приветствую!
Ось: win xp pro sp2

начало истории:

в систему (dr.web был установлен) ворвались зловреды и повлекли за собой:
"Изменение обоев рабочего стола
Изменение настроек рабочего стола
Блокировка меню настроек рабочего стола" (С) Зайцев О.В.
screensaver эмулировал перезагрузку компа с показом синего экрана смерти и так по кругу

попытки борьбы со злом:
Cureit лечил и убивал, после перезагрузки они снова появлялись
снял винт перекинул с больного компа на здоровый,
лечил и убивал Kasper7(логи в приложении), дополнительно проверил Cureit

далее поставил винт на место
снес dr.web поставил Kasper7(установился криво, т.е. некоторые службы не работали) обновился через кумулятивную базу
начал сканирование и не помню почему, но Kasper7 попросил перезагрузку(роковую как оказалось в последствии)

на данный момент:
комп загружается, 1 сек. вдно обои, потом появляется окно входа в систему "приветствие" с единственной учетной записью,
при нажатии на иконку учетной записи пишет: загрузка личных параметров.. завершение сеанса..сохранение параметров..
вход в систему не выполняется
и так по кругу, правда если надоест можно выключит, перезагрузить или уйти в ждущий режим:)
или можно посмореть screensaver эмулирующий перезагрузку компа с показом синего экрана смерти:)
не вызывается диспетчер задач
F8 не помогает
спасибо за внимание, сразу извеняюсь если оформил запрос не по правилам.

(в прикрепленном файле логи kasp7 время начала сканирования больного винта 28.08.2008 13:06:22)

при нажатии на иконку учетной записи пишет: загрузка личных параметров.. завершение сеанса..сохранение параметров..
вход в систему не выполняется
При входе в систему происходит автоматическое завершение сеанса (http://forum.oszone.net/thread-62657.html)

otvertka,а потом Выложите логи по правилам (http://forum.oszone.net/post-717373-2.html)

загрузился с LiveCD MiniSV
запустил редактор реестра
хочу загрузить куст, а немогу кнопка неактивна
как отредактировать реестр?

хочу загрузить куст, а немогу кнопка неактивна
Нужно установить указатель на HKEY_LOCAL_MACHINE или HKEY_USERS, тогда станет доступна (кнопка или пункт меню).

Petya V4sechkin,
последовал совету Pili: Можете попробовать заменить файл userinit.exe на такой же. взяты с чистой системы.
оказалось что у меня его вообще небыло
система загрузилась
теперь могу собрать логи по правилам и отправить вам на рассмотрение?
ибо боюсь опять что либо накосорезить:)

otvertka, да, теперь логи по правилам (http://forum.oszone.net/thread-98169.html).

ь заменить файл userinit.exe на такой же. взяты с чистой системы. »
На днях была проблемка. Зловред под именем userinit.exe лежал в папке \windows, и в реестре прописан был logon с него.
Пользователь запустил антивирус, который обнаружил этот userinit.exe и удалил. Естественно, при перезагрузке сразу же происходит завершение работы. Т.к. ничего юзабельного с собой не было, чтобы исправить запись в реестре, я просто из DOSa скопировал "здоровый" userinit.exe из папки system32 (где он и должен находиться) в папку windows, а уже после удачной загрузки подредактировал реестр.

Petya V4sechkin, логи по правилам;)

1. Скачай IceSword (http://rapidshare.com/files/133061044/IceSword122en.zip.html)
Слева внизу найди меню File, в нем найди следующие файлы и удали по правой кнопке Force Delete.
WINDOWS\System32\Drivers\Winah37.sys');
C:\WINDOWS\System32\Drivers\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Winap46.sys
C:\WINDOWS\System32\Drivers\Wincj03.sys
C:\WINDOWS\System32\Drivers\Wincr37.sys
C:\WINDOWS\System32\Drivers\Winct36.sys
C:\WINDOWS\System32\Drivers\Windk36.sys
C:\WINDOWS\System32\Drivers\Winfn25.sys
C:\WINDOWS\System32\Drivers\Winmd15.sys
C:\WINDOWS\System32\Drivers\Winpx80.sys
C:\WINDOWS\System32\Drivers\Winxn14.sys
C:\WINDOWS\System32\Drivers\Winya03.sys
C:\WINDOWS\System32\Drivers\Winyg81.sys

В AVZ меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить". (или в AVPtools)

