XP заблокирована вирусом, вход в систему через безопасный режим невозможен
 

Доброго времени! Помогите решением проблемы:
Не могу войти в систему, после окна приветствия (Добро пожаловать) выскакивает окно, в котором предлагается отправить смс-сообщения для вставки ответного в окошко (и мнимого решения якобы имеющихся вирусов).
Через восстановление последней удачной конфигурации, режим отладки, безопасный режим, безопасный режим с загрузкой сетевых драйверов войти не могу. Безопасный режим с поддержкой командой строки загружается.
Ноутбук: HP Pavilion dv7 2130 er. 1 ОС: Windows Vista SP2, 2 ОС: Windows XP SP3 (проблемная). С Висты проверил весь компьютер через KAV 2010 - чисто. Также было замечено, что на 4 разделах диска появились скрытые файлы: md.exe и при его запуске Касперский выдаёт сообщение про работу вируса, а отчётах читаю: "легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя PDM.Trojan.generic критичность высокая, на карантине"
Также были изменены значки на 3 из 4 разделов, на классические жёлтые.
Заражение произошло ровно во время посещения сайта с пиратским софтом.

kaban-keb, в папке windows\system32 (в разделе с XP) найдите скрытый системный файл user.exe (или user32.exe) и удалите. Файлы md.exe и autorun.ini (если есть в корнях разделов) удалите и ни в коем случае не запускайте.

okshef, спасибо за ответ. Перед выполнением операций хочу уточнить несколько моментов:
В проблемном разделе с XP/WINDOWS/system32 имеются несколько файлов: user.exe, user32.dll и user32.exe. Файлы user.exe, user32.dll были созданы в апреле и сентябре прошлого года (соответственно), и лишь файл user32.exe имеет дату создания на день заражения (т.е. сегодня), причём все 3 - нескрытые. Удалять все?
Также хочу уточнить: файлы, необходимые к удалению, точно с названием autorun.ini? (в некоторых разделах имеются файлы: autorun.inf (скрытый)(в 3 из 4 разделах, включая проблемный), boot.ini (на непроблемной Висте, скрытый) и Desktop.ini (на разделе для восстановления, скрытый); что делать с ними?
Также прошу помощи в замене значков разделов (или всё поменяется после удаления?)
Ну и разъясни мне, незнающему, что значит "корнях разделов".
Спасибо.

это
(а не в их каталогах, т.е. непосредственно на "диске")только этот!!!

Цитата:

Цитата kaban-keb autorun.inf (скрытый)(в 3 из 4 разделах, включая проблемный) »

ошибся с расширением - его. boot.ini - файл, необходимый для загрузки XP - не удаляйте!!!
Если будете удалять через корзину - корзину очистите.
После удаления - перезагрузка и логи по правилам.

okshef, продолжаю благодарить за помощь.
С userами понял: на проблемной ХР удаляем файл user32.exe (созданный сегодня, на момент заражения), файлы user.exe, user32.dll не трогаем.
Но уточни, пожалуйста, кто ошибся с расширением я или ты. Предполагаю, что ты. Значит нужно удалить все файлы autorun.inf (в корнях всех разделов), а файлы boot.ini (на непроблемной Висте, скрытый) и Desktop.ini (на разделе для восстановления Висты, скрытый) не трогаем.
Так?

Все правильно!

okshef, после выполнения удаления файлов и очистки корзины, ХР запустился, но кроме фона на рабочем столе ничего нет. Запуск диспетчера задач ничего не дал - выдаётся сообщение "диспетчер задач отключен администратором".
Загрузившись с Висты в компьютере вижу появление подлинных значков разделов - гуд :).
Прошу помощи восстановления значков рабочего стола, панели и проводника.
Также поясни, что значит "перезагрузка и логи по правилам", может я что не так сделал.
И, раз это раздел по обсуждению вирусов/антивирусов, подскажи, что будет с файлом PDM.Trojan.generic, который находится на карантине в случае сноса Касперского?

Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

Подскажите, как запустить утилиты. В безопасном режиме, как и в обычном, отсутствует что-либо на экране. Или можно проверить на второй непроблемной ОС?

Проблемные файлы на которые указывает каспер возьмите в карантин И проверьте на http://www.virustotal.com/ru/ (при удалении каспер его сам занесёт в карантин.) Попробуйте скачать http://www.freedrweb.com/livecd/ записать на диск и запустить с него комп. И просканировать.

Или нажать на кнопку winwows кнопка с флажком и в поиск ввести имя программы ( AVZ ) если программа на диске CD вставить диск в привод и тоже самое с куреитом . Когда прога найдётся запустить.

А можно с утилитами CureIt, AVZ и HijackThis поработать на второй, непроблемной ОС?

С HJT для воздействия на проблемную ОС - нельзя, эта утилита работает с реестром активной системы, c CureIt и AVZ - можно в режиме выборочного сканирования. Естественно, применить их на непроблемной ОС можно, только зачем?

okshef, но ведь без HijackThis не получится сделать логи :(. Как быть? Может как нибудь через безопасный режим с поддержкой командой строки? (он на проблемной ОС вроде как загружается). Внимательно выслушаю последовательность действий :type:

kaban-keb, если вы зловреда удалили, то проблем со входом быть не должно. Или проблемы есть? Вы можете с помощью CureIt сделать проверку раздела с проблемной системой, а потом в нее загрузиться и там уже сделать логи.

okshef, после выполнения удаления файлов и очистки корзины, ХР запустился, но кроме фона на рабочем столе ничего нет. Запуск диспетчера задач ничего не дал - выдаётся сообщение "диспетчер задач отключен администратором".
Загрузившись с Висты в компьютере вижу появление подлинных значков разделов - гуд :).
Прошу помощи восстановления значков рабочего стола, панели и проводника.

kaban-keb, делайте логи по правилам, лечение - по логам

Проверку раздела с проблемной системой провёл утилитой CureIt, были найдены 6 Trojan (Oficla и Winlock). Однако система по-прежнему грузится без меню. Я бы и рад сделать логи, но как?

