подскажите: при запуске компа проблемы:
Выбираю пользователя(он один), ввожу пароль и комп подвисает гдето секунд на 20 с картиной ввода пароля на экране, а потом это резко меняется на рабочий стол со всеми програмами,которые в автозапуске(типа квип и пр.) и 2мя окнами об ошибках:

С:\WINDOWS\Mrshield.exe
Отказано в доступе к указаному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому обьекту.

и

Редактор реестра
Редактирование реестра защищено администратором системы.

Что это вообще такое?

Что это вообще такое? »
последствия вирусов очевидно, когда проверялсь последний раз?

Сначала восстановите (http://forum.oszone.net/thread-72767.html) возможность открытия редактора реестра.
Затем в нем проверьте наличие параметров, в значениях которых присутствует это имя файла, например в этих разделах:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Ну и излюбленный прием вирусописателей: в разделе реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell должно быть только explorer.exe и ничего более

Сет, в дополнение к вышесказанному загрузитесь в безопасном режиме и выполните полную проверку с помощью Dr.Web CureIT! (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) (бесплатный сканер, не требует установки).

После перезагрузки запустите HijackThis (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip), нажмите Do a system scan and save a logfile и выложите hijackthis.log.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run »
В ветке \Policies такого \Explorer\Run и быть не должно, если я не ошибаюсь...
последствия вирусов очевидно, когда проверялсь последний раз? »
Да,как раз после проверки появилось.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run »
Проверил сразу - ничего подозрительного
Ну и излюбленный прием вирусописателей: в разделе реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell должно быть только explorer.exe и ничего более »
За это спасибо,я совсем забыл :)
после этого комп грузится нормально,вот только ошибка с реестром выпадает всеравно.
Сначала восстановите возможность открытия редактора реестра. »
Побаиваюсь, если чесно :dont-know
Сет, в дополнение к вышесказанному загрузитесь в безопасном режиме и выполните полную проверку с помощью Dr.Web CureIT! (бесплатный сканер, не требует установки). »
им и пользуюсь уже месяца 3, обновляю перед каждой проверкой :)

В ветке \Policies такого \Explorer\Run и быть не должно, если я не ошибаюсь... »
по умолчанию - нет, после некоторых вирусов - вполне
Побаиваюсь, если чесно »
чего? там ничего страшного нет :)

не хотите твикеров так в политиках поправьте, в той же теме путь я указывал

А еще можно взять альтернативный редактор реестра, например RegWorks (http://soft.oszone.net/program/2736/) - если с реестром приходится часто работать, то очень рекомендую, лишнего ничего практически, но по сравнению со стандартным редактором реестра дает несколько преимуществ, таких как удобный поиск, адресную строку, отмену последних изменений и т.д.

так, это что -то новенькое..
Сделал я только это:
в разделе реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Shell должно быть только explorer.exe и ничего более »
после перезагрузки перестала функционировать сеть. Тоест подключение есть, но сеть не видет. Не пингуется.
После перезагрузки запустите HijackThis, нажмите Do a system scan and save a logfile и выложите hijackthis.log. »
Просканировал.Прикрепил.Во время сканирования HijackThis Нод обнаружил и удалил файл С:\WINDOWS\Mrshield.exe, хотя до этого его вообще не мог найти в системе...Что с сетью-то делать..?

Забыл :)

после перезагрузки перестала функционировать сеть »
это совсем не связанные вещи... серьезно, параметр Shell только лишь определяет запуск оболочки, то есть explorer...

это совсем не связанные вещи... серьезно, параметр Shell только лишь определяет запуск оболочки, то есть explorer... »
Да я как человек немного разбирающийся понимаю, что это бред, но не могу понять,чего сеть перестала роботать...

Во время сканирования HijackThis Нод обнаружил и удалил файл С:\WINDOWS\Mrshield.exe »
может из-за этого? мало ли что там еще зверь наделал..
перестала работать локалка или интернет, или и то и другое?
а что у вас из файерволлов установлено?

а, вижу.. аутпост не пробовали выгрузить и потом проверить что с сетью?

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.comTrojan-Downloader.Win32.VB.agi (http://www.z-oleg.com/secur/virlist/vir1141.php)

MRSHIELD.EXE это Backdoor.SdBot.gen
Сет,
- Cкачайте CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.
- Скачайте AVZ (http://z-oleg.com/avz4.zip) и HijackThis (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.
- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.
- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.
- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

"Либо найдите какой-либо твикер поддерживающий такую опцию и через него снимите ограничение, например: fitW (fine tuning of Windows)
там есть группа параметров Безопасность, подгруппа Система и там опция запрета редактирования реестра."
Установил, там не стояла галочка "запретить" включил - выключил,перегрузил - ошибка не исчезла
Не работают только локальная сеть, с инетом все впорядке, проверил.
Выгрузить не могу,нет прав :biggrin:
Так, перегрузился,зашол в безопасном режиме с загрузкей сетевых драйверов под админом - тоже самое..."ни одна из служб доступа к сети не смогла обработать заданый сетевой путь"

"ни одна из служб доступа к сети не смогла обработать заданый сетевой путь" »
Файлы в общих сетевых папках открываются медленно или только для чтения, либо появляется сообщение об ошибке (http://support.microsoft.com/kb/814112/ru) - или недолечен или он успел настараться...

Установил, там не стояла галочка "запретить" включил - выключил,перегрузил - ошибка не исчезла »
попробуйте остальные способы плиз

sysfldr.dll Trojan/Backdoor
Пофиксите в HJT
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: SharedDLLs - C:\WINDOWS\system32\ewts.dll (file missing)
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\
И есть зловредный сервис
O23 - Service: Microsoft register shield - Unknown owner - C:\WINDOWS\Mrshield.exe
и это может оказаться только верхушкой айсберга

Блин,меня директор выгоняет - хочет домой, надо офис закрывать! :not-me:
До понедельника никак не получится добратся сюда...
Надеюсь послезавтра вы мне поможете добить эту тему.

Сет, самое главное "пофиксить", но это сразу после лечения вирусов
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
ставить все SP после SP1 и все обновления.

- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer. »
Так, я отключил востановление, попытался повыгружать программы - дофига процесов висит, попытался повыгружать - так мне отказано в доступе...Странно, я ведь зашол под админом :dont-know
Удалил фаервол - зароботала сеть.
- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.
- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.
- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip »
- выполнил. Прикрепил.sysfldr.dll Trojan/Backdoor
Пофиксите в HJT »
Раскажите,как,пожалуста...

Сет, Что значит "пофиксить с помощью HijackThis" (http://virusinfo.info/showthread.php?t=4491), логи сейчас посмотрю

Сет, вместо лога HiJackThis.log вы выложили саму программу HiJackThis.exe :)

А, как фиксить - нашол...Профиксил, перезагрузил - сообщение о реестре все равно выпадает. А, Нод сообшил при старте, что файл http://79.143.178.6/22222.exe - возможно модифицырованый Win32/Statik троян.
Я зделал поиск по имени файла и нашол его в C:\WINDOWS\Temp
Удалил его, темп очистил. При следующей загрузке снова тоже сообщение нода о том же файле. Походу,его что-то создает. Как узнать,что?