Мол. чел. при просмотре футбола по инету подхватил какого-то вымогателя. Только табличка-вымогатель торчит а остальное (рабочий стол, меню пуск, меню правой кнопки мыши) отсутствует. Даже невозможно войти в безопасный режим. Установленный NOD32 3.0.650 с паттерновыми обновлениями раз в мес. даже не отреагировал.
1. Как войти в безопасный режим и запустить находящийся на диске Dr Web CureIt?
2. По какой причине произошла такое заражение?

З.Ы. Intel P-IV, Win XP SP3, IE 8

1. Попробуйте инфо из темы
http://forum.oszone.net/thread-148188.html
http://virusnet.info/forum/showthread.php?t=3019 и внимательно
Разблокирование компьютера при помощи LiveCD

Вам нужен любой LiveCD с возможностью правки реестра
1. Скачайте образ, например: ERD Commander, запишите образ на болванку и загрузитесь с созданного диска
2. Пуск => Выполнить => erdregedit
3. Найдите в реестре и проверьте:

Ветка:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Параметр:

AppInit_DLLs

Содержимое параметра необходимо опубликовать в теме где вам оказывают помощь

Ветка:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.

http://s40.radikal.ru/i089/1009/2f/e0707d16ff40t.jpg (http://radikal.ru/F/s40.radikal.ru/i089/1009/2f/e0707d16ff40.jpg.html)

Правильное значения для Userinit это:

C:\WINDOWS\system32\userinit.exe,
запятая после userinit.exe, - обязательна !

http://s55.radikal.ru/i149/1009/f5/d0af771290fdt.jpg (http://radikal.ru/F/s55.radikal.ru/i149/1009/f5/d0af771290fd.jpg.html)

!!! Внесение неверных данных в реестр не дадут нужно результата, а только навредят. Если не уверены в своих действиях, то лучше проконсультироваться с специалистом.

iskander-k,
Глубокое Мэрси уважаемый доктор!
Спасибо за оперативность, за лаконичный и содержаиельный ответ!

Скоро уезжаю к мол. чел. с перечисленным джентльменским набором, по приезду отчитаюсь:)

iskander-k,
Уважаемый доктор!
Докладываю:
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Параметр AppInit_DLLs, содержимое – НИЧЕГО.

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell было C:\Documents & Settings\ User\ Local Serv\Temp\ (серия цифр).exe, сменил на Explorer.exe

Действующее значение для Userinit было как и в штатном режиме - C:\WINDOWS\system32\userinit.exe,

Короткий вывод: изменилось значение ключа Shell и правильное значение было восстановлено. Файл, влезший в значение ключа по времени появления полностью совпал с моментом появления вымогательной таблички. Этот файл проверял Курелтом от Dr.Web и обновленным антивирусом, Троянов и Вирусов в этом файле нет?! Во как!

Еще раз большое спасибо, особенно от мол. чел.

ab Выполните рекомендации (http://www.cyberforum.ru/viruses/thread49792.html) полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме, нужно проверить чистоту системы