Лечение с помощью ERDCommander.

[Александр]

Альтернативный вышеприведенному способ устранения зловреда.

Внимание!!! Следует упомянуть, что в нашем случае Windows находилась на разделе С: У Вас же система может быть установлена в другом разделе!

Скрытый текст

1. Записать образ на диск, как это сделать можете узнать здесь
2. Загрузиться с ERDCommander.
3. Выбрать загружаемую системы. Их может быть несколько. Нажать ОК.
   
   
   
4. Запустить редактор реестра. Для этого нажать кнопку "Start"-"Administrative Tools"-"Registry Editor"
   
   
   
5. Щелкнуть по ветке реестра HKEY_LOCAL_MACHINE
   
6. После того как она развернется щелкнуть по ветке SOFTWARE
   
   
   
   После щелкнуть по Microsoft
   
   И так пока не пройдем весь путь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   
   Обратите внимание,внизу редактора реестра пишется весь путь
   
   
   
   У вас он должен быть My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   
7. Теперь смотрим в правую половинку окошка редактора реестра на значение Shell
   
   
   
   У меня оно равно C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
   Это ссылка на вирус. Ключ Shell необходимо исправить на Explorer.exe
   
8. Для этого правой кнопкой мышки щелкаем по значению Shell и в появившемся меню выбираем Modify (Изменить).
   
   
   
9. Вводим в появившееся окошко Explorer.exe и нажимаем кнопку ОК
   
   
   
   Должно получиться вот так
   
   
   
10. Закрываем редактор реестра (в правом верхнем углу крестик).
    
11. Теперь необходимо найти файл С:\Windows\System32\userinit.exe
    
    Для этого дважды щелкаем по Мой компьютер и в проводнике ищем этот файл
    
    
    
    После того как нашли-щелкаем по нему правой кнопкой и выбираем Удалить (Delete).
    
    
    
    
    В этой же папке ищем файл taskmgr.exe его тоже удаляем.
    
12. В этой же папке находим файл 03014D3F.exe правой кнопкой мышки по нему и выбираем Переименовать(Rename)
    и переименовываем его в userinit.exe
    
    
    
13. Находим файл C:\Documents and Settings\All Users\Application Data\22CC6C32.exe и удаляем его - это троян.
    
    В этой же папке возможно будет файл со странным названием и расширением .exe
    У меня например он называется vvvvv6666.exe (у вас может называться по другому..например yyyy21.exe или lvFPZ9jtDNX.exe и т.д. и т.п.) его тоже нужно удалить. Это вирус.
    
14. Закрываем Проводник.
    
15. Нажимаем кнопку Start-Log Off
    
    
    
    Далее Restart
    
    
    
16. 15)После вынимаем CD/DVD диск и нормально загружаемся. Система должна загрузиться без баннера.