После вируса перестал загружаться рабочий стол. Почистил с загрузочного диска Аваста. После выбора пользователя при загрузке пустой стол и курсор мыши. Через комбинацию из трех клавиш и менеджер задач загрузил explorer. Рабочий стол появился, но не работало восстановление системы ("запрещено групповой политикой") и regedit ("запрещено администратором системы") и не запускался nod32. Включил встроенную учетку администратора. В ней все нормально. Перепробовал все советы с этого форума и с других источников. Заработало восстановление системы и антивирус, но под учеткой пользователя по прежнему не грузится раб. стол и не работает regedit, хотя дал права администратора и в реестре все нужные ветки прописаны. Восстановил систему к предыдущей автоматически сохраненной точке, ничего не изменилось. При попытке восстановления к более ранним точкам выдает ошибку, что востановление невозможно.

Aldy, загрузитесь в проблемный профиль и представьте логи, согласно этих (http://forum.oszone.net/post-717373-2.html) правил.

Пытался выполнить указанные действия, но не удалось.
1. Не устанавливается драйвер расширенного мониторинга процессов.
2. В проблемном профиле 3 скрипт вылетает сразу после начала работы. В профиле админа 3 скрипт вроде бы начинает работу, но окно AVZ становится неактивным, в заголовке окна появляется надпись "не отвечает", при этом в диспетчере задач появляется процесс taskeng.exe, который занимает ~30-40% ЦП и постоянно растет занимаемое им место в памяти (на 1,5 Гб я его отключил).
Удалось выполнить только HiJackThis и 2 скрипт под админом и под проблемным профилем.

И еще в первом сообщении я ошибся, nod32 в пользовательском профиле не запускается ("Не удалось запустить приложение, поскольку его параллельная конфигурация неправильна"). Вроде бы данная проблема лечится переустановкой ++Redistributable... , но почему тогда под админом работает?

Прикрепляю отчеты HiJackThis и двух вторых скриптов.

Aldy, логи AVZ не те: нужны архивы из папки LOG в папке с программой. Вирусы есть (были) - переношу в лечение. Файлы

>>> C:\Windows\system32\userinit.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\Windows\system32\cmd.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\Windows\system32\comres.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\Windows\system32\sens.dll ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\Windows\system32\svchost.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
>>> C:\Windows\system32\regedit.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
сами патчили?

Aldy, Скачайте Kaspersky Virus Removal Tool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ и просканируйте ваш комп.

И дайте нужные логи.
# virusinfo_syscure.zip и virusinfo_syscheck.zip из каталога AVZ\LOG, если использовалась утилита AVZ

сами патчили? »
Комп не мой, попросили полечить. Система предустановленная, думаю что её не трогали.

Логи могу дать только syscheck, как уже писал в предыдущем посте.

Запустил касперского, но вчера я по полной прогнай CureIt и вычистил кучу вирусни.

Выполнить в проблемной учетке. Утилиты запускать от имени Администратора по правой кнопке мыши

Пофиксить в HiJack
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe bxwjh
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe
O2 - BHO: MS Media Module - {2B29CB8C-ECF8-5BFB-D529-6C36212D95FB} - (no file)
O2 - BHO: MS Media Module - {C89E07B6-D518-A5C3-32E6-EDE0572E11F7} - (no file)

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\GnjPjfd.exe','');
QuarantineFile('C:\Windows\system32\regedit.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\GnjPjfd.exe');
DeleteFile('C:\Windows\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(16);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Это уже откладывается до понедельника.

Пофиксил в HiJack указанные ветки.
Под проблемной учеткой скрипт AVZ вылетает. В событиях пишет сбойный модуль ntdll.dll. Под админом - виснет.

Лог HiJack сделайте из разных учеток

Два лога: под админом и под юзером.

Скачайте OTM by OldTimer (http://oldtimer.geekstogo.com/OTM.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=21) и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\Windows\system32\regedit.exe
C:\Windows\system32\system32\GnjPjfd.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), прикрепите его к следующему сообщению.

Готово

Что сейчас с проблемой?

Всё то же самое. Ещё забыл упомянуть один момент: не запоминается разрешение экрана (под всеми учетками) и при загрузке всегда 640х480.

Создал новую учетку с обычными правами. При попытке входа в нее сначала выдает приветствие "Добро пожаловать", а затем через некоторое время "Завершение сеанса" с вываливанием в экран выбора пользователя.
Поменял на админские права. Получил те же глюки, что и в проблемном профиле, но regedit грузится.

Попробуйте проверить http://virusinfo.info/showthread.php?t=51777