Эксплорер не запускается после того как вылечил вирусы сначало CureIt'ом затем Нодом. Однако его можно вызвать Диспетчером задач. Записи в реестре проверил.

Ключ \"shell\"=\"explorer.exe\" в ветке реестра [HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] присутствует

Этого в реестре нету:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Также сделал как говорил (http://forum.oszone.net/post-648781-69.html) Petya V4sechkin. Не помогло.

Вот мои логи сделанные AVZ и HiJack'ом:

Пофиски в HijackThis следующие значения
F2 - REG:system.ini: Shell=C:\WINDOWS\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\oembios.exe,
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe

В AVZ меню Файл-Выполнить скрипт. Скопируй код и нажми "Запустить".
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\valeria1.exe','');
QuarantineFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys','');
QuarantineFile('C:\WINDOWS\system32\valeriaplay.exe','');
QuarantineFile('c:\windows\system32\oembios.exe','');
QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\oembios.exe');
DeleteFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys');
DeleteFile('c:\windows\system32\oembios.exe');
DeleteFile('C:\WINDOWS\system32\valeriaplay.exe');
DeleteFile('C:\WINDOWS\system32\valeria1.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполни еще скрипт и получившийся карантин вышли в PM.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Это твой файл?
Finupr\NETLOGON\Logon_all.vbs

Повтори все логи.

Это твой файл?
Код:
Finupr\NETLOGON\Logon_all.vbs »

Ага, мой. Сетевые диски подключает. Сделаю, отпишу.

Вааще плохо стало. Теперь как только пользователь входит в систему, сразу же он из нее выходит. Нет возможности воздействовать на процесс.
Зря снесли

F2 - REG:system.ini: Shell=C:\WINDOWS\explorer.exe

Это полный путь к Эксплореру. Как восстановить теперь?
В безопасном тоже самое.

Проверь наличие файла userinit.exe в папке c:\windows\system32. Видимо вирусы (или антивирусы) его удалили.
Если есть возможность (из другой ОС или LiveCD) проверить и восстановить запись в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
Это полный путь к Эксплореру. Как восстановить теперь? »
Explorer здесь не причем.

Как проверить?
Из лайф CD у меня только Ubuntu :biggrin: .

BartPE нашел. (ушел смотреть)
Как мне восстановит эту запись с BartPE?

Так, userinit.exe в Sustem32 нету, зато есть userini.exe и 11 штук valeria2.exe - valeria12.exe (первую мы снисли). userinit.exe можно взять с другого дистра?

Так, userinit.exe в Sustem32 нету »
Копируй со здоровой машины. Или я сейчас выложу.
Все valeria удали.

Скорее всего поможет переименование userini.exe в userinit.exe.

Severny, Большое спасибо. Все заработало. Куда там надо кликнуть, чтоб поблагодарить? (UPD, разобрался, уже.)

Arkey, Логи нужно повторить. Рад, что пашет.

У меня рабочий день закончился, до завтра.

Отправляю логи. Карантин выслал на PM.

Два раза пост запостил. Первый раз чет файлы не прикрепились, показалось.

Так вроде чисто, только в точках восстановления системы зараза найдена.
По правилам system restore нужно отключать, чтобы их удалить.

Хм. Значит точки восстановления все таки зло. Отключу
Ну, тогда все ОК.

Отключу »
Не, ну после удаления старых точек восстановления и после лечения от вирусов system restore можно обратно включить.