

Не отходя далеко.

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Очень желательно установить антивирус. Хоть какой нибудь.

1.В целях безопасности скачайте и установите Internet Explorer 8

2. В логе сканирования Hijackthis отметьте:
нажмите "Fix checked"

3.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
после перезагрузки выполнить второй скрипт:

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

4.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5.обновите adobe reader

Анонимного пользователя исправил в скрипте.

6. К следующему посту должны бить приложены новые логи:

- virusinfo_syscheck.zip
- RSIT (отметьте проверку файлов за 3 месяца)
- Malwarebytes' Anti-Malware
- GMER

Katharsis, антивирус поставлю, конечно. Пока демо-версию Д-рВеба на 30 дней, потом Каспера, а дальше выберу, какой понравится больше.

ИЕ8 под Винду2000 не ставится, во всяком случае я не нашла версию для моей системы. Попробую обновить штатными средствами Майкрософт. Может, так получится?
Хотя я вообще не использую ИЕ, неудобный он. Пользуюсь Мозиллой и Оперой. Но иногда в Ворде нажимается случайно ссылка, тогда автоматом открывается ИЕ - было несколько раз, несмотря на то, что у меня браузером по умолчанию стоит Мозилла.

Адоб Ридер тоже постараюсь обновить до той версии, что на мою машину встанет, спасибо за совет.

GMER скачала, не могу лог сделать, вообще не могу им просканировать - сначала он принял за руткит мой фаэрвол, который я предварительно отключила (автоматом при запуске идёт быстрая проверка), потом я заказываю сканирование обоих дисков, минуту работает и тут же комп вылетает на перезагрузку. Два раза так получилось, больше я не экспериментировала с GMER.

****
Строчки в ХайДжек отметила, исправила.

Скрипты в АВЗ честно сделала - оба. После первого перезагружалась.

Вижу, что мой фаэрвол после выполнения скрипта и перезагрузки теперь не встаёт первым в трей. Так не должно быть. Фаэрвол шёл раньше всегда первым в автозагрузке и перехватывал кучу функций на себя. Это нормальная лицензионная программа. Вот отсюда:
http://www.agnitum.ru/products/outpost/index.php

Я и вирусы наловила потому что стала отключать в какой-то момент фаэрвол, забывала об этом и лезла в сеть, потом спохватывалась и включала, да поздно, как выяснилось.

Вы что-то в скрипте прописали, отчего порядок автозагрузки и работа фаэрвола изменилась, или мне это просто кажется?

Простите, если вопросы выглядят дурацкими, но мне сложно.:) Я не программист, я филолог.))) И всегда боюсь не на ту кнопку нажать или что-то не то сделать на компе. Мне потом сложно будет восстанавливать прежнюю конфигурацию, я мало что в таком понимаю.

Если что-то после выполнения скриптов перестанет работать (из нужного), надеюсь, можно будет откатить назад?))

Вижу в вашем скрипте файл ServiceLayer.ex. (Скрипт я выполнила!) Но сначала нашла поиском до диску С файл ServiceLayer.exe - это файл от Нокии, 2008г. Скопировала его на Д в архиве и адрес прописала, где он на С стоит (на всяк случай).
У меня с 2008 работает утилита от Нокии (скачена с офиц. сайта, подпись Нокии имеется), для моего же телефона. Я с её помощью соединяю телефон с компьютером. С 2008 г.с ней никаких сюрпризов не было. Или это разные программы?

RSIT я уже пыталась запускать, писала об этом в прошлом посте. У меня эта программа не работает как положено, зависает в самом конце. Ещё раз её запускать - после ваших скриптов? Или не нужно?

Malwarebytes' Anti-Malware - скачала, установила успешно, сейчас буду сканировать и логи выложу.
От АВЗ - уже после выполнения двух скриптов - тоже. Как только комп проработает.:)

Очень она у вас старенькая. Обновить бы не помешало. Почему важно обновлять Windows и установленные в ней программы IE необходимо обновлять в целях безопасности, а не для использования. Adobe reader если не нужен - деинсталлируйте, нужен - скачайте свежий и переустановите.

