Новый вирус???

[poctak]

Доброе время суток! Если кто знает, то подскажите, что делать, если произошла такая вещь:
Скачал с инета несколько небольших игрулек. Проверил их перед установкой на комп Вэбером. Вирусов там небыло. Установил. Поиграл. Выключил комп. Через несколько часов включаю, а там: "Компьютер заблокирован. Windows обнаружил на компьютере нелицензионное ПО. Введите код активации, указанный на коробке с Windows или приобретите новый." Ввожу код активации, указанный на коробке (Винда - чистая лицензия!!!) - пишет, что код неправильный. И самое интересное - варианты оплаты (желтая кнопка с ключиком.) "Вы можете приобрести код активации посредством webmoney или Yandex-деньги в автомате моментальной оплаты, а КОД АКТИВАЦИИ БУДЕТ НАПЕЧАТАН НА ЧЕКЕ!" указан е-кошелек, и инструкция, как закинуть на этот кошелек 200 рублей!
Пробовал грузиться с дисков, проверял на вирусы - ноль! В Documents and Settings появились новые папки - дупликаты имеющихся, только с такой фишкой - %имя папки%.NT.AUTHORITY. Их я удалил - безрезультатно. Так же появился новый файл возле boot.ini - autorun.inf - там прописана автозагрузка ctfmon.exe из папки recycle. Удалил. Сам boot.ini оказался модифицированным - после названия винды в кавычках было написано noexecute и еще что-то после знака =. Удалил. Перезагрузился - то же самое. Сделал fixmbr - нет эффекта.
Может кто-нибудь с таким сталкивался? Подскажите, как это устранить без форматирования. Мож есть такие файлы, которые описывают параметры загрузки системы или в реестре чего поменять.
Заранее благодарен.

[Skiminok06]

авторан и рециклед это вирусы. да и остальное думаю тоже самое. попробуй через безопастный режим рубануть все из автозагрузки, и из установка и удаление рубани проги которые незнаешь. может поможет.

[poctak]

В безопасный режим он не пускает. Даже после снесения старой винды и всех ее файлов (windows, document & settings) c удалением всех скрытых файлов на диске цэ. Не помогло Так же проверял Касперским, Вэбером, Авастом, Нодом32, адвейром - безрезультатно...

[Quatrix]

poctak, антивирем проверял, а антишпионами? Типа Ad-aware или Spy Emergency? Судя по всему - нет, а надо бы. И ещё один вопрос - а файрвол стоит у тебя какой-нибудь? И последний вопрос - а что за игры и откуда скачивал?

[sailorzz]

Слышал от знакомого о проблеме с постоянными запросами ввода кода активации после установки некоторых приложений.
Эта проблема лечилась элементарно - звонок в службу поддержки и активация винды))))

[Ратибор]

А откат системы не работает?Ведь помоему можно им выручить себя.
Хотя провериться Ad-aware или Spy Emergency как вам посоветовал Quatrix всё-таки стоит.Это ОЧЕНь похоже на вирус.Правда какой-то злостный.

[akom]

Конкретное разводилово

Цитата: Сообщение от poctak КОД АКТИВАЦИИ БУДЕТ НАПЕЧАТАН НА ЧЕКЕ!

Одно не понятно, как эта гадость после формата Це выжила?
Однозначно какой то троян, но он по любому должен где то в автозагрузке виндовса стоять, а там мест то всего ничего:рееестр две ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Надо просмотреть какие программы и службы там запускаются и удалить все лишнее
Удачи...

[golubev.nk]

Предлагаю такой вариант.
1)взять винчак и проверить его каспером или доктором вэбом
2)форматнуть диск где стояла винда,и поставить новую винду

[Eugenius_V]

Помимо всего прочего стоит прогнать антируткиты типа Sysinternals RootkitRevealer и Rootkit Unhooker.

Цитата: Сообщение от poctak Сам boot.ini оказался модифицированным - после названия винды в кавычках было написано noexecute и еще что-то после знака =

Часом не /noexecute=optin? Если да, то это нормально.

Далее. А какая, собственно, ОС? XP, Vista... Мало ли.

Прописываться в Recycle\ctfmon.exe и тому подобное очень любят трояны типа Trojan.Recycle, Trojan.Win32.VB.aqt и многие другие.

Вообще, лучше всего было бы спасти с диска все самое необходимое и переставить ОС с удалением и повторным созданием раздела.

[yellow_eye]

А это случаем не розыгрыш?
Если нет. то что отображается на экране при входе в безопасный режим

[Ayrel]

Цитата: Однозначно какой то троян, но он по любому должен где то в автозагрузке виндовса стоять, а там мест то всего ничего:рееестр две ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run Надо просмотреть какие программы и службы там запускаются и удалить все лишнее

У меня был случай когда в этик ключах небыло ничего лишнего но второй процес -ctfmon.exe откудато грузился. Просматривая автозагрузку через msconfig я увидел лишний ключик которого, через regedit, не видно. Пришлось удалить раздел RUN с его скрытыми ключами и заново создать с нужными ключами.

[poctak]

А вот обновил я Каспера и снес он этот троян\шпиЁн\not-a-virus!!!! Только после снесения этого вируса грузилась только мышь и картинка рабочего стола. Explorer.exe никак не вызывался. В проводник попадал только из диспетчера задач... Пришлось делать format c: и переставлять. Потом все пропало. АЛЕЛУЯ!

Цитата: Сообщение от yellow_eye А это случаем не розыгрыш? Если нет. то что отображается на экране при входе в безопасный режим

В безопасном режиме вылезало то же самое, что и обычном... Вот.
Мораль - Чаще надо антивирусник обновлять!
Спасибо за ДЕЛЬНЫЕ СОВЕТЫ, Ребята! ВСЕМ благодарен безмерно!