Абсолютный тупик.

Очень пафосное название , потому что ситуация действительно на мой взгляд и по моему опыту общения с вирусней тупиковая.
Младший брат ползал по интернету , где-то увидел ссылку на файл , скачал , запустил в IE. Как оказалось - скрипт , который покопался в настройках и после издевательских щелканий мной по окошкам исчез.
После скрипта заблокированы Task Manager , Восстановление системы , брэндмауер и ВСЕ попытки запустить любое приложение (в т.ч. установщики через .exe , .msi работает) кроме IE и проводника. Никаких логов avz , никакого Хайджека , никакого CureIt.
После ребута также на учетной записи , откуда запустили скрипт , полностью стерто старт-меню.
Единственное что нашлось после перфоманса - сам скрипт.
Windows XP Home SP3

Скачайте [URL="http://www.speedshare.org/download.php?id=048411093"]Special AVZ[/URL] (alias [b]kiss_me.pif[/b]) и сделайте логи им. Базы обновлять не надо.

Кхм... Может все дело в том , что фаайлообменник немецкий , но:
[QUOTE][SIZE=3][COLOR=#ff0000]Error!!! File not found! Please wait while we transfer you...[/COLOR][/SIZE]
[/QUOTE]
АПД: у человека с этого форума нашел в подписи ссылку на рапиду

Логи Special AVZ (не .pif а .cmd)

выполните скрипт
[code]
begin
DeleteFile('C:\WINDOWS\system32\svchosts.exe');
QuarantineFile('C:\Documents and Settings\user\Local Settings\Temp\NEventMessages.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\adfs.sys','');
QuarantineFile('c:\documents and settings\Администратор\local settings\temp\jkos-Администратор\binaries\scanningprocess.exe','');
QuarantineFile('c:\user\moto.exe','');
DeleteFile('c:\user\moto.exe');
ExecuteRepair(1);
ExecuteRepair(6);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи ...

Перегрузился из сейф мода на зараженную учетку , отлипли екзешники. Могу собирать логи и карантин с нее (на административной в сейф моде проблема с разрешениям экрана)?
АПД: Спустя минуту-2 после запуска основной учетку выпала "Ошибка передачи данных с ядром". Полной разрухи за этим не последовало.
АПД 2: Поторопился , старт-меню все так же пусто , залезть в проводник с папок на раб. столе не дает (Операция отменена вследствие действующих для компьютера ограничений. обратитесь к администратору сети).

voi la

[QUOTE]Error!!! File not found! Please wait while we transfer you..[/QUOTE]Да, 10 секунд подждать надо. Хостинг бесплатный, т.е. реклама там.
[QUOTE]Восстановление системы: включено[/QUOTE]Выключите системное восстановление, переделайте логи.

Done
За компанию сделал лог Хайджака раз екзе теперь работают

[QUOTE]Система загружена в режиме защиты от сбоев с поддержкой сети (SafeMode)
[/QUOTE]Все логи сделать в нормальном режиме.

[QUOTE]C:\Documents and Settings\user\Мои документы\Загрузки\naebi221.zip
C:\Sprut.rar[/QUOTE]Это Ваше?

[QUOTE=Rene-gad;456478]Все логи сделать в нормальном режиме.

Это Ваше?[/QUOTE]
Компьютермо пользуются 3 человека , судя по расположению - материал для рассмотрения отцом.
Нормальный режим - т.е. без сейф-мода? Невозможно , не могу запустить проводник , на любые попытки что-то записать на диск пишет что нет прав.
Сейчас раздаю права пользователю.

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

Телодвижения ничего не дали , даже с розданными правами на диск не могу не открыть , не записать.

- Сделайте лог [URL="http://www.malwarebytes.org/mbam-download.php"]MBAM[/URL] хоть в безопасном. Запустите полное сканирование.

Быструю проверку МБАМ удалось сделать и в нормальном режиме , отчет тоже сохранился.
Пока результаты быстрой проверки , запускаю полную.
П.С. Да , все что засветилось в результатах быстрой проверки сношу.