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\blphcrmuj0e14j.scr','');
DeleteService('Winyg81');
DeleteService('Winya03');
DeleteService('Winxn14');
DeleteService('Winpx80');
DeleteService('Winmd15');
DeleteService('Winfn25');
DeleteService('Windk36');
DeleteService('Winct36');
DeleteService('Wincr37');
DeleteService('Wincj03');
DeleteService('Winap46');
DeleteService('Winah37');
DeleteService('wscsvcSharedAccess');
DeleteService('upnphosthelpsvc');
DeleteService('TrkWkslanmanworkstation');
DeleteService('SwPrvPolicyAgent');
DeleteService('stisvcERSvcWZCSVC');
DeleteService('stisvcERSvc');
DeleteService('stisvcDcomLaunch');
DeleteService('ServiceLayerProtectedStorageMessenger');
DeleteService('ServiceLayerProtectedStorage');
DeleteService('SamSsNetDDERasMan');
DeleteService('SamSsNetDDEdsdm');
DeleteService('SamSsNetDDE');
DeleteService('RDSessMgrRDSessMgrMSIServer');
DeleteService('RDSessMgrRDSessMgr');
DeleteService('RDSessMgrProtectedStorage');
DeleteService('RDSessMgrCOMSysAppRasMan');
DeleteService('RasManNtmsSvc');
DeleteService('PolicyAgentPlugPlay');
DeleteService('PolicyAgentDnscacheProtectedStorage');
DeleteService('oseTrkWks');
DeleteService('ImapiServiceSamSs');
DeleteService('EventSystemTapiSrvDnscachelanmanserver');
DeleteService('EventSystemTapiSrv');
DeleteService('DnscacheProtectedStorage');
DeleteService('Dnscachelanmanserver');
DeleteService('COMSysAppwuauserv');
DeleteService('COMSysAppRasManhelpsvc');
DeleteService('COMSysAppRasMan');
DeleteService('BITSlanmanworkstation');
QuarantineFile('srv.exe','');
DeleteService('ALGEventlog');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winap46.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincj03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincr37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winct36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windk36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfn25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmd15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpx80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxn14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winya03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyg81.sys');
DeleteFile('C:\WINDOWS\system32\blphcrmuj0e14j.scr');
DeleteFile('WinCtrl32.dll');
Executerepair(5);
Executerepair(6);
Executerepair(9);
Executerepair(10);
Executerepair(17);
BC_ImportAll;
BC_DeleteSvc('wscsvcSharedAccess');
BC_DeleteSvc('upnphosthelpsvc');
BC_DeleteSvc('TrkWkslanmanworkstation');
BC_DeleteSvc('SwPrvPolicyAgent');
BC_DeleteSvc('stisvcERSvcWZCSVC');
BC_DeleteSvc('stisvcERSvc');
BC_DeleteSvc('stisvcDcomLaunch');
BC_DeleteSvc('ServiceLayerProtectedStorageMessenger');
BC_DeleteSvc('ServiceLayerProtectedStorage');
BC_DeleteSvc('SamSsNetDDERasMan');
BC_DeleteSvc('SamSsNetDDEdsdm');
BC_DeleteSvc('SamSsNetDDE');
BC_DeleteSvc('RDSessMgrRDSessMgrMSIServer');
BC_DeleteSvc('RDSessMgrRDSessMgr');
BC_DeleteSvc('RDSessMgrProtectedStorage');
BC_DeleteSvc('RDSessMgrCOMSysAppRasMan');
BC_DeleteSvc('RasManNtmsSvc');
BC_DeleteSvc('PolicyAgentPlugPlay');
BC_DeleteSvc('PolicyAgentDnscacheProtectedStorage');
BC_DeleteSvc('oseTrkWks');
BC_DeleteSvc('ImapiServiceSamSs');
BC_DeleteSvc('EventSystemTapiSrvDnscachelanmanserver');
BC_DeleteSvc('EventSystemTapiSrv');
BC_DeleteSvc('DnscacheProtectedStorage');
BC_DeleteSvc('Dnscachelanmanserver');
BC_DeleteSvc('COMSysAppwuauserv');
BC_DeleteSvc('COMSysAppRasManhelpsvc');
BC_DeleteSvc('COMSysAppRasMan');
BC_DeleteSvc('BITSlanmanworkstation');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
3. После выполни еще скрипт.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Архив с карантином пришли мне в PM.
Пофикси в HijackThis. fix checked
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Вышли повторные логи.

Severny, у меня горе. вчера после сбора логов выключил комп.
сегодня включаю, ось мне говорит:"не удалось выполнить запуск операционной системы и тд"
безопасный режим не работает
да и все остальные тоже

могу только загрузиться с LiveCD miniSV

otvertka, Расскажи подробнее, на каком этапе и во время исполнения чего?

Severny, сделал все по правилам, скинул папку с логами на рабочий комп и выключил больной, отправил логи на форум

сейчас в нормальной загрузке синий бегунок зависает
в безоп. режиме черный экран и символ начала строки или как его звать _

otvertka, То есть до скриптов ты не дошел?
Залезь из под LiveCD в папку Карантин в AVZ, посмотри, что там лежит.

в безоп. режиме черный экран и символ начала строки или как его звать _ »
бывает нужно подождать и он загружается. Но этот вирус скорее всего еще до этого испортил Safe Mode.

"Загрузка последней удачной конфигурации" не пробовал?

Severny, бывает нужно подождать и он загружается. »
ждал - не помогает
Залезь из под LiveCD в папку Карантин в AVZ, посмотри, что там лежит. »
чет я не нашел папку карантин в *\antivir\avz4\avz4\ есть только папки base и log

ждал - не помогает »
А последняя удачная конфигурация?
Навеное AVPTools подчистил лишка.

А последняя удачная конфигурация? »
бегунок умерает

Severny, каким-то чудом загрузился в нормальном режиме!
теперь могу действовать в соответствии сообщению #10?

otvertka, здравствуйте. Сохрание пожалуйста реестр компьютера (на всякий случай) и сделайте новые логи, не забудьте сделать лог virusinfo_syscure.zip

Pili, здравствуйте, забыл включить IE во время сбора логов - это плохо?