Поймал тут гадость одну, даже не вирусняк, баловство, после запуска обрезает все права пользователю нафиг, прописывается в автозагрузку и ребутит машину.
После чего начинает в экране приветствие Выводить окошоко, с требованием заслать денег на указаный счёт)))
Пока в окошке кпонку ОК не нажмёшь, дальше загрузка не пойдёт.

Так вот, всё это я вычистил, никаких проблем. Осталось только это окошко, которое денег требует=)))
Кто знает, где оно в реестре прописывается, чтоб выводилось в приветствие? В стандартных местах не нашёл :(

__________________
RTFM

Neo - в каких именно стандартных местах ты проверял? msconfig смотрел? Список сервисов проверял? Не исключено так же, что вирус подменил тебе что нибудь из системных файлов, какой нить winlogon, к примеру...

Какой именно вирус, поищи инфу о нем в инете, может найдешь что нибудь...

Alexvn

ЭТО - не вирусняк, его ни один антвир не определяет таковым.
По сути, это программа, которая экспортит ключи в реестр, обрезая права пользователя по ноль.
Она прописывает ключи запретов в:
H_C_S\Software\Microsoft\Windows\CurrentVersion\Policies
H_L_M\SOFTWARE\Microsoft\Windows\CurrentVersion\policies

Прописывая туда все возможнные запреты(Выключение Диспетчера, доступа до панели управления, доступа до выполнить, доступа до регедит, доступа до мсконфиг, доступа до свойств експлорера и.т.п.).
После чего прописывает себя в автозагрузку, и выполняет shutdown -r -t 30

Все эти действия он выполняет для всех пользователей в системе.
По причине малого веса(60кб), не думаю что он заменяет какой либо из системных файлов(ака винлогон и.т.п.).
В Мсконфиге его нету, в сервисах тоже, в
H_L_M\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
H_C_S\Software\Microsoft\Windows\CurrentVersion\Run
Тоже пусто.

Можно найти по поиску по дате (чуть раньше того, когда случилось) (в WINNT (WINDOWS), /SYSTEM32, DOcuments and settings и тп.) и удалить в safe mode или на другой машине, а взамен созтать файлы с теми же именами, но с атрибутом "read only".