Этот пост меня все таки побудил написать очередной заблокированный компьютер троянской гадостью.
Буду краток, поэтому сразу говорю, что нам понадобится загрузочный Live CD диск с находящемся на нем программой редактора реестра RegeditPE. Скачать этот диск K-Systems 9.05.1 можно по адресу : http://rutracker.org/forum/viewtopic.php?t=1880492
Скачать советую, потому что можно править реестр как в XP, так и в Vista, Windows 7. Помимо этого можно с него установить автоматом драйвера на Windows XP даже на «серые» ноутбуки, находит практически все оборудование. К тому же в загрузчик включен Hirens BootCD для работы из под DOS.
Итак скачиваем программу, жгем на болванку DVD и радуемся, ибо этот диск вас неоднократно впоследствии выручит!
Теперь процесс разблокировки компьютера.
Запустили DVD (в БИОС выставьте приоритет CD-ROM, чтобы загрузка начиналась с него), выбрали 1 пункт: Загрузка Windows PE. В процессе загрузки появится окно, в котором отобразится найденная операционная система, жмем ОК, загрузка продолжится. После того, как появится рабочий стол заходим в ПУСК — Все программы — Стандартные — Редактор реестра RegeditPE. В процессе загрузки жмем на ОК (по умолчанию) и откроется реестр не текущей загруженной системы, а реестр Windows, который заблокирован.
Теперь самое ответственное. ВНИМАТЕЛЬНО находим ветку реестра: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
в ней находим Shell с параметром explorer.exe
В зараженном компьютере вместо explorer.exe будет находиться путь к файлу трояну.
(на всякий случай запишите на листок название файла и путь, где он находится)
Двойной клин по Shell для редактирования, удаляем все и прописываем explorer.exe
Затем смотрим параметр Userinit (находится чуть ниже Shell) : все, что находится после C:Windowssystem32userinit.exe, (запятую не удалять!) безжалостно чистим!
(на всякий случай запишите на листок название файлов, их может быть не один и не два! и путь, где они находится для дальнейшего удаления в Total Commandere).
Закрываем реестр, соглашаемся с сообщением программы.
Открываем Total Commander, жмем вверху программы Вид-Расширенные настройки-Показывать скрытыесистемные файлы(вклвыкл) Включаем отображение файлов.
Заходим по пути:
c:Usersваша учетная записьAppDataLocalTemp (Windows 7) или
c:Documents and Settingsваша учетная записьAppication DataLocal SettingTemp (Windows XP)
c:Usersваша учетная записьAppDataLocalMicrosoftWindowsTemporary Internet Files (Windows 7) или
c:Documents and Settingsваша учетная записьAppication DataLocal SettingTemporary Internet Files (Windows XP)
Можете почистить также все временные папки, кукисы и файлы Prefetch:
c:Usersваша учетная записьAppDataRoamingMicrosoftWindowsCookies
c:WindowsPrefetch
c:WindowsTemp
Если используете браузер Opera, то чистим по пути:
c:UsersАдминистраторAppDataLocalOperaOperacachesesn
c:UsersАдминистраторAppDataLocalOperaOperacacherevocationsesn
Совет на будущее: поставьте галочки в настройках Opera (Ctrl+F12) историю и кукисы очищить при выходе.
Итак, все удаляем оттуда! (открыли каталог, жмем *(выделить всё) и DELETE).
Все! Ваш компьютер разблокирован!
На всякий случай скачайте с сайта бесплатную утилиту и проверьте диск, на котором находится операционная система: http://www.freedrweb.com/download+cureit/
Эти трояны встречаются в 90% случаев заражения системы, поэтому по своему опыту знаю, что очистка занимает 10-15 мин (из них большая часть времени уходит за загрузку Windows Live CD))).
На антивирусы грешить не стоит, ибо ни один антивирус на такой самопальный троян мальчика Васи из соседнего подъезда не сработает. Ни в коем случае не отправляйте СМС, потратьте 15 минут и сэкономьте 500-1000 руб вашего бюджета!