Появился баннер, заблокировал Windows

Добрый день, помогите пожалуйста. Появился баннер блокирующий Windows. Всё сделал как описано
Параметр userinit userinit
Параметр shell Explorer.exe
В приложении файлы реестра

Уважаемый(ая) [B]DJ_Orloff[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Безопасный режим с поддержкой командной строки работает?

Я загрузил виндовс с помощью системного мультизагрузочного диска
Командная строка работает

[quote="DJ_Orloff;925664"]Я загрузил виндовс с помощью системного мультизагрузочного диска
Командная строка работает[/quote]
т.е. Вы загрузили зараженную систему?

Да, через системный диск. Поставил загрузку с CD. Зашёл в реестр и сделал экспорты Run'ов как написано в помощнике и приложил их в первом письме. А что дальше делать не знаю

[quote="Techno;925666"]Командная строка работает[/quote]
Если в ней набрать explorer, появиться рабочий стол?

[QUOTE=Techno;925704]Если в ней набрать explorer, появиться рабочий стол?[/QUOTE]

Я там посидел разобрался, в папке с джокументами нашёл непонятный файл с расширение .exe, я его переименовал в расширение .bak и всё заработало. Надо ли чтото дальше делать, не появится ли он снова?

Сделайте логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] (раздел [I]диагностика[/I] п.1-3)

Присылаю файлы во вложении

Удалите через установку/удаление программ [B]VPets[/B]

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\72537d28.exe,C:\WINDOWS\system32\lungvi.exe,[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\C4C4~1\LOCALS~1\Temp\8741875FdOh','');
QuarantineFile('c:\documents and settings\Дима\0.09145238613729156.exe','');
QuarantineFile('C:\systemhost\24FC2AE38A1.exe','');
QuarantineFile('C:\WINDOWS\system32\lungvi.exe','');
QuarantineFile('C:\WINDOWS\system32\72537d28.exe','');
QuarantineFile('C:\Program Files\VPets\VPets.exe','');
DeleteFile('C:\Program Files\VPets\VPets.exe');
DeleteFile('C:\WINDOWS\system32\72537d28.exe');
DeleteFile('C:\WINDOWS\system32\lungvi.exe');
DeleteFile('C:\systemhost\24FC2AE38A1.exe');
DeleteFile('c:\documents and settings\Дима\0.09145238613729156.exe');
DeleteFile('C:\DOCUME~1\C4C4~1\LOCALS~1\Temp\8741875FdOh');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F7EXHZC0HB');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','c:\documents and settings\Дима\0.09145238613729156.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','8742296');
DeleteFileMask('C:\Program Files\VPets','*',true);
DeleteFileMask('C:\systemhost','*',true);
DeleteDirectory('C:\Program Files\VPets');
DeleteDirectory('C:\systemhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- Установите [URL="http://windows.microsoft.com/ru-RU/windows/help/learn-how-to-install-windows-xp-service-pack-3-sp3"]SP3[/URL] ([COLOR="#FF0000"]может потребоваться активация[/COLOR]), [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]новый Internet Explorer[/URL], а также все доступные [URL="http://www.update.microsoft.com/"]обновления для Windows[/URL]

После установки обновлений:


- Повторите логи.

- [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

Всё сделал как Вы написали, только программу VPets не удалял, т.к. её попросту нет в "Установка и удаление программ". Карантин прислал. Спасибо большое за помощь.

[quote="DJ_Orloff;926023"]Карантин прислал.[/quote]
А остальное сделать?

Сегодня в течении дня сделаю, Компьютер рабочий)))

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]