[RUVATA]

БРАВО!!!
уже кое что есть
в парметре shell все ОК.
значение: explorer.exe

а вот в userinit...
значение: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\3b1845bc.exe,C:\WINDOWS\system32\gesemd.exe,

Цитата RUVATA:

кстати уже налазил в system32 какую-то бяку 3bcfg4tm.exe // киллЁ »

замечу, что 3bcfg4tm.exe и 3b1845bc.exe это не одно и то-же, но вот это самое "3b"
заставляет задуматься...
ни того ни другого сейчас в system32 нет... по крайней мере ни проводник ни total, методом поиска там ничего не находят.
первый (3bcfg4tm.exe) я убил вчера, со вторым (3b1845bc.exe) вообще не знаком

gesemd.exe - пока вообще загадка надо почитать что это...
а как должен выглядеть userinit? должно ли там быть что-то кроме C:\WINDOWS\system32\userinit.exe?

и что нам в общем все это дает?

Re:

Цитата RUVATA:

gesemd.exe - пока вообще загадка надо почитать что это... »

почитал... короче в состав системы это точно не входит... т.к. инфы за такую вещь гугл вобще не нашел...
боюс только что это может быть что-то связанное с HASP для 1С или с Крипто-ПРО...
уж больно лаконичное название для вируса "gesemd.exe"
кстати проверил байты - в названиях кириллических символов нет!