не выполняется вход систему, не вызывается диспетчер задач
 

приветствую!
Ось: win xp pro sp2

начало истории:

в систему (dr.web был установлен) ворвались зловреды и повлекли за собой:
"Изменение обоев рабочего стола
Изменение настроек рабочего стола
Блокировка меню настроек рабочего стола" (С) Зайцев О.В.
screensaver эмулировал перезагрузку компа с показом синего экрана смерти и так по кругу

попытки борьбы со злом:
Cureit лечил и убивал, после перезагрузки они снова появлялись
снял винт перекинул с больного компа на здоровый,
лечил и убивал Kasper7(логи в приложении), дополнительно проверил Cureit

далее поставил винт на место
снес dr.web поставил Kasper7(установился криво, т.е. некоторые службы не работали) обновился через кумулятивную базу
начал сканирование и не помню почему, но Kasper7 попросил перезагрузку(роковую как оказалось в последствии)

на данный момент:
комп загружается, 1 сек. вдно обои, потом появляется окно входа в систему "приветствие" с единственной учетной записью,
при нажатии на иконку учетной записи пишет: загрузка личных параметров.. завершение сеанса..сохранение параметров..
вход в систему не выполняется
и так по кругу, правда если надоест можно выключит, перезагрузить или уйти в ждущий режим:)
или можно посмореть screensaver эмулирующий перезагрузку компа с показом синего экрана смерти:)
не вызывается диспетчер задач
F8 не помогает
спасибо за внимание, сразу извеняюсь если оформил запрос не по правилам.

(в прикрепленном файле логи kasp7 время начала сканирования больного винта 28.08.2008 13:06:22)

otvertka,а потом Выложите логи по правилам

загрузился с LiveCD MiniSV
запустил редактор реестра
хочу загрузить куст, а немогу кнопка неактивна
как отредактировать реестр?

Нужно установить указатель на HKEY_LOCAL_MACHINE или HKEY_USERS, тогда станет доступна (кнопка или пункт меню).

Petya V4sechkin,
последовал совету Pili: Можете попробовать заменить файл userinit.exe на такой же. взяты с чистой системы.
оказалось что у меня его вообще небыло
система загрузилась
теперь могу собрать логи по правилам и отправить вам на рассмотрение?
ибо боюсь опять что либо накосорезить:)

otvertka, да, теперь логи по правилам.

Petya V4sechkin, логи по правилам;)

1. Скачай IceSword
Слева внизу найди меню File, в нем найди следующие файлы и удали по правой кнопке Force Delete.
В AVZ меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить". (или в AVPtools)

Компьютер перезагрузится.
3. После выполни еще скрипт.
Архив с карантином пришли мне в PM.
Пофикси в HijackThis. fix checked
Вышли повторные логи.

Severny, у меня горе. вчера после сбора логов выключил комп.
сегодня включаю, ось мне говорит:"не удалось выполнить запуск операционной системы и тд"
безопасный режим не работает
да и все остальные тоже

могу только загрузиться с LiveCD miniSV

otvertka, Расскажи подробнее, на каком этапе и во время исполнения чего?

Severny, сделал все по правилам, скинул папку с логами на рабочий комп и выключил больной, отправил логи на форум

сейчас в нормальной загрузке синий бегунок зависает
в безоп. режиме черный экран и символ начала строки или как его звать _

otvertka, То есть до скриптов ты не дошел?
Залезь из под LiveCD в папку Карантин в AVZ, посмотри, что там лежит.

бывает нужно подождать и он загружается. Но этот вирус скорее всего еще до этого испортил Safe Mode.

"Загрузка последней удачной конфигурации" не пробовал?

Severny, ждал - не помогает
чет я не нашел папку карантин в *\antivir\avz4\avz4\ есть только папки base и log

А последняя удачная конфигурация?
Навеное AVPTools подчистил лишка.