Вернулся контроль за рабочим столом и проводник , но Мой Компьютер в проводнике пуст.
Пока идет проверка твикером поправлю что увижу ^^

[QUOTE=XBocT;456566]Да , все что засветилось в результатах быстрой проверки сношу.[/QUOTE]Да :)

Пока идет проверка решил пока составить список проблем которые остались после легкой проверки (большая работает уже 3 часа , нашла еще 8 заражений):
Одна проблема - разрушенное старт меню. После чистки реестра почти все встало на места , корзину переименовал сам , остался только Пуск - его можно как-то вернуть к прежнему состоянию? Сейчас там только недавно запускаемые . панель управления , программы по умолчанию , справка-поиск-выполнить и выключение.

[QUOTE=XBocT;456681]Пуск - его можно как-то вернуть к прежнему состоянию? [/QUOTE]
К прежнему - не знаю, а правой кнопкой мыши на открытое меню/свойства - может там что-то можно изменить/настроить?

готово
Попробовал в свойствах меню - поставил Мой компьютер , но в меню он все равно ен отображается , попробую ребутнуться пока.
АПД после ребута все также нехватает только ссылки на мой компьютер в пуске и самой папки Мой компьютер в проводнике (она просто пустая , но в навигации проводника слева все отображается)

Посмотрите в реестре в ветке [CODE]HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer[/CODE] наличие параметра [B]NoStartMenuMorePrograms[/B]. Если он есть, удалите

Вот эти строки нужно в MBAM удалить
[CODE]F:\System Volume Information\_restore{6902BB27-9D06-47FE-BAD8-F075CA9A62D8}\RP67\A0131804.exe (Password.Stealer) -> No action taken.
F:\System Volume Information\_restore{6902BB27-9D06-47FE-BAD8-F075CA9A62D8}\RP77\A0141716.exe (Trojan.Srizbi) -> No action taken.
F:\WINDOWS\erqjuhwz.exe (Trojan.FakeAlert) -> No action taken.
F:\WINDOWS\system32\mmmsztsz.dll (Trojan.Agent) -> No action taken.[/CODE]Запустите программу, выберите [b]Perform Full Scan[/b] (Провести полную проверку), нажмите [b]Scan[/b] (Проверить), после сканирования выберите [b]Ок[/b] и далее [b]Show Results[/b] (Показать результаты), нажмите [b]Remove Selected[/b] (удалить выделенные, внимание - проверьте то, что удаляете). [b]После[/b] удаления откройте лог и скопируйте в сообщение.

Удалил строку в реестре. Пока никаких изменений , [st]может после ребута[/st] сменил еще пару строк с 1 на 0 и добавил Мои документы , Музыка и Рисунки после ребута експлорера , а следовательно после полного ребута моего компьютера строка NoStartMenuMorePrograms не даст обратно Мой компьютер)
То , что на диске F - Старая винда , видимо и вирусы ее еще остались (папка 666 и карантин в ней - старый авз , тогда не создавались логи и поэтому на все забил :D)
Стер все - мне эти кейгены и тем более подозрительный зверек в библиотеке онлайн игры не нужны.
Еще раз перепроверить и сдать отчет?)

Перегрузитесь, вдруг меню Программы появилось
Потом лог MBAM еще сделайте

[QUOTE=thyrex;456762]Перегрузитесь, вдруг меню Программы появилось
Потом лог MBAM еще сделайте[/QUOTE]
Никаких изменений после ребута пока что.
Запускаю проверку и пока роюсь в реестре и шляюсь по айти форумам , может где еще варианты есть)
АПД: Нашел как вернуть Мой компьютер (сработало)
[quote]Чтобы удалить пункт Мой компьютер и заблокировать соответствующий флажок в диалоговом окне настройки, добавьте параметр типа [code]DWORD {20D04FE0-3AEA-1069-A2D8-08002B30309D}[/code] со значением, равным 1 в разделе
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum
Удаление вышеприведенного параметра или установка в 0 возвращает прежнее поведение[/quote]
теперь нехватает только стандартных программ навроде браузера и почтовика по умолчанию

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

...Которые управлялись HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoStartMenuPinnedList.
У меня все , осталось только проблема со списком всех программ (их явно было больше раз в 5 и стандартные программы неполные (в реестре нашел полный их список на HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2) и делается полная проверка.

Лог МБАМ пуст , ваша работа закончена , меню программ я сам попробую восстановить (да и не критично это). Спасибо огромное за помощь!