lock windows

доброй ночи
суть проблемы
комп под windows XP sp3, фаервол отключен, ДрВеб лицензия с новыми базами но без ДрВебвского фаервола облегченная версия короч
core 2 duo, 2 HDD на 160 и 320 гб оба WD
мать гигобайтовская миниАТХ г41 какая то там

вчера ночью полазил по "интернетам" сегодня включаю комп выдает банер (рис1), предполагаю что случайно нажал на появляющийся банер с вредоносным кодом...(картинка очень похожа на Trojan.Winlock.2787, указанный на сайте дрвеба, но цифры не подошли :( )

запуск компьютера в безопасный режим выдает бсод (рис3 если я не ошибся при наборе вот код ошибки stop: 0x0000007b (0xF789E524, 0xC00000034, 0x000000000 0x000000000) )...

в итоге получается что запустить AVZ, hijackthis не могу, и следовательно выполнить ваши требования к оформлению запроса помощи =\

ЗЫ: сейчас буду пробовать лайв СД записал свежии от каспера и др веба...
ЗЫЫ: надеюсь что подскажите что нибудь :)

upd1: касперский livecd нашел пару троянов и бек доров в старых файлах, но не помогло, др.веб liveCD требует ключ или регистрацию демо о_О причем регистрацию демо он не проходит а ключ от установленной версии на компе не хавает...

такс по порядку
1) сп за пост:
[url]http://virusinfo.info/showpost.php?p=758231&postcount=4[/url]
помогла прога ERD Commander
в реестре оказалось 2 папки Winlogon, в одной был прописан путь в трояну, programm files/common files/mail/svchost.exe
исправил только shell, т.к. в userinit путь был правильный
+удалил файл из папки мейл

2) Баннер убрался но др веб guard не включился...
+нельзя запустить regedit "Редактирование запрещено администратором системы"

3) AVZ и hijackthis запустились без проблем вот логи:

4) bsod остался :(((
[CODE]stop: 0x0000007b (0xF789E524, 0xC00000034, 0x000000000 0x000000000)[/CODE]
я так понял не у меня одного такое:
[url]http://virusinfo.info/showthread.php?t=95825[/url]

Заразы в логах не видно.
Выполните скрипт в AVZ:
[code]
begin
ExecuteRepair(10);
ExecuteRepair(17);
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite( 'HKLM', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Должно помочь.

скрипт выполнил.
бсод вроде бы ушел
доступ к реестру получил...

на всякий случай сделал повторные логи:
ЗЫ: сп за помощь

Чисто.