Не могу войти ни под какой учетной записью

[Rufuss]

Прошу прощения, если пишу не в тот раздел. Я новичок, поэтому поправьте если что не так.
Прочитал правила раздела, однако действовать в соответствии с ними пока нет возможности по причине того что не могу войти в систему ни под какой учетной записью, а также не загружается ОС в безопасном режиме. Происходит вот что. Загружается Windows, но после попытки войти с учетной записью администратора или другой, долго пытается войти, но через минуту или две на мгновение появляются обои рабочего стола и система тут же выходит из учетной записи.
Подозреваю, что это либо результат вредоносного действия вируса, который я подхватил недавно, но потом почистил avastом во время загрузки, либо результат самой чистки.
Сам вирус назвать сейчас не могу, так как он остался в хранилище антивиря. Могу сказать, что пришел он через MSN Messenger от знакомого. Avast его не опознал, поэтому я решился его открыть, хотя были подозрения, так как это был exe-файл. После этого он стал рассылаться через MSN по моим контактам.
Прошу помочь решить данную проблему.

[pig]

Компьютер доступен по локальной сети?

[Rufuss]

Компьютер доступен по локальной сети?

имеются 2 ноутбука (проблема в одном из них), связанные посредством беспроводной сети WiFi. Однако проблемный ноут в сети не виден. Проводная сеть не была настроена. Но сетевой кабель имеется.

[pig]

Тогда Live CD нужен. И, наверное, опытный специалист.

[Rufuss]

Специалист не понадобился. Покопавшись по форумам, нашел выход. Могу поделиться, если у кого-то возникнет подобная проблема.
Как правило такая проблема могла возникнуть из-за удаления файлика userinit.exe (или подмены его трояном) или ветки реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="G:\\WINDOWS\\system32\\userinit.exe,"( запятая обязательна, если дописано что-то лишнее удалить к чертям).
Я взял с чистой машины файл userinit.exe и записал на флешку. Затем загрузился при помощи ERD Commandera 2007 (для winxp)(флешка при этом должна быть вставлена, чтобы ERD ее увидел). В реестре у меня все было нормально, но сам userinit.exe был явно заражен (определил по времени модификации и большому размеру). Заменил его на здоровый и загрузился в нормальном режиме. Все заработало. Правда теперь надо чистить компьютер от всей этой заразы. Чем я сейчас и собираюсь заняться.

[PavelA]

Сделай логи по Правилам, поможем.
Даже не знаю что делать с твоими советами. у нас так поступать запрещено!! Советы по лечению даем только мы, члены проекта.

[Rufuss]

Сделай логи по Правилам, поможем.
Даже не знаю что делать с твоими советами. у нас так поступать запрещено!! Советы по лечению даем только мы, члены проекта.

Сорри, если чего не так. Да в принципе и не лечение это вовсе, а просто выход из ситуации. Но Вам решать.
А логи вышлю попозже обязательно. Надеюсь с Вашей помощью уничтожу заразу.

[Rufuss]

А вот и логи.

[PavelA]

От Симантека что-то установлено на машине?

[Rufuss]

От Симантека что-то установлено на машине?

насколько знаю, установленного ничего вроде нет.
В program files имеется папка Symantec, в ней 2 папки: Winfax и LiveUpdate. Winfax я устанавливал давно, затем удалил. Про LiveUpdate не помню уже.
Есть еще какой-то "HASP License Manager". Уже не помню когда и каким образом он попал в компьютер. Антивирус AVAST. Из незнакомых есть еще какой-то ASPI.

[PavelA]

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);

 QuarantineFile('C:\WINDOWS\system32\5E.tmp','');
 DeleteService('MEMSWEEP2');
 QuarantineFile('siregsrv.sys','');
 DeleteService('siregsrv');
 QuarantineFile('C:\WINDOWS\SYSTEM32\b4fm.dll','');
 DeleteFile('C:\WINDOWS\SYSTEM32\b4fm.dll');
QuarantineFile('C:\WINDOWS\system32\drivers\UIUSys.sys','');
 DeleteFile('siregsrv.sys');
 DeleteFile('C:\WINDOWS\system32\5E.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=42271

[Rufuss]

Moderated: убран оверквотинг

все сделал как сказали. Вот логи:

[Гриша]

Код:

C:\WINDOWS\system32\drivers\UIUSys.sys

Пришлите этот файл в архиве с паролем "virus"

[Rufuss]

в указанной Вами папке такого файла нет.
Немного поискав нашел его здесь: C:\DRIVERS\MODEM\ONBOARD.
Выслать или нет?

[PavelA]

Присылай.

[Rufuss]

уже выслал

[Гриша]

Файл чистый...

[Rufuss]

только что переставил флешку на другой комп и тамошний NOD32 отрапортовал о 2-х зараженных файлах:
autorun.info - autoran.gen/ троян
kqhpri.pif - модифицированный Win32/Sality вирус
К сожалению файлы были удалены.
Мой AVAST их не обнаружил.
Что делать, не знаю?
Опять что ли все заново?
P.S. Проблема еще и в том, что у меня не включается режим отображения скрытых файлов и папок. Ставлю галочку, жму OK, захожу снова, опять все как было до этого.

Добавлено через 24 минуты

Запустил TCPview. Некоторые процессы выделяются красным цветом. Может кто-то стучит? Можно определить что-нибудь таким образом?

[Alex_Goodwin]

Проверьтесь CureIt

[Rufuss]

уже проверял. И логи на drwebовский форум отправлял. Они предложили проверить несколько файлов на вирустотале. Один из них некоторые антивирусники (MacAfee, Microsoft и еще 5-6) определили как вирус. Меня удивило что Касперский, drweb и многие другие пропустили. Я его все же удалил. Еще удивило, что им показался подозрительным mrt.exe, хотя это вроде майкрософтовский антишпион. Он на многих компах есть. В общем еще посоветовали пофиксить hijackом пару строчек. Но я пока не делал этого.

Добавлено через 12 минут

кажется обнаружил exe файлик, с которого все и началось. Он у меня спокойненько сидит в My Documents. Только архивированию не поддается, зараза, ругается. И на вирустотал идти не хочет. Что делать, подскажите?