Пуск - выполнить (Win + R) не работает? Пуск - мой компьютер - папки с HJT и AVZ - программы.

На запрос диспетчера задач "Ctrl+Alt+Del" отвечает "Диспетчер задач отключён администратором ", На запросы "Win+R" и "Win+E" система не отвечает!

Вы пробовали нажимать только на одну эту кнопку ? Должно появится меню Пуск - все программы далее передвигаться кнопками - Стрелки - применить \открыть - кнопка Enter

При нажатии на одну только эту кнопку, также ничего не происходит.

kaban-keb, какие сочетания приводят к положительному результату (появлению какого-нибудь окна)? Что в безопасном режиме?

okshef, к положительному результату не приводят точно следующие комбинации: "Ctrl+Alt+Del", "Win+R", "Win+E" (и в обычном, и в безопасном режимах), только выдаётся сообщение "диспетчер задач отключён администратором" при команде "Ctrl+Alt+Del". Окна рабочего стола в обоих режимах пустые, на запросы мыши не реагирует.

На Vista скачайте Regedit PE 1.1.0.0, запустите с правами администратора. Запустите поиск по "Run" (по имени раздела, имя - целиком) в реестре и экспортируйте разделы реестра RUN проблемной системы. Также произведите поиск по "userinit.exe" и так же экспортируйте файлы реестра. Экспортированные файлы прикрепите к сообщению

okshef, тут всё в куче.

kaban-keb, неплохо, найдите таким же способом все упоминания user32.exe (так же: поиск, значения параметров, имя целиком) и удалите значения параметров с участием этой программы.
в цитате подчеркнутое - удалите.

Но если будет упоминание user32.exe в нижней строчке: "Userinit"="D:\\WINDOWS\\system32\\userinit.exe," - то ее нужно не удалять, а править (двойным щелчком по значению) - и приводить к такому виду - с запятой в конце.

Лучше заменить на Explorer.exe, а то после перезагрузки не будет проводника...
"Shell"="Explorer.exe"

Потом можно снять все ограничения с помощю АВЗ или утилитой Dial-a-fix , при запуске утилиты, если есть ограничения, выскочит окно : нужно нажать Remove, после этого сделать логи по правилам.

потом нужно проверить систему, а затем снимать ограничения.

Господа модераторы, действия выполнил; после "Shell" стоит "Explorer.exe"; пишу с проблемной ХР :). Мои действия? Выполнить рекомендации и прикрепить к следующему сообщению полученные логи?

kaban-keb, да, все по правилам

Прикрепил

Выполните скрипт:

После перезагрузки выполните следующий скрипт:
После вполнения срипта, в папке с программой АВЗ, сформируется архив quarantine.zip. Отправте карантин, на newvirus@kaspersky.com

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

После незапланированой командировки хотелось бы продолжить лечение. Выкладываю заново логи, т.к. в моё отсутствие на машине работали, и к тому же утилита CureIt нашла зловреда. Спасибо.

По логам заражения не вижу, может кто что скажет дополнительно
выполните скрипт AVZ
Компьютер перезагрузится. Попробуйте войти в безопасный режим.
Скачайте MBAM, перейдите на вкладку Обновление, выполните обновление, выполните полное сканирование, лог сканирования сохраните и прикрепите к сообщению.
По проблемам:
Запустите AVZ, нажмите файл - Мастер поиска и устранения проблем выполните проверку, выделите найденные, нажмите "Устранить"

Скрипт выполнил, через AVZ устранил проблемы. Прикрепляю отчёт работы MBAM.

В МБАм можете удалить всё кроме этих значений
И будьте внимательны МБАМ не любит креки.
Всё что удаляете в МБАМ можно восстановить.

для удаления нужно повторить проверку и отметить нужное или наоборот снять галки.

Всё , кроме указанных веток реестра удалено. Предполагаю, что лечение завершено, если так, ещё несколько вопросов:
- Будет ли утилита Malwarebytes Anti-Malware 1.44 работать на Висте и 7?
- Как удалить драйвер (с помощью меню AVZ)?

- На второй, непроблемной Висте появились следующие папки: "$WINDOWS.~BT", "PerfLogs", "SWSetup", а также 2 файла: "msdia80.dll", и "PDOXUSRS.NET".
Кажется их не было, что делать с ними?

Судя по вашему сообщению, проблем больше нет? Ответы на ваши вопросы

• MBAM работает на Vista и 7 после установки.
• запустите AVZ - AVZPM - "Удалить и выгрузить драйвер расширенного мониторинга"
• папка "$WINDOWS.~BT" - остаток от начала установки Windows, насчет файлов - не знаю

Могу удалить "$WINDOWS.~BT" "SWSetup"?

Насчет второй - не уверен, первую - можете.

Считаю тему завершённой, огромное спасибо автору и модераторам: Drongo, iskander-k, E-mpty. Отдельное спасибо okshef.