Знакомый принес бук, с висящим баннером после входа в ОС. Проверила DR. Web Live CD, нашедся один вирус, после его удаления, при загрузке ОС, висит окно восстановления системы. Диска такого нет. Поставила на другой винт другую винду, проверила Malwarebytes' Anti-Malware, нашел еще 6 троянов, после их удаление тоже-самое.
user32.exe, autorun.inf-нет, userinit.exe,-с запятой на конце. AVZ-все чисто...
Как привести к работоспособности ОС?

winlogon.exe на месте?

AVZ-все чисто... »
может логи выложите все таки? а то будем как бабки гадать на кофейной гуще

Nasteenka, AVZ вам ничего и не покажет, так и должно быть.

проверила DR. Web Live CD, нашедся один вирус, после его удаления »
это вы зря, могли удалить зараженный системный файл.

Чтобы найти в чем причина, нужно сделать лог, только другой программой:

С другой установленной системы, имеющей доступ к заблокированной , livecd (годится любой виндовый, кроме специализированных, например alkid livecd, ) или подключите hdd к другому компьютеру - вариант на выбор.

1. сделайте лог Universal Virus Sniffer (uVS) инструкция (http://safezone.cc/forum/showpost.php?p=79351&postcount=1), Скачайте архив с программой, сохраните например на флешку, распакуйте в отдельный каталог на жестком диске запустите файл start.exe, только прежде чем нажать "запустить под local system", нажмите "выбрать каталог windows" - выберите заблокированный.
С пункта "Выберите меню "Файл" => ..." выполняйте всё как написано (пример как делать - во втором посте инструкции). Лог запакуйте и выложите сюда.

2. Откройте каталог
Буква_заблокированного_системного_раздела:\Windows\System32\Config
найдите файл SOFTWARE без расширения, копию запакуйте и так же выложите.

Вот что получилось. AVZ на пол-пути виснет...

avz не нужно, нужно это:
найдите файл SOFTWARE без расширения, копию запакуйте и так же выложите. »

2 лога uvs, в этом - GAA_2011-11-22_12-32-30.TXT вижу файлы баннера, второй откуда?

На машине, откуда снят лог GAA_2011-11-22_12-32-30.TXT , выполните скрипт в uvs (http://safezone.cc/forum/showthread.php?t=14509):

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
zoo %SystemRoot%\JODRIVE32.EXE
delall %SystemRoot%\JODRIVE32.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
czoo
regt 12
regt 14
deltmp
delnfr
rknown


Попробуйте загрузиться. Если получится - скачайте и установите все последние обновления для безопасности windows (http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5)
Скачайте и установите Internet Explorer 8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx)

После этого повторите лог uvs и сделайте лог rsit

Второй от ОС, поставленной на другой винт.
SOFTWARE не приклепляется, тк большой объем(даже в архиве)

SOFTWARE не приклепляется, тк большой объем(даже в архиве) »
на любой файлообменник, ссылку сюда

http://www.fayloobmennik.net/1202089
Скрипт сделать не удалось, нет достаточно прав или uVS команды нет.

Выбрала пораженную ОС и зашла под текущем пользователем.
Выполняется через буфер обмена)!

Скрипт сделать не удалось, нет достаточно прав или uVS команды нет. »
инструкция во втором посте. Вошли под администратором?

Да. Скрипт выполняется, но на 13% требуется указать каталог i386/AMD 64 или каталог с чистыми файлами.
Если отменяешь выбор, получается вот это. Бук не перегружается...
Указала папку Zoo, которая в папке с прогой, пявился архив _autorun.zip.
Кая я понимаю, теперь этот архив пишется на CD?

ок.

скачайте файл из архива - http://www.fayloobmennik.net/1202162 (ваш куст реестра - SOFTWARE с исправлениями)

переименуйте ваш старый файл software в software_old и распакуйте новый на его место. Попробуйте загрузиться.

Скрипт немного изменил, теперь должен выполниться - на загруженной системе.

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\22CC6C32.EXE
zoo %SystemRoot%\JODRIVE32.EXE
delall %SystemRoot%\JODRIVE32.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
czoo
regt 14
deltmp
delnfr
sfcall
restart

компьютер перезагрузится. будет проведена проверка системных файлов на целостность. Возможно, потребуется диск с дистрибутивом. Если такого диска нет, и по этой причине скрипт выполняться не будет - уберите из него команду
sfcall
и выполните снова.
дальше - инструкции из этого (http://forum.oszone.net/post-1800699-5.html) поста - установить обновления и сделать повторные логи.

При загрузке скрипта теперь надо диск с ОС, которая была установлена, а его нет...\
С нашим загрузочным диском приходиться кучу файлов пропускать, правильно ли это?

Возможно, потребуется диск с дистрибутивом. Если такого диска нет, и по этой причине скрипт выполняться не будет - уберите из него команду
sfcall
и выполните снова. »

Сорри, тороплюсь и читаю невнимательно...

Замена файла переименуйте ваш старый файл software в software_old и распакуйте новый на его место. » не помогло
После перегруза и входа в UVS, требуется ControlSet. Вот лог последнего скрипта без строчки sfcall

система загрузилась или нет? или вы software заменить не можете?

Система также упорно требует восстановсления!!! software заменила.

требует восстановсления!!! »
на мониторе что написано? или каким образом он выглядит?

на диске D - аналогичная система? Если да, скопируйте файлы userinit.exe и explorer.exe с системы на D_ и замените ими файлы на C:

C:\windows\system32\userinit.exe
C:\windows\explorer.exe

и их же в каталоге C:\windows\system32\dllcache

Sistem is begin restarted.......... Потом выползает окно, как при загрузке ОС(конфигурация оборудования, создание элементов меню пуск и тд)
Обе ОС зверята, только монтажа разного года.(наша более свежая)