Доброго времени суток. У меня такая проблема. С чего все началось, захотел я найти вирус IM-Worm.Win32.VB.ev, ну установил vmware 7, поставил на неё windows xp prof sp3, и голиком (без антивируса, фаервола и т.п.) оправился по просторам интернета в частности порно видео. Поймал порноинформер вот такой http://www.imget.ru/images/2009/11/17/POutJeA3Wr.jpg. Закрывает при загрузке весь экран нельзя нажать ни пуск ничего другого, диспетчер задач заблокирован. Мои действия порылся тут http://news.drweb.com/show/?i=304&c=5, там не нашел, качал отсюда офлайн форму, там тоже нет, загрузил последний LiveCD от DR. Web просканировал им, он ничего не нашел, скопировал из под дос все папки и файлы на флешку и потом флешку просканировал KAV 9.0.463 с последними базами - тоже ничего, с windows PE запусти утилиту AVZ и просканировал диск С, тоже ничего не нашла, с под самой винды возможности нет сделать логи или запустить какую либо утилиту, потомучто экран закрыт полностью и не работает ни alt+tab ни alt+F4. У кого какие есть предложения по этому поводу?
Забыл добавить есть файлик - причина заражения, файл exe - его я проверял и каспером и вебом, оба говорят файл безвредный.

Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.

И как я по вашему должен сдеть логи, если я не вижу рабочего стола, даже и маленького кусочка рабочего стола?

с windows PE запусти утилиту AVZ и просканировал диск С, »
эти логи давайте
Или попробуйте в безопасном режиме зайти. Или же просканируйте АВЗ вашу флэшку с файлами с компа. Может тогда получится сказать вам что удалить.

В безопасном режиме окно не убирается, т.е. безопасный режим ничем не отличается от обычного, на windowsPE удалось сделать логи только AVZ, HijackThis почемуто не запускается.

По моему вы просканировали сам диск windowsPE .

По моему вы просканировали сам диск windowsPE . »По другому и быть не могло

Попробуйте это сделать http://virusinfo.info/showthread.php?t=51777

Прошу прощенье за долгое молчание.
Попробуйте это сделать http://virusinfo.info/showthread.php?t=51777 »
Проверил реестр, все соответствует т.е. по указанному пути параметр winlogon - C:\WINDOWS\system32\userinit.exe, (с запятой). Дело в то что система стартует и в обычном режиме и в безопасном, но сразу появляется порноинформер. Маленькая поправочка в системе только один пользователь встроенный Администратор.

По моему вы просканировали сам диск windowsPE . »
При сканировании я отметил диск С, но насколько я знаю AVZ сканирует системные процессы, поэтому он и выдал лог с системными процессами WindowsPE, могу и ошибаться.

Ура товарищи!
Значит решение такое.
1.Загружаемся с любого Live CD, где есть возможность редактирования реестра.
2.Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
3. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
4. Введите имя для раздела, который вы загрузили, например, MyHive.
5. Посмотрите Microsoft\Windows NT\Winlogon (в обычном виде это [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]) параметр Shell должен быть такой explorer.exe, вмсесто него вы надете путь и файл который надо удалить.
6. Не забудьте выгрузить куст
7. Разблокируйте диспетчер задач. В Реестре Windows в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] удалите параметр DisableTaskMgr.
Примечание. Поставил касперского 2010 с базами на 18.11.2009 просканировал всю систему - он ничего не нашел. Попробовал этот файлик запустить при включенном касперском и как и ожидалось касперу по барабану, порноинформер вылез по новой.
P.S. Спасибо thyrex, если бы он не заставил полезть в раздел реестра winlogon я бы ничего не увидел.
PP.SS. Кому интересно могу прислать этот порноинформер.

Для совсем ленивых!
Можно загрузиться в "безопасном режиме с поддержкой командной строки" и запустить мою программку. :)


Вирусы запрещено присоединять к сообщению.

Попробовал этот файлик запустить при включенном касперском и как и ожидалось касперу по барабану, порноинформер вылез по новой. »
И не увидит. Потому что не знает. PP.SS. Кому интересно могу прислать этот порноинформер. »
Касперскому на newvirus@kaspersky.com (mailto:newvirus@kaspersky.com). с описанием ситуации и что происходит. И что заражает. Дктору вебу тоже вышлите и т.д.

Вирусы запрещено присоединять к сообщению. »
Это не вирус, а программка по удалению этого баннера, написанная на делфи.
Касперскому отослал и уже пришел ответ.

xxx_video_31490.avi.exe - Trojan-Ransom.Win32.PornoBlocker.aa Детектирование файла будет добавлено в следующее обновление.

Это не вирус, а программка по удалению этого баннера, »
Надо было подробнее сообщить - что это за программка. Если усовершенствуете её для запуска с CD. То можно будет выложить её на форуме. Иначе мало будет от неё пользы - мало кто сможет запустить комп в командной строке работать с прогой.