Не загружается рабочий стол

При загрузке windows думает больше чем обычно ,а когда загрузился ,то показывает обои рабочего стола ,но не загружает никакие ярлыки и панели пуск. ЦП тоже скачет.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\Agent\svhost.exe','');
QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Temp\0.1608534557849699.exe','');
QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\DFKXUMA0\gzynepitcoxsxrhn[1].exe','');
DeleteFile('D:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\DFKXUMA0\gzynepitcoxsxrhn[1].exe');
DeleteFile('D:\Documents and Settings\Admin\Local Settings\Temp\0.1608534557849699.exe');
DeleteFile('C:\Program Files\Common Files\Agent\svhost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

1. Скачайте образ [B]ERD Commander[/B], запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/code]
[B]параметр[/B]
[code]userinit[/code]
[B]параметр[/B]
[code]shell[/code]
Содержимое этих параметров напишите в своем сообщении

Хм..рано я забил тревогу, через клавишу пуск>свернуть все окна смог запустить мой компьютер ,браузер и т.д. (хоть мышка и могла двигаться только в рамках запущенной вирусом программы)
Скрипт выполнил ,карантин прислал ,баннер пропал ,но такое ощущение ,что вирус удалился не до конца.

В HiJackThis пофиксите

[CODE]O4 - HKCU\..\Policies\Explorer\Run: [wininet] .exe[/CODE]

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

[QUOTE=thyrex;756761]В HiJackThis пофиксите

[CODE]O4 - HKCU\..\Policies\Explorer\Run: [wininet] .exe[/CODE]Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL][/QUOTE]
эх опоздали с фиксом ,сейчас опять та же ситуация - рабочего стола нет.
Сделал новые логи.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\Mail\svhost.exe','');
DeleteFile('C:\Program Files\Common Files\Mail\svhost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B]Обновите базы AVZ[/B]

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

Вот новые логи.

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
O4 - HKCU\..\Policies\Explorer\Run: [wininet] .exe
[/CODE]
2.Отключите[B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('f:\program files\mozilla firefox\test.exe','');
QuarantineFile('d:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\YHORX4YY\gzynepitcoxsxrhn[1].exe','');
QuarantineFile('d:\documents and settings\Admin\local settings\Temp\0.40458078202490855.exe','');
QuarantineFile('d:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\0P1ODE91\5cb[1].exe','');
DeleteFile('d:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\0P1ODE91\5cb[1].exe');
DeleteFile('d:\documents and settings\Admin\local settings\Temp\0.40458078202490855.exe');
DeleteFile('d:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\YHORX4YY\gzynepitcoxsxrhn[1].exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(5);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B] оставшееся из этого
[CODE]
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые папки:
d:\program files\common files\wm\keys (Trojan.KeyLog) -> No action taken.

Заражённые файлы:
d:\documents and settings\Admin\local settings\Temp\0.40458078202490855.exe (Spyware.Passwords) -> No action taken.
d:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\0P1ODE91\5cb[1].exe (Trojan.Downloader) -> No action taken.
d:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\YHORX4YY\gzynepitcoxsxrhn[1].exe (Spyware.Passwords) -> No action taken.
d:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken.
d:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
[/CODE]
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]

все сделал.

[B]Смените все пароли[/B]

f:\program files\mozilla firefox\test.exe - известен этот файл?

нет , я тоже обратил на него внимания ,но удалять не стал.
Что с ним делать?
я зашёл в f:\program files\mozilla firefox и др веб автоматически исцелил его и он пропал.

Что с проблемой?

Вроде бы все хорошо , загрузка цп в норме ,windows загружается быстро. Спасибо, проблема решена.

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\documents and settings\\admin\\local settings\\temporary internet files\\content.ie5\\dfkxuma0\\gzynepitcoxsxrhn[1].exe - [B]Trojan-Ransom.Win32.Losya.as[/B] ( DrWEB: Trojan.Winlock.2876, BitDefender: Trojan.Generic.5567201, AVAST4: Win32:Malware-gen )[*] d:\\documents and settings\\admin\\local settings\\temp\\0.1608534557849699.exe - [B]Trojan-Ransom.Win32.Losya.as[/B] ( DrWEB: Trojan.Winlock.2876, BitDefender: Trojan.Generic.5567201, AVAST4: Win32:Malware-gen )[*] f:\\program files\\mozilla firefox\\test.exe - [B]Trojan.Win32.VBKrypt.axsq[/B] ( DrWEB: Trojan.Winlock.2876, BitDefender: MemScan:Trojan.Generic.5652273, AVAST4: Win32:Malware-gen )[/LIST][/LIST]