А надо. временно отключите эмуляторы дисков
также основы работы с GMER - вам в помощь.

Можно будет, но ничего из нужного работать у вас не перестанет.
Тем не менее папку temp завалили. И без антивируса сидите.
именно его, а не ServiceLayer.exe/ Не беспокойтесь, файл не удален.
RSIT первый раз отработала, поэтому - ещё раз (проверку файлов отметьте за 3 месяца). Нет, вы должны были выгрузить его перед выполнением скрипта. Когда будут новые логи, будет видно.

И к вам вопрос. Где логи?

Katharsis, я фаэрвол выгружаю, но АВЗ его всё равно находит и отмечает, что он делает.

А логи сейчас будут.:) У меня всё меееедленно работает, не только Windows, у меня и машинка старая - Пентиум 3-600, памяти всего 512 мег (это по максимуму для моей материнской платы.) Так что не всё сразу.

Ещё раз лог Хайджет после удаления тех 4-х строчек.
Новые логи АВЗ после выполнения двух написанных скриптов.

Новые Логи РСИТ. В меню там единственная строка идёт "1 месяц", выбора нет. Я просто меняю цифру на "3" и запускаю программу. Она отработала так же, то есть с зависанием.

Гмер не могу пока показать, с ним буду разбираться. И лог МВАМ будет позже, полное сканирование у меня займёт много времени. Сначала я сделала быстрое сканирование, и обнаружились хвосты вирусов. Первый лог сюда прикрепила.

С карантином странно. Мне АВЗ при сканировании написал, что успешно поместил файл в карантин, папку "Карантин" в "avz4" я вижу, но она пустая. Карантин.зип он сделал, но там что-то странное, везде пишет "О байт". Сейчас попробую через форму отправить, что получилось.

А что с папкой TEMP? С какой именно, темпов же много?

О, забыла!
После выполнения обоих скриптов и всех сканирований я всё равно вижу ServiceLayer.ex в Диспетчере задач. Он там висит в Процессах. Но похоже, что ничего не делает, потому что в его строчке сплошные нули стоят.
Вот так:

1. Найденное mbam удалите, лог полного сканирования повторите (без автоматического удаления!!!)

2. Проверьте на virustotal.com:
ссылки на результат запостите здесь

...

Katharsis, так я её не просто удалила. ) Она целёхонька лежит на диске Д и на флешке, только в архивированном виде. Если она нужна (папка С:/Temp) , могу разархивировать и заново скопировать на С. Если впрямую не выйдет, то с ливки загружусь и скопирую.

Это системная папка?

1. МВАМ сделаю, поняла, что без автоматического.:) Только этот лог будет уже завтра, думаю.

2. А эти файлы: ServiceLayer.ex и system.exe сейчас попробую проверить, только их ещё найти надо. Первый раз поиск находил только ServiceLayer.exe, а не .ех

3. Я quarantin.zip отправила в лабу Касперского вместе с ещё тремя подозрительными файлами, которые с С убирала. Буду ждать, что ответят.

Да, это была системная папка)). Папку пересоздать не сложно, только смотреть нужно прежде и знать, что и для чего вы удаляете. То же самое касается подозрительных файлов. Не всё то вирус, что вы подозреваете.

Ищите через поиск. system.exe прежде всего смотрите в папках C:\winnt , C:\winnt\system , C:\winnt\system32

Также:как искать файлы при помощи AVZ

Katharsis, спасибо вам за помощь!:)

Папку Темп я вернула на место вместе с её содержимым.


1. Всё удалилось успешно, вот:



Запустила полное сканирование, ничего не удаляла пока. Результаты:
Сканирование диска С.


Четыре найденных могу спокойно снести, но вот это -
c:\program files\common files\system office\lsass.exe - наверняка системный файл. Я его не хочу трогать.

Сканирование диска Д.
05.04.2011 12:16:21
mbam-log-2011-04-05 (12-15-52)_full scan_disk_D.txt


Аудиоконвертер я выброшу с обоих дисков (ещё не ставила его), а в ultraiso и portable_alcohol_120% вредных файлов нету, имхо.

