Доброго времени! Помогите решением проблемы:
Не могу войти в систему, после окна приветствия (Добро пожаловать) выскакивает окно, в котором предлагается отправить смс-сообщения для вставки ответного в окошко (и мнимого решения якобы имеющихся вирусов).
Через восстановление последней удачной конфигурации, режим отладки, безопасный режим, безопасный режим с загрузкой сетевых драйверов войти не могу. Безопасный режим с поддержкой командой строки загружается.
Ноутбук: HP Pavilion dv7 2130 er. 1 ОС: Windows Vista SP2, 2 ОС: Windows XP SP3 (проблемная). С Висты проверил весь компьютер через KAV 2010 - чисто. Также было замечено, что на 4 разделах диска появились скрытые файлы: md.exe и при его запуске Касперский выдаёт сообщение про работу вируса, а отчётах читаю: "легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя PDM.Trojan.generic критичность высокая, на карантине"
Также были изменены значки на 3 из 4 разделов, на классические жёлтые.
Заражение произошло ровно во время посещения сайта с пиратским софтом.

kaban-keb, в папке windows\system32 (в разделе с XP) найдите скрытый системный файл user.exe (или user32.exe) и удалите. Файлы md.exe и autorun.ini (если есть в корнях разделов) удалите и ни в коем случае не запускайте.

okshef, спасибо за ответ. Перед выполнением операций хочу уточнить несколько моментов:
В проблемном разделе с XP/WINDOWS/system32 имеются несколько файлов: user.exe, user32.dll и user32.exe. Файлы user.exe, user32.dll были созданы в апреле и сентябре прошлого года (соответственно), и лишь файл user32.exe имеет дату создания на день заражения (т.е. сегодня), причём все 3 - нескрытые. Удалять все?
Также хочу уточнить: файлы, необходимые к удалению, точно с названием autorun.ini? (в некоторых разделах имеются файлы: autorun.inf (скрытый)(в 3 из 4 разделах, включая проблемный), boot.ini (на непроблемной Висте, скрытый) и Desktop.ini (на разделе для восстановления, скрытый); что делать с ними?
Также прошу помощи в замене значков разделов (или всё поменяется после удаления?)
Ну и разъясни мне, незнающему, что значит "корнях разделов".
Спасибо.

что значит "корнях разделов" »это
в некоторых разделах » (а не в их каталогах, т.е. непосредственно на "диске")и лишь файл user32.exe »
только этот!!!autorun.inf (скрытый)(в 3 из 4 разделах, включая проблемный) »
ошибся с расширением - его. boot.ini - файл, необходимый для загрузки XP - не удаляйте!!!
Если будете удалять через корзину - корзину очистите.
После удаления - перезагрузка и логи по правилам.

okshef, продолжаю благодарить за помощь.
С userами понял: на проблемной ХР удаляем файл user32.exe (созданный сегодня, на момент заражения), файлы user.exe, user32.dll не трогаем.
Но уточни, пожалуйста, кто ошибся с расширением я или ты. Предполагаю, что ты. Значит нужно удалить все файлы autorun.inf (в корнях всех разделов), а файлы boot.ini (на непроблемной Висте, скрытый) и Desktop.ini (на разделе для восстановления Висты, скрытый) не трогаем.
Так?

Все правильно!

okshef, после выполнения удаления файлов и очистки корзины, ХР запустился, но кроме фона на рабочем столе ничего нет. Запуск диспетчера задач ничего не дал - выдаётся сообщение "диспетчер задач отключен администратором".
Загрузившись с Висты в компьютере вижу появление подлинных значков разделов - гуд :).
Прошу помощи восстановления значков рабочего стола, панели и проводника.
Также поясни, что значит "перезагрузка и логи по правилам", может я что не так сделал.
И, раз это раздел по обсуждению вирусов/антивирусов, подскажи, что будет с файлом PDM.Trojan.generic, который находится на карантине в случае сноса Касперского?

Также поясни, что значит "перезагрузка и логи по правилам", может я что не так сделал. »Выполните рекомендации (http://www.forum.oszone.net/post-717373-2.html) и прикрепите к следующему сообщению полученные логи.

Подскажите, как запустить утилиты. В безопасном режиме, как и в обычном, отсутствует что-либо на экране. Или можно проверить на второй непроблемной ОС?

Подскажите, как запустить утилиты. »

Проблемные файлы на которые указывает каспер возьмите в карантин И проверьте на http://www.virustotal.com/ru/ (при удалении каспер его сам занесёт в карантин.) Попробуйте скачать http://www.freedrweb.com/livecd/ записать на диск и запустить с него комп. И просканировать.

Или нажать на кнопку winwows кнопка с флажком и в поиск ввести имя программы ( AVZ ) если программа на диске CD вставить диск в привод и тоже самое с куреитом . Когда прога найдётся запустить.

А можно с утилитами CureIt, AVZ и HijackThis поработать на второй, непроблемной ОС?

С HJT для воздействия на проблемную ОС - нельзя, эта утилита работает с реестром активной системы, c CureIt и AVZ - можно в режиме выборочного сканирования. Естественно, применить их на непроблемной ОС можно, только зачем?

okshef, но ведь без HijackThis не получится сделать логи :(. Как быть? Может как нибудь через безопасный режим с поддержкой командой строки? (он на проблемной ОС вроде как загружается). Внимательно выслушаю последовательность действий :type:

kaban-keb, если вы зловреда удалили, то проблем со входом быть не должно. Или проблемы есть? Вы можете с помощью CureIt сделать проверку раздела с проблемной системой, а потом в нее загрузиться и там уже сделать логи.

okshef, после выполнения удаления файлов и очистки корзины, ХР запустился, но кроме фона на рабочем столе ничего нет. Запуск диспетчера задач ничего не дал - выдаётся сообщение "диспетчер задач отключен администратором".
Загрузившись с Висты в компьютере вижу появление подлинных значков разделов - гуд :).
Прошу помощи восстановления значков рабочего стола, панели и проводника.

kaban-keb, делайте логи по правилам, лечение - по логам

Вы можете с помощью CureIt сделать проверку раздела с проблемной системой, а потом в нее загрузиться и там уже сделать логи. »
Проверку раздела с проблемной системой провёл утилитой CureIt, были найдены 6 Trojan (Oficla и Winlock). Однако система по-прежнему грузится без меню. Я бы и рад сделать логи, но как?

Я бы и рад сделать логи, но как? »
Пуск - выполнить (Win + R) не работает? Пуск - мой компьютер - папки с HJT и AVZ - программы.

Пуск - выполнить (Win + R) не работает? Пуск - мой компьютер - папки с HJT и AVZ - программы. »
На запрос диспетчера задач "Ctrl+Alt+Del" отвечает "Диспетчер задач отключён администратором ", На запросы "Win+R" и "Win+E" система не отвечает!

Или нажать на кнопку winwows кнопка с флажком »
Вы пробовали нажимать только на одну эту кнопку ? Должно появится меню Пуск - все программы далее передвигаться кнопками - Стрелки - применить \открыть - кнопка Enter