Блокируется mail.ru - и сайт, и почта

[barvin]

Другие страницы тоже либо не открываются, либо после нескольких нажатий "обновить". С других ящиков, в т.ч. inbox, почта приходит, но отправить по протоколу pop3 невозможно ниоткуда. По imap все нормально.
ping mail.ru проходит, но, по сервису whois, вместо mail.ru на какую-то деревню из GB (ip 91.224.160.10 - bergdorf-group.com). Кстати, в ваших скриптах проверки на mail.ru не увидел.
Антивирус drWeb последней версии, обновленный по немогу. Прогонял и утилитами и CureIt и KVRT и в обычном и в безопасном режимах. KVRT в безопасном ругается, что не может поставить какие-то драйвера, но проходит. Улова, помимо AMMYY и VNC, нет. Очистка DNC-кэша, остановка DNS-службы результатов не дали. Таблица статических маршрутов чистая. И работаю-то под обычным пользователем, не под администратором. В каком месте стрелки на эту ср..ю деревню переводятся...

[Info_bot]

Уважаемый(ая) barvin, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Сделайте лог полного сканирования МВАМ

[barvin]

Сделайте лог полного сканирования МВАМ

1. Установил. При установке пробной версии не предлагалось. По смыслу - отключил "предоставить тестовый период"
2. При полной проверке всех дисков программа вылетает с ошибкой. Логи пустые. Только файлы dat имеют вес. Оставил диск C:. Скан прошел. Найдено 179 подозрительных объектов. По ходу проверки просматривал.
Основная масса - funmoods;
В system32 признан подозрительным hidcon.exe;
Найдено приложение в AppData Systweak\AdvancedSystemProtector. Такие штуки не ставлю;
Смутили строки из реестра с "Disabled.SecurityCentr от Microsoft" -firewall, update, antivirus. Хотя возможно, отключен в связи с использованием другого антивируса - DrWeb.
Подробно излагаю, потому что экспортированный лог - смешной. И никакого имени по умолчанию не предложил при экспорте.
Видимо, неправильно понял, установил MBAM.
Возможные пути заражения:
- был небольшой перерыв между продлением лицензии. DrWeb подвел: раньше только обновление прекращалось, а теперь, оказывается, защита полностью отключается. За что платили, спрашивается...
- ставил флешку с компьютера, вообще не имеющего антивируса. Хотя уже в период действия лицензии.

[thyrex]

Эту версию http://virusinfo.info/soft/mbam-setup-1.75.0.1300.exe пробуйте

[barvin]

Эту версию http://virusinfo.info/soft/mbam-setup-1.75.0.1300.exe пробуйте

Да, эта версия завершила работу нормально. И лог создался. Однако объектов нашла меньше - 86. Среди них не увидел ни hidcon.exe из system32, ни SystemTweak\AdvancedSystemProtector. А может, не заметил.
Понял, почему меньше: обновляться отказалась. Возможно, потому, что верия устарела.
И, попутно, при установке пробной версии здесь тоже не предлагалось, только "предоставить тестовый период на -PROверсию", с которого отметку при установке тоже снял.

[thyrex]

Удалите в МВАМ только указанные ниже записи

Код:

Registry Keys Detected: 9
HKCR\Typelib\{1D085C0A-E4F4-4F66-BDBF-4BE51015BFC3} (PUP.Funmoods) -> No action taken.
HKCR\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191} (PUP.Funmoods) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> No action taken.
HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> No action taken.
HKLM\SOFTWARE\Google\Chrome\Extensions\bbjciahceamgodcoidkjpchnokgfpphh (PUP.Funmoods) -> No action taken.
HKLM\SOFTWARE\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj (PUP.FunMoods) -> No action taken.

Registry Values Detected: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Data: �倦呚㼿콾䭈⻗旆짎뵐哒祪階ꚴ␢嚵䝸焖狞嶫榐螬ㄶ냪⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙㽝㓛∜戇柾郣ᥴ誣ᒈ�聚�틈澩辸튁᪞龔᦭⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙㹂앟猗塈ﾩ㌱ᴃ⌀⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙誱茰 -> No action taken.