Вопрос: сносить найденное МВАМ руками или лучше через него же? Или это всё равно?


2) Не нашла эти файлы (system.exe; ServiceLayer.ex) ни одним видом поиска, не могу проверить. Но, думаю, они безопасные.
Я искала сначала средствами Винды ("найти") - пусто. Потом глазами в системных папках C:\winnt , C:\winnt\system , C:\winnt\system32 - нету.

Потом через АВЗ. Поставила галки на "Исключить файлы, известные как системные и безопасные" и "Иключить прошедшие проверку подлинности Майкрософт".
Результат нулевой, вот:


Видимо, получается, даже если эти файлы скрытые (маскируются), то АВЗ их опознаёт как безопасные.

3) Пришёл ответ из лаборатории Касперского. Я им отправляла не только автоматически сформированный quarantinе.zip, но и те файлы, что сама удаляла из Аппликейшн и темпов, пока сидела с аварийной СД и чистила заражённую систему. В карантине они ничего не нашли, зато определили мой вирус-блокиратор в тех файлах, что я убирала как подозрительные.

Странно, что Д-р Веб (Curiet) тогда (запускала полную проверку) эти файлы (0.31961098882015404.exe, 0.31961098882015404.exe,jar_cache7704972190113269681.tmp) почему-то прозевал (как раз Троян-блокер и не нашёл), хотя в архивах мне другие трояны отыскал и удалил (SMSSend, Mycentria.185) & Adware. Я поддельный юзеринит и прочие прелести уже после его работы углядела и руками сносила.

Вот из Каспера:


****

После того, как удалила найденное МВАМ при быстром сканировании, запускала ещё раз АВЗ, вот логи:

Похоже, всё в порядке, теперь система чистая?))) Работает всё прекрасно и даже довольно быстро.:)

Я сейчас только что установила Д-рВеб системным монитором - сидит в трее, включён и работает на пару с фаэрволом.:)
И буду обновлять всё, что можно - Windows, IE и проч. Потом снова запущу полную проверку системы.

Ещё у меня вопрос. Где-то читала, что после работы АВЗ, когда лечение окончено, надо выгружать какие-то драйверы и что-то ещё делать. Что именно и как?)))

С вашим отчаянным рвением удалять всё что под руку попадет - система долго на свете не заживется. Ухлопаете сами раньше чем вири съедят.

в mbam удалите:
остальное - патчи и кейгены - на ваше усмотрение. Лог повторите.

Когда будет окончено, все рекомендации напишу.

Скачайте из вложения Process Explorer, переименуйте в procexp.exe (распаковывать - не нужно!), запустите и отследите путь к файлам (при наведении курсора будет видно) system.exe и ServiceLayer.ex (скорей всего этому процессу соответствует ServiceLayer.exe )

Пути к файлам напишите здесь.

По Gmer что?

- это вряд ли))) Одиннадцать лет жила без вирусов: на этой системе с 2003г.; до сих пор пашет.:)

МБАМ и прочее сделаю, спасибо за подсказки.))

Кстати, а что такого отчаянного было в решении снести подозрительные файлы из темпов и аппликейшн приложения Java? Даже если я всю среду Ява уберу целиком, система не рухнет. И всегда можно прогуляться на официальный сайт и скачать у них свеженькое.
Я эти файлы с вирусом нашла по времени создания. раз уж мне Куриет не смог помочь. Села и стала методично проверять все файлы созданные после часа ночи 25 марта 2011. У меня в полвторого ночи вылез этот баннер и система заблокировалась. Вот эти три со странными названиями и вылезли: все три рядом и созданные в 1.24 ночи 25 марта. Я их снесла и оказалась права.)))

А точно можно lsass.exe убрать? Я боюсь его трогать, про него пишут, что это системный файл. Вот тут:
http://ru.wikipedia.org/wiki/Lsass.exe
И что, убрав его, в систему не войдёшь.