бегунок умерает

Severny, каким-то чудом загрузился в нормальном режиме!
теперь могу действовать в соответствии сообщению #10?

otvertka, здравствуйте. Сохрание пожалуйста реестр компьютера (на всякий случай) и сделайте новые логи, не забудьте сделать лог virusinfo_syscure.zip

Pili, здравствуйте, забыл включить IE во время сбора логов - это плохо?

otvertka, просто логи будет чуть меннее информативными.

Pili, заново собрать логи или такие сойдут?

otvertka, сойдут, но лучше сформировать новые логи

Pili, сформировал логи строго по правилам

otvertka, Запустите IceSword, выберите в меню File, появится аналог проводника, найдите в нем указанные файлы
нажмите по файлам правой кнопкой мыши и скопируйте их в какую-нибудь папку (создайте напр. папку virus) при помощи Copy to..., потом удалите файлы с помощью force delete (прав. кн. мыши, на запрос подтверждения ответьте "да"), не перегружая компьютер выполните в AVZ скрипт
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Файл quarantine.zip и архив с файлами, сформированными с помощью IceSword, отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
AVPTool можете деинсталлировать. Повторите логи

Pili, не нашел ни одного из этих файлов IceSword'ом и обычным проводником тоже:

otvertka, ок, выполните скрипт, пришлите карантин и сформируйте новые логи.

Pili, выполнил скрипты, устранил проблемы, все нормально, спасибо большое!
отправил quarantine.zip на почту

повторно собираю логи
я могу уже ставить антивирус и отдавать комп?

логи:

otvertka, выполните ещё скрипт
после перезагрузки запустите файл hijackthis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Остался ещё мусор от AVPTool, но это не страшно.
В карантине кроме 2 файлов lsass.exe и spoolsv.exe ничего не было (не считая ini), но эти 2 файла вызвали подозрение, файлы ушли на анализ, подождем ответа вирлаба.

Pili, Приветствую, у меня опять проблема:
включил автоматическое обновление, обновления скачались, винда попросила выключить комп для установки обновлений
выполнила 15 обновлений. после включения система виснет - синий бегунок зависает.
загрузка последней удачной конфигурации не помогает.
безопасный режим не работает показывает черный экран
могу загрузиться только с LiveCD MiniSV

проблема решилась сама собой, после загрузки с LiveCD
система заработала в обычном режиме
это нормально?:)

otvertka, т.к. было подозрение на заражение файлов lsass.exe и spoolsv.exe, если система загрузится и есть установочный диск, попробуйте выполнить sfc /scannow или установите систему в режиме восстановления -
Как выполнить обновление (переустановку) Microsoft Windows XP
Способы восстановления системы
Ответа с вирлаба пока нет, попробуйте сами отправить карантин на newvirus[at]kaspersky.com, когда придет ответ, сообщите пожалуйста результаты.

Pili, пришел ответ newvirus[at]kaspersky.com:
что он имел в виду под словом переписка?

otvertka, можете применить рекомендации поста 32 - sfc /scannow, обновить базы AVP или скачать новую версию AVPTool и проверить компьютер.
Если вы захотите что-либо уточнить, включайте предыдущую переписку целиком.

Pili, я поставил KIS7, обновился из кумулятивной базы
а вот через интернет не обновляется
в чем причина? или этот вопрос уже не для этой темы?

otvertka, причин может быть множество, начиная от лиц. ключа до проблем с настройками сети (прокси, файервол и т.д.)
Посмотрите тему Защита для корпоративных пользователей, Ошибка обновления антивирусных баз

Pili, вот что мне ответили в Kaspersky Lab Support

otvertka, правильно пишут :)
Trojan.Win32.Patched.cx уже внесен в антивирусную базу KAV, файлы успешно лечатся (проверено), обновите антивирусную базу (или скачайте свежую версию AVPTool) и проверьте компьютер. После чего, для контроля чистоты, можете сформировать новые логи.

А где можно скачать KAV