Folders Detected: 7
C:\Program Files\Funmoods (PUP.FunMoods) -> No action taken.
C:\Program Files\Funmoods\1.5.23.22 (PUP.FunMoods) -> No action taken.
C:\Program Files\Funmoods\1.5.23.22\bh (PUP.FunMoods) -> No action taken.

Files Detected: 41
L:\Мои документы\D\Алексей\порно\Zeus\PATCHES\Noc_E4L2.rar (Trojan.Ransom.ANC) -> No action taken.
c:\documents and settings\4\local settings\application data\google\chrome\user data\default\local storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage (PUP.Funmoods) -> No action taken.
c:\documents and settings\4\local settings\application data\funmoods.crx (PUP.Funmoods) -> No action taken.
c:\documents and settings\4\local settings\application data\google\chrome\user data\default\local storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> No action taken.
C:\Program Files\Funmoods\1.5.23.22\Funmoods.ico (PUP.FunMoods) -> No action taken.

[barvin]

При повторном запуске
Registry Values Detected: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Data: �倦呚㼿콾䭈⻗旆짎뵐哒祪階ꚴ␢嚵䝸焖狞嶫榐螬ㄶ냪⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆 ꇪ﬙㽝㓛∜戇柾郣ᥴ誣ᒈ�聚�틈澩辸튁᪞龔᦭⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙ ⨲捆ꇪ﬙㹂앟猗塈ﾩ㌱ᴃ⌀⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆 ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙ ⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆 ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙ ⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆 ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙⨲捆ꇪ﬙誱茰  -> No action taken.
оказался уже в ветке HKU.
Зачистил все. При перезагрузке MBAM обновился до последней версии. Еще нашлись Фунмуды. Тоже убрал. Результата нет. Тот же пинг, та же блокировка почты.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[barvin]

Здравствуйте.
Сделал. Прилагаю оба файла. Опять Фунмуды вижу.
А это нормально, что программа самоудалилась?

[thyrex]

C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\User32.dll

проверьте на virustotal.com и пришлите ссылки на результат проверки

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=tube&chnl=tube&cd=2XzuyEtN2Y1L1QzuyDtDyCyB0FtDyDyC0EtB0FtByEtCyDyEtN0D0Tzu0CtByBtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1831212437
  HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://start.funmoods.com/?f=2&a=tube&chnl=tube&cd=2XzuyEtN2Y1L1QzuyDtDyCyB0FtDyDyC0EtB0FtByEtCyDyEtN0D0Tzu0CtByBtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1831212437" <======= ATTENTION
  SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=tube&chnl=tube&cd=2XzuyEtN2Y1L1QzuyDtDyCyB0FtDyDyC0EtB0FtByEtCyDyEtN0D0Tzu0CtByBtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1831212437
  SearchScopes: HKLM -> Backup.Old.DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
  SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=tube&chnl=tube&cd=2XzuyEtN2Y1L1QzuyDtDyCyB0FtDyDyC0EtB0FtByEtCyDyEtN0D0Tzu0CtByBtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1831212437
  Toolbar: HKU\S-1-5-21-2025429265-573735546-1801674531-1005 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
  Toolbar: HKU\S-1-5-21-2025429265-573735546-1801674531-1005 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} -  No File
  Toolbar: HKU\S-1-5-21-2025429265-573735546-1801674531-1006 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
  Toolbar: HKU\S-1-5-21-2025429265-573735546-1801674531-1006 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} -  No File
  CHR StartupUrls: Default -> "hxxp://www.yandex.ru/?win=90&clid=2039048", "hxxp://start.funmoods.com/?f=1&a=tube&chnl=tube&cd=2XzuyEtN2Y1L1QzuyDtDyCyB0FtDyDyC0EtB0FtByEtCyDyEtN0D0Tzu0CtByBtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1831212437"
  2015-02-22 00:30 - 2013-01-12 10:45 - 00000000 ____D () C:\Documents and Settings\Рабочая3\Application Data\Funmoods
  2015-02-22 00:30 - 2012-11-05 20:16 - 00000000 ____D () C:\Documents and Settings\4\Application Data\Funmoods
  2015-02-22 00:30 - 2012-09-19 22:07 - 00000000 ____D () C:\Documents and Settings\Рабочая3\Application Data\Systweak
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_68_64.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{122D5FEF-8711-4d87-A5BC-41ED5DF77258}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_230_5f.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{13cae5e0-317d-4dc4-9f06-a01ce92c698c}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_15A_50.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32 -> %AppData%\DAOuq\Rtkfnet.cod No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_68_64.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{56C2D5F5-0F32-45cb-AD75-87AF17CFDC27}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_230_5f.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{57963704-EE80-4bc5-8421-66098E5832AE}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_230_5f.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{68C0D34D-264F-4d64-AEF1-51C728DFDAD8}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_230_5f.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{6b0424b6-7ac3-4521-8b5c-894cdaffd92e}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_15A_50.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_68_64.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_68_64.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{7baafa79-37ac-411c-88a9-573ae46e3065}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_15A_50.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_68_64.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{cdfb4d3f-01e2-4259-b016-fd6ede8b8204}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_15A_50.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{d0b2a3c2-dda6-48d3-8193-a3bb748d6440}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_15A_50.tmp No File
  CustomCLSID: HKU\S-1-5-21-2025429265-573735546-1801674531-1005_Classes\CLSID\{F62D2442-FE48-4cbc-9FCA-E19FC839461B}\InprocServer32 -> C:\Documents and Settings\Рабочая3\Local Settings\Temp\v8_230_5f.tmp No File
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[barvin]

