Перезагрузился комп, вылезло окно наиболее схожее с Trojan.Winlock 100/Trojan.Winlock97 по классификации с дрв. Телефон 8353, код 7488015 - стандартно.
Коды ни с дрв ни с касперского не помогли.
В безопасном режиме удалось загрузиться один раз с одной из двух административных учеток, далее блок пошел и там.
В корне каждого раздела, кроме того, на котором установлена система, есть autorun.inf и md.exe.
На данный момент сижу с резервной винды на другом разделе, логи, соответственно, с поблоченной винды снять не могу. Могу выслать заархивированные ауторан и мд, в которых информация все же есть.
Ауторан содержит текст:
в сборке тотал коммандера можно узнать какую-то инфу про мд, если надо, могу копировать. В частности, удается установить, что он влияет на GDI32.dll, Kernel32.dll и USER32.dll из system32.[AutoRun]
label=Съемный диск
action=Открыть папку для простмотра файлов
useautoplay=1
icon=C:\WINDOWS\system32\shell32.dll,4
shellexecute=md.exe
shell\auto=&Автозапуск
shell\auto\comand=md.exe
shell\open=&Открыть
shell\open\command=md.exe
shell\explore=&Проводник
shell\explore\comand=md.exe
shell\explore=&Найти
shell\find\comand=md.exe
[AutoRun]
label=Съемный диск
action=Открыть папку для простмотра файлов
useautoplay=1
icon=C:\WINDOWS\system32\shell32.dll,4
shellexecute=md.exe
shell\auto=&Автозапуск
shell\auto\comand=md.exe
shell\open=&Открыть
shell\open\command=md.exe
shell\explore=&Проводник
shell\explore\comand=md.exe
shell\explore=&Найти
shell\find\comand=md.exe
Есть болванка с ЕРДкоммандером, но он тормозит ТАК, что проще сделать бэкап настроек и переустановить винду на том разделе, чего делать категорически не хочется.
Еще очень подозрительным кажется файл D:\Documents and Settings\одмин\ip.txt, содержащий информацию о настройках подключения и т.д. Уточню, что содержится только в папке учетки вирусованной винды.
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : *вырезано*
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : *вырезано*
IP-маршрутизация включена . . . . : *вырезано*
WINS-прокси включен . . . . . . . : *вырезано*
Порядок просмотра суффиксов DNS . : *вырезано*
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . : *вырезано*
Описание . . . . . . . . . . . . : *вырезано*
Физический адрес. . . . . . . . . : *вырезано*
Dhcp включен. . . . . . . . . . . : *вырезано*
Автонастройка включена . . . . . : *вырезано*
IP-адрес . . . . . . . . . . . . : *вырезано*
Маска подсети . . . . . . . . . . : *вырезано*
Основной шлюз . . . . . . . . . . : *вырезано*
DHCP-сервер . . . . . . . . . . . : *вырезано*
DNS-серверы . . . . . . . . . . . : *вырезано*
Аренда получена . . . . . . . . . : *вырезано*
Аренда истекает . . . . . . . . . : *вырезано*
фуфлонет - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : *вырезано*
Физический адрес. . . . . . . . . : *вырезано*
Dhcp включен. . . . . . . . . . . : *вырезано*
IP-адрес . . . . . . . . . . . . : *вырезано*
Маска подсети . . . . . . . . . . : *вырезано*
Основной шлюз . . . . . . . . . . : *вырезано*
DNS-серверы . . . . . . . . . . . : *вырезано*
*вырезано*
NetBIOS через TCP/IP. . . . . . . : *вырезано*
PS: простите за довольно дебильные объяснения - почти 9 утра, мозги не варят и тянет на тупые пафосные речи.