Словила Winlock, AVZ открыть невозможно - что делать???

[Silenza]

"Безопасный режим" блокирован, запустить комп возможно только с LiveCD (Dr.Web). Но в нём не удается распаковать архив AVZ (скачанный на зараженный комп) и не удается запустить AVZ с флешки (скачано и распаковано на другом компе), поскольку входящий в комплект Midnight Commander не видит содержимого флешек (а как открыть иначе - не знаю... не понимаю я этого Линукса)
Пжл, посоветуйте - что делать-то???

[Info_bot]

Уважаемый(ая) Silenza, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Шапельский Александр]

Попробуйте этот вариант--http://support.kaspersky.ru/viruses/...?qid=208641245

[Silenza]

Спасибо, сейчас попробую Касперским

Добавлено через 25 минут

Не помогло. Kaspersky WindowsUnlocker сообщает, что всё ОК, но после перезагрузки система остается блокированной и баннер никуда не делся.
Уточнение: Не срабатывает Unlocker до конца, зависает на слове cavresque... на форуме Касперского (как на сркиншоте http://forum.kaspersky.com/index.php...c=211505&st=20 - у многих та же картина, но решения нет)

[thyrex]

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Registry Editor (около 120 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения
– установите текстовый курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск
– выберите Kaspersky Registry Editor
3. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении

[Silenza]

Видимо, я Вас не поняла... зашла по вашей ссылке, попала в некий каталог, скачала оттуда образ диска KRE_1.0.4.beta и (поскольку с дисковода зараженного компа никакие liveCD не грузились) скинула образ диска на флешку при помощи той же утилиты, что и предыдущий диск KWU (т.к. никаких других утилит на сайте не предлагалось, и через поиск на сайте Касперского никакой Editor не обнаружился...
Выбрала эту флешку как boot device, но система загрузилась с жесткого диска (с баннером )
Что не так?
Образ диска надо как-то иначе на флешку скидывать? Или надо загрузиться с флешки, на которой KWU?

[thyrex]

Значит неправильно записали и флешка не получилась загрузочной

[Silenza]

Как там можно неправильно записать??? Впрочем, ладно... откопала съемный привод от ноута, скачала триал-версию Nero, попробую сделать диск и действовать по инструкции

Добавлено через 26 минут

Посмотрела
userinit - C\Windows\System32\drivers\System32.exe
shell - Explorer.exe

Добавлено через 37 минут

Нашла инструкцию с аналогичным случаем: http://virusinfo.info/showthread.php?t=108807
Она подходит? Указанный файл надо отовсюду поудалять?

[thyrex]

1. Исправьте параметр userinit на C:\Windows\System32\userinit.exe, (запятая обязательна)
2. Поищите все упоминания в реестре C:\Windows\System32\drivers\System32.exe и удалите их
3. Переименуйте файл C:\Windows\System32\drivers\System32.exe в C:\Windows\System32\drivers\System32.exe.vir с помощью менеджера файлов, который есть в образе Kaspersky Registry Editor
4. Пробуйте загружаться. Если все пройдет успешно, не торопитесь уходить. Будем искать другие хвосты от вируса

[Silenza]

Ой!!! В ожидании ответа я этотфайл удалила в корзину (((
Фатально?

Ура! Баннер исчез, система разблокировалась!
Где хвосты искать?

[thyrex]

Сделайте лог полного сканирования МВАМ

[Silenza]

Лог готов. (в аттаче)

[thyrex]

Двух зверьков еще убили в МВАМ

В остальном порядок

[Silenza]

Наконец-то Огромное спасибо вашему проекту и лично Вам!