Chino Moreno

ОС Windows XP SP3
Итак, проблема заключается в следующем: не так давно поймал на свой домашний компьютер баннер вида: "Ваш компьютер заблокирован за просмотр, копирование, ... и т.д." с просьбой положить 400р на номер 89112884254 для разблокировки, причем при попытке нажатия alt-ctrl-del появлялся новый баннер такого же содержания, но с другим номером телефона и баннеры попеременно сменяли друг друга на экране с периодом в секунду.
Поиск подходящего кода разблокировки на сайтах Касперского и Др.Веб ничего не дал. Стал искать решение на форуме касперского, наткнулся на тему "Лечимся от баннеров" и сделал все по инструкции, изложенной в ней: http://forum.kaspersky.com/index.php?showtopic=199377 .
Скачал образ диска, записал на CD, загрузился с него, просканировал систему, обнаружив зараженные файлы 22СС6С32.exe и userinit.exe, "убил" все вирусы, перезагрузился - увидел приглашение для ввода пароля - ввел пароль - пустой экран - завершение сеанса - снова приглашение ввести пароль. При этом попытка вызова диспетчера задач привела к новому появлению баннера.
Далее, загрузившись с диска, посмотрел, что файл userinit.exe в папке system32 отсутствует, взял идентичный файл со здорового компьютера с ОС WinXP, скопировал на зараженный компьютер. Также заменил файл taskmgr.exe с помощью утилиты System32.exe.
После перезагрузки снова увидел приглашение ввести пароль - ввел пароль - после долгого процесса применения личных параметров увидел рабочий стол, содержащий лишь часть моих ярлыков. Диспетчер задач работает, автозагрузки пустые.
Обнаружил, что в папке Documents and Settings кроме папки с моим именем пользователя (Adm) появилась папка Имя пользователя.Имя компьютера (Adm.zeon), причем в старой папке (Adm) находятся все мои документы, настройки, избранное, ярлыки рабочего стола, а новая папка практически пуста. Как я понял, работаю я под учетной записью Adm.zeon, но в управлении учетными записями учетка значится всего одна - Adm...
Все установленные программы отображаются в меню пуск, но запускаются из них лишь некоторые, например, Photoshop CS3 и Winrar... Попытка запуска других программ приводит к выводу сообщений вроде "Это действие допускается только для установленных программ" или сообщений, повествующих о невозможности найти какую-либо dll-библиотеку...Антивирус Symantec Endpoint Protection также не запускается, ссылаясь на отсутствие библиотеки.

Фух...Прошу прощения за столь длительное повествование, старался подробнее изложить суть проблемы, дабы ввести читателей в подробный курс дела. По инструкции данного форума скачал avz, выполнил скрипт, выложил файл: Скачать virusinfo_syscure.zip с WebFile.RU .
HiJackThis установить не удалось - при попытке запустить установку выдалось сообщение "Не удалось получить доступ к службе Windows Installer. Либо Windows работает в защищенном режиме, либо служба Windows Installer установлена неправильно. Обратитесь в службу поддержки."

Прошу о помощи небезразличных и заранее благодарю.

Chino Moreno

Друзья, хотя бы проконсультируйте по содержанию лога avz, если это возможно...на 57 просмотров ни единого ответа...Неужели случай настолько безнадежный?...

~Данил~

Chino Moreno, сейчас гляну
попробуйте сделать вот такой лог http://pchelpforum.ru/showpost.php?p=206554&postcount=5 хотя вроде чисто....

Найдите диск с вашей системой, вставьте в привод, затем Пуск - Выполнить - пишем Sfc /scannow и ждем окончания, после чего перезагружаемся, но если будет глючить, то тут без капитального восстановления не обойтись

Chino Moreno

Эх, мне бы этот диск с системой еще разыскать, давненько я винду ставил...
Попробую сделать MBAM-овский лог, вечером выложу, спасибо за ответы!)
А в avz-логе содержится информация о значениях реестра, если я не ошибаюсь?..В моем случае там тоже все в порядке?..

~Данил~

не только а в вашем случае я плохого не вижу ничего

Chino Moreno

Сделал лог полным сканированием в MBAMе, вот ссылка: Скачать mbam-log-2011-05-26 (23-55-42).txt с WebFile.RU
Буду ждать комментариев от Данила или других гуру)

nikonrock

Chino Moreno, я так понимаю у вас такая же песня как у меня. http://pchelpforum.ru/f34/t58158/
когда будет приглашение ввести пароль, жмём ctrl + alt + del. В появившемся окне выбираем вашу старую учетную запись, вводим пароль. Далее можно будет убить новенького юзера.

Chino Moreno

nikonrock, спасибо за ответ, но боюсь, что моя ситуация все же насколько отлична от вашей...В моем случае никакой новой учетной записи преднамеренно создано не было, после загрузки винды появляется приглашение ввести пароль, при этом имя учетной записи мое - Adm, пароль я тоже ввожу свой старый, из других вариантов учетки только один - гость. После ввода пароля загружается рабочий стол с содержимым, доступным всем пользователям (лежащим в Documents and Settings\All users\Desktop), все установленные программы в меню пуск отображаются, но большинство из них не запускаются, ссылаясь на отсутствие библиотек или на то, что действие возможно лишь для установленных приложений...Возможно, ситуация с программами связана с неисправностью Windows Installer, хотя в службах он включен... Самое мне непонятное - это то, что в Documents and Settings невесть откуда появляется папка Adm.Zeon (Zeon - имя компа), и все мои действия, наример добавление ярлыков на рабочий стол или создание файлов в папке Мои документы отображаются в Adm.Zeon...А рядом есть папка Adm, в которой хранятся все мои старые документы, избранное, содержимое рабочего стола и т.п.....

yurets

при таких баннерах часто помогает простое пересталение времени в биосе вперед(мне на три дня помогало)

это я так к сведению,что нужно идти от простого....

Chino Moreno

Да, еще такой примечательный факт - при загрузке Windows и появлении приглашения ввести пароль комп выдает мне короткий системный сигнал...И еще...Система у меня стоит на диске С, но при загрузке с Win_PE, системный диск упорно распознается как диск Е...