[Pili]

Цитата Котяра:

По первому посту - проблема в XP »

Я знаю. На оба случая рекомендации были, в висте adware, мелочь.

Цитата Котяра:

А за что эта ветка реестра отвечает? »

За enable/disable Software Restriction Policies
How Software Restriction Policies Work

[Hromius]

Загрузиться с Live CD.Удалить файл c:\documents and Settings\All Users\Application Data\ были обнаружен файл bloker.exe
После его изоляции, в систему войти и провести полную зачистку антивирусом. Удалить в реестре ссылки на этот файл , в частности HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

[thyrex]

Hromius, не факт, что все такие файлы-блокираторы имеют такое имя и (или) располагаются по такому пути пути

[Hromius]

thyrex, согласен. Но я не раз с ним сталкивался, в большинстве случаев именно там лежит. Имя может быть видоизменено, но левый *.exe файл в данной директории вычислить не так и трудно.

[Котяра]

Hromius, еще есть C:\windows\system32\drivers\winlogon.exe, C:\windows\system32\drivers\svchost.exe (не путать с настоящими в SYSTEM32), часто имеют иконку как настоящего winlogon, с изображением "месяца за окном". Правда, оные требуют ЯндексДенег. А вот SMS блокиратор зачастую называется svhgost.exe (чуточку похоже на svchost) и в 99% имеет автозапуск под названием ekzabc

[Hromius]

Котяра, о, спасибо. Этого не знал!

[Котяра]

Hromius, еще оные drivers\svchost, drivers\winlogon прописываются в Shell, засчет чего и запускаются.
А насчет bloker.exe - я сейчас нашел источник вируса, блокирующего ПК. Это сайты с порноинформером. На некоторых из них вместо установщика информера установщик blocker-а. Правда, в отличие от порноинформера, эта зараза детектится Касперским. Кстати, в условиях пользования естественно только про информер - про этот вирус ничего нет. А вот и картинки http://ilzarka.habrahabr.ru/blog/56869/
На моей виртуальной Virtual PC он прописался как don1.tmp в Userinit после оригинал
Будьте осторожны!

[garik404]

Обнаружил в "Documents and Settings" в папке пользователя два файла "e.xe" и "load(1)".exe.
После их удаления стал загружаться рабочий стол без иконок и без допуска в "пуск".
Видимо я что-то удалил когда пользовался AVZ и др.программами проверки и чистки.
Переустановил "Win XP" и тут же создал архивную копию чтобы больше на это не попадаться.
При просмотре указанных файлов идет ссылка на файлы *.dll в Windows\system32\.

[Котяра]

garik404, у Вас просто

Цитата garik404:

в папке пользователя два файла "e.xe" и "load(1)".exe. »

были зарегистрированы вместо userinit.exe или explorer.exe

[Pili]

garik404, в вирлаб файлы отправили? Если проблемы ещё остались, логи сделайте.