На этот раз утилита FRST не удалилась. Файл прилагаю.
С зараженной машины проверить указанные файлы проверить не получилось. Сайт открывается, выбранный файл в поле выбора не садится. Так и пишет - файл не выбран (но если навести на поле курсор, всплывает подсказка с именем файла). Соответственно, кнопка Проверить не срабатывает. Мало того, при повторном выборе сначала explorer.exe пропал, затем его однофамилец (с иконкой - папка с лупой), а потом вообще выбрать не стало давать - окно все время возвращалось к началу списка.
Через обычный просмотр дисков все файлы на месте. Скопировал на другой компьютер эти файлы по-отдельности и в сжатом виде (для исключения автолечения) . Оттуда же отправил на проверку. Архив и explorer показывают 2/57. По этим 2-м: результаты одинаковые и антивирусы те же. Ссылка
https://www.virustotal.com/ru/file/a...is/1424597322/
user32 - 0/57. Ссылка
https://www.virustotal.com/ru/file/f...is/1424597403/

[thyrex]

Изменения к лучшему есть?

[barvin]

Изменения к лучшему есть?

Если бы. Так и пишу через gmail. Пинг по-прежнему шлет меня на ... деревню. Браузер при запросе сайта mail.ru выдает Couldn't resolve host 'mail.ru'.
Но плюс есть - фундю пропал. Во всяком случае раньше при открытии новой вкладки всегда выходил блок от DrWeb.

[thyrex]

Интернет через роутер?

[barvin]

Интернет через роутер?

Через него, родимый. Но другой компьютер пашет без проблем. Тьфу-тьфу. С него и отвечаю, и почту принимаю

[thyrex]

Сделайте лог ComboFix

[barvin]

Сделайте лог ComboFix

Что-то долго сканирует. Написано - не более 10 мин, а уж больше 2-х часов. И не висит - мышь шевелится...

[thyrex]

Пробуйте сделать лог в безопасном режиме

[barvin]

Пробуйте сделать лог в безопасном режиме

Такая же картина - стоял всю ночь и до 4-х дня. Что-то, наверное, делал. Потому что мышь-то шевелилась, а закрыть - только перезагрузкой. Один плюс - установилась консоль восстановления.
Вопрос закрываю: проблема решилась заменой всех dll-лок в папках Windows и System32 из резервного образа. Разбираться не стал - пора работать. Хотя на всякий случай порченую папку Windows сохранил.
Большое спасибо thyrex за участие. Много нового узнал.