[iskander-k]

Выложите логи в соответствии с этими инструкциями.

[tarakan1983]

И как я по вашему должен сдеть логи, если я не вижу рабочего стола, даже и маленького кусочка рабочего стола?

[iskander-k]

Цитата tarakan1983:

с windows PE запусти утилиту AVZ и просканировал диск С, »

эти логи давайте
Или попробуйте в безопасном режиме зайти. Или же просканируйте АВЗ вашу флэшку с файлами с компа. Может тогда получится сказать вам что удалить.

[tarakan1983]

В безопасном режиме окно не убирается, т.е. безопасный режим ничем не отличается от обычного, на windowsPE удалось сделать логи только AVZ, HijackThis почемуто не запускается.

[iskander-k]

По моему вы просканировали сам диск windowsPE .

[thyrex]

Цитата iskander-k:

По моему вы просканировали сам диск windowsPE . »

По другому и быть не могло

Попробуйте это сделать http://virusinfo.info/showthread.php?t=51777

[tarakan1983]

Прошу прощенье за долгое молчание.

Цитата thyrex:

Попробуйте это сделать http://virusinfo.info/showthread.php?t=51777 »

Проверил реестр, все соответствует т.е. по указанному пути параметр winlogon - C:\WINDOWS\system32\userinit.exe, (с запятой). Дело в то что система стартует и в обычном режиме и в безопасном, но сразу появляется порноинформер. Маленькая поправочка в системе только один пользователь встроенный Администратор.

Цитата iskander-k:

По моему вы просканировали сам диск windowsPE . »

При сканировании я отметил диск С, но насколько я знаю AVZ сканирует системные процессы, поэтому он и выдал лог с системными процессами WindowsPE, могу и ошибаться.

[tarakan1983]

Ура товарищи!
Значит решение такое.
1.Загружаемся с любого Live CD, где есть возможность редактирования реестра.
2.Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
5. Посмотрите Microsoft\Windows NT\Winlogon (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Shell должен быть такой explorer.exe, вмсесто него вы надете путь и файл который надо удалить.
6. Не забудьте выгрузить куст
7. Разблокируйте диспетчер задач. В Реестре Windows в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] удалите параметр DisableTaskMgr.
Примечание. Поставил касперского 2010 с базами на 18.11.2009 просканировал всю систему - он ничего не нашел. Попробовал этот файлик запустить при включенном касперском и как и ожидалось касперу по барабану, порноинформер вылез по новой.
P.S. Спасибо thyrex, если бы он не заставил полезть в раздел реестра winlogon я бы ничего не увидел.
PP.SS. Кому интересно могу прислать этот порноинформер.

[tarakan1983]

Для совсем ленивых!
Можно загрузиться в "безопасном режиме с поддержкой командной строки" и запустить мою программку.


Вирусы запрещено присоединять к сообщению.