[Iska]

Цитата Jarod:

ссылки на файл itnqimw.exe о котором не знает ни всезнающий Гугл ни Яндекс. »

Имена могут генерироваться совершенно произвольно. Смотреть надо было на online-службах проверки, начиная с VirusTotal и т.д.

Цитата Jarod:

1) Как вирусу удалось заставить Winlogon что-то загружать? »

Прописав сие в реестр, как Вы и указали.

Цитата Jarod:

И как этого не допустить в дальнейшем. »

Не ходить по «безобидным торрент-трекерам» и прочей порнографии, а если ходить — то представлять себе возможные последствия.

Цитата Jarod:

Неизвестно, какой процесс восстанавливает файл itnqimw.exe, система или вирус в памяти. »

Служба или библиотека в памяти какого-либо процесса.

Цитата Jarod:

Знаю только, что процессы можно скрыть программным способом от стандартного диспетчера задач. »

Не видел такого ни разу.

Цитата Jarod:

Почему нельзя запретить изменение этой ветки или хотя-бы ключа UserInit для всех. »

Можно. Но толку не будет. Что можно запретить — можно и снять. Используйте UAC или хотя бы файерволл/антивирус, контролирующий доступ в критичные разделы реестра, запуск процессов и внедрение библиотек в исполняемый код.

Цитата Jarod:

Но может кто-то подскажет интересную идею или даже все вместе придумаем, как с этой заразой эффективно бороться. Тем более, что такую защита очень нужна обычным людям. »

Идея простая: если не лазить по разным свинарникам и соблюдать известные и многократно описанные простейшие меры предосторожности — не потребуется менять грязное бельё.

[thyrex]

Файлы, которые прописываются в параметр userinit и располагаются в папке c:\WINDOWS\AppPatch\, никогда не были замечены в качестве блокировщиков системы. Большинство из них просто блокирует доступ к сайтам антивирусных компаний, а также блокирует работу антивирусных утилит

[Jarod]

thyrex, то Вам сопутствовало везение )) http://virus-free.ru/virus-prosit-po...n-89091614662/ - классический пример

Цитата Iska:

Смотреть надо было на online-службах проверки, начиная с VirusTotal »

А вот кстати, Вирус тотал и доктор веб онлайн ничего и не нашли. Файл упорно создавался, пока я не выкорчевал его, winlogon, userinit и запись в реестре с помощью live-cd.

Цитата Iska:

Как вирусу удалось заставить Winlogon что-то загружать? » Прописав сие в реестр, как Вы и указали. »

Да, быть может я его на второй стадии обнаружил... Загадка, короче.

Цитата Iska:

процессы можно скрыть программным способом от стандартного диспетчера задач. » Не видел такого ни разу. »

Бывает. Там какая-то бага есть в диспетчере задач, что позволяет этот процесс не отображать.

Цитата Iska:

простейшие меры предосторожности »

А никакого толку от этих мер. Вирусы просачиваются через разные дыры в системе, браузерах. Антивирусники тоже пропускают.
Отказаться от интернета тоже не выход.)
Например, я отправил на сайт Касперского вирус порно-баннер, который он пропустил. И после очередного обновления баз он таки его научился распознавать.

Суть в том, чтобы сделать систему менее уязвимой. По принципу анти-AutoRun'в (когда на дисках создается специальная папка Autorun.inf)
Хорошая программа Anvir Task Manager, отслеживает автозагрузку. Но, кажется, ветку реестра с UserInit она не отслеживает...

[Jarod]

Хорошие новости!
Автор программы Anvir обещал добавить контроль данной ветки реестра. http://www.anvir.net/forum/viewtopic.php?f=4&t=777