- удалить. системный файл находится по другому адресу. Кроме этого сменить пароли. Лог mbam повторить

Katharsis, спасибо за ответ.:)

С Gmer я ещё не разбиралась, некогда было.
У меня тут дела навалилсь, и завтра буду тоже целый день на работе, не успеваю заниматься чисткой системы.
Из рекомендованного пока только удалила то, что МВАМ отловил (кроме этого lsass.exe; сейчас ваш ответ прочла. И его тоже снесу.)
Логи и проч, если смогу, выложу уже поздно ночью.

Но скорее всего займусь всем сразу уже в пятницу. И по результатам обязательно отпишусь - отчёты и тд.

А сейчас у меня стоит фаэровл + лицензионный Д-р Веб (системным монитором), они пока ни на что не ругаются.)))

Провести сканирование Gmer`ом необходимо для поиска скрытых зловредов в вашей системе. Что такое Rootkit. Может сканировать несколько часов, удобно запускать на ночь.

Katharsis, если не помру от усталости сегодня, постараюсь на ночь этот Гмер запустить.)) Я прочла инструкцию по вашей ссылке, буду надеяться, что теперь программа заработает.:)

Что сделано.

1.Отключила фаэрвол и антивирус. Инет - физически (шнур выдернула).

Убрала те файлы, что МВАМ прошлый раз нашёл (отмечены в вашем прошлом посте).

c:\documents and settings\администратор\local settings\application data\thinstall\Cache\Stubs\90d0879be9f591b4fec77f08ea9b68775bb23be\nerovision.exe (Trojan.Backdoor)

c:\program files\common files\system office\lsass.exe (Spyware.Passwords.XGen)

c:\SOFT\multimedia_обработка\работа со звуком\audioconvertersetup.exe (Adware.Agent)

d:\SOFT\работа со звуком\audioconvertersetup.exe (Adware.Agent)

d:\SOFT\portable_alcohol_120%_1_9_8_7612\a.c.i.d. wizard.exe (Trojan.Backdoor)

2. Подумала ещё и найденные МВАМ патчи в Винраре удалила, а потом и сам установочный пакет вместе с папкой. Правда, он у меня аж с 2007 г. висит, но уже и Винрар давно стоит другой, а в этом нет надобности. Кейген к УльтраАйсо оставила: он скачан с Рутрекера (причём уже после появления баннера), это пиратка, но нет там вируса, а кейген для регистрации программы.

МВАМ - запустила очередное полное сканирование, ничего опасного не вылезло.

3. Process.exe проработал. Не показывает system.exe; есть просто ветка system, и это всё.
ServiceLayer.ex опознаёт как родной файл Нокии, путь такой:
c:\Program Files\PC Connectivity Solution\ServiceLayer.exe.
Картинка в jpg прилагается.:)
AVZ тоже говорил, что это на самом деле файл Нокии.

4. GMER. Не работает эта штука на моей машине.
Эмуляторов виртуальных дисков у меня нет. Сканирование запускала, как в инструкции написано: только диска С и снять галку с IAT/EAT.
Он начал работать и снова компьютер на перезагрузку ушёл. Не буду больше его запускать, смысла не вижу. Тем более что все остальные программы диагностики показывают, что всё в порядке.
Комп сейчас работает без проблем, даже довольно шустренько.

5. В АВЗ ещё раз сделала логи, а потом нажала кнопку "Удалить и выгрузить драйвер расширенного мониторинга процессов", после чего перезагрузилась.

6. Пароль поменяла.

Все новые логи прилагаются. Мне кажется, что с машинкой всё в порядке, осталось только обновить всё, что получится.
А что-то ещё надо? Кроме GMER - не выходит у меня с ним.

Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
после перезагрузки выполнить второй скрипт:

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Для деинсталляции Gmer cкачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Попробуйте подготовить такой лог.

Смысл есть, т к скрытых зловредов (rootkit) они не видят, для этого нужны спец средства, тем более их наличие у вас не исключается (видно по логам), но и что они есть точно утверждать нельзя (возможно некорректная работа AVZ в вашей системе), поэтому выяснить, я думаю, в ваших интересах.