Блокировка Windows

Оформить тему по правилам не представляется возможным.
После запуска Виндоус запускается баннер с просьбой пополнить счет на номер 89654028617. Ctrl+Alt+Del и подобные комбинации не работают, в безопасном режиме комп не запускается. Комбинации для отключения баннера с сайтов Др.Веб и Касперского не работаю. Проверка харда на другом компьютере с помощью CureIT и AVP ничего не дает.

Создана заявка 29075. По ней выполнено следушщее, но уже более полутора часов активности нет, а компьютер нужен. Помогите, пожалуйста.

1.скачайте [B]Live CD[/B] с возможностью поиска и исправления в реестре. Например, [B]ERD Commander[/B]. 2.Загрузитесь с этого диска.3.Кнопка Пуск - Выполнить - [B]erdregedit[/B]4.Посмотрите в реестре:[B]ветка[/B][B]Code:[/B]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[B]параметр[/B][B]Code:[/B]
userinit[B]параметр[/B][B]Code:[/B]
shellа также[B]ветка[/B][B]Code:[/B]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows[B]параметр[/B][B]Code:[/B]
AppInit_DLLsСодержимое этих параметров напишите в своем сообщении
Выдано: Olejah Вчера 22:19Статус:Выполнено Сегодня 11:29[B]Комментарий[/B]: Привожу параметры по очереди: 1) C:\Windows\System32\userinit.exe 2) Explorer.exe 3) "" - пустая строка

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 13 минут[/I][/B][/color][/size]

Я понимаю, что Вы не обязаны мне помогать, но тогда скажите, пожалуйста, что не будете этого делать, и я буду искать обходные пути.
Не могу долждаться ответа уже 4 часа.
Заранее спасибо.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 56 минут[/I][/B][/color][/size]

Я так понимаю, помощи мне не дождаться?

[size="1"][color="#666686"][B][I]Добавлено через 47 минут[/I][/B][/color][/size]

Очень жаль, что Вы откровенно "забиваете" на пользователей.

Смотрели с помощью ERD Commander? Отправить именно СМС или перевести денежки на счет абонента?

Извиняюсь. Конечно, перевести деньги просят.
Вот что собрал с помощью ERD:
1) C:\Windows\System32\userinit.exe 2) Explorer.exe 3) "" - пустая строка
Это параметры
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[B]параметр[/B][B]Code:[/B]userinit
[B]параметр[/B][B]Code:[/B]shellа
также[B]ветка[/B][B]Code:[/B]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
[B]параметр[/B][B]Code:[/B]AppInit_DLLs

[QUOTE='Yart;702412']Извиняюсь. Конечно, перевести деньги просят.
[/QUOTE]В таком случае есть некое несоответствие

Параметр userinit с данным видом блокера должен иметь некий "хвост" к значению [B]C:\Windows\System32\userinit.exe,[/B] или параметр shell не может иметь значение [B]explorer.exe[/B]

Проверьте еще раз

Вроде бы ничего не перепутал. Такая ситуация точно не возможна?

Вы пробовали какие-нибудь инструкции/утилиты перед обращением к нам?

Видимо, вначале я смотрел реестр другой винды. На самом деле параметр shell такой: "Local settings\temporary internet files\content.ie5\jlhdnz2f\vip_porno_25988.avi[1].exe"

Да, делал проверку харда на другом компе с помощью CureIt, avz и AVP

[QUOTE='Yart;702515']Видимо, вначале я смотрел реестр другой винды.[/QUOTE]Вот с этого нужно начинать ...


Замените строку
[QUOTE='Yart;702515']Local settings\temporary internet files\content.ie5\jlhdnz2f\vip_porno_25988.avi[1].exe[/QUOTE]

на [B]Explorer.exe[/B]

Загрузите ОС и сделайте логи по правилам

Ниже требуемые логи. Заранее спасибо.

UP

Помогите, пожалуйста. В аттаче обновленные логи после прохода системы AVP.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\cmdow.exe','');
QuarantineFile('D:\Documents and Settings\Администратор\Application Data\lbisov.exe','');
QuarantineFile('D:\Documents and Settings\All Users\Media\module.exe','');
DeleteFile('D:\Documents and Settings\All Users\Media\module.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Module');
DeleteFile('D:\Documents and Settings\Администратор\Application Data\lbisov.exe');
DeleteFile('D:\WINDOWS\system32\cmdow.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][COLOR="Blue"][B]Gmer[/B][/COLOR][/URL]
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]

Скрипты выполнены. Логи [COLOR=#0000ff]virusinfo_syscheck.zip;hijackthis.log [/COLOR]загружены. Остальные пока снимаются.

Плохого не увидел

Спасибо. Ниже лог MBAM

Здесь тоже порядок

Не получается собрать логи с помощью GMER - программа зависает. Есть ли какая-нибудь альтернатива?

В чем проблема заключается?

Выдает ошибку о том, что найдено что-то нехорошее, затем невозможно ничего делать - ни сохраняить лог, ничего. Написано, что gmer не отвечает.Система зависает. Приходится жестко перезагружать.

А зачем Вам лог gmer?

Смотрите выше. Меня попросили собрать логи с помощью GMER. Или это не так важно, и можно ограничиться уже собранными логами?

Увидел, спасибо.

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

В аттаче лог ComboFix.

Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[code]KillAll::

File::

Driver::
vjrbkid

NetSvc::
vjrbkid

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6386:TCP"=-

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Выкладываю лог.

В логе порядок. Проблема решена?

Да, проблем больше не наблюдается.. Спасибо огромное!

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\documents and settings\\администратор\\application data\\lbisov.exe - [B]P2P-Worm.Win32.Palevo.avir[/B] ( DrWEB: Trojan.Packed.20312, BitDefender: Gen:Variant.Bredo.15, AVAST4: Win32:Crumpache [Cryp] )[/LIST][/LIST]