Итак, уважаемые, подбор кодов к блокировщикам, которые предлагают сайты ведущих антивирусных компаний (СПОСОБ №1) почему-то не сработал. И волшебная кнопочка F8 не помогает (СПОСОБ №2), так как этот сцуко блокировщик успешно запускается во всех безопасных режимах (так его растак).
Вот как раз на этот случай есть , как говорят, план Ы - СПОСОБ №3, позволяющий удалить большинство блокирующих троянов, причём ваша драгоценная ОС со всеми её особенностями (раскрасявными обоями с голыми тётками или пушистыми котятами) останется в том виде, в каком она была до того как подхватила троян (точнее вы её потравили этой скаченной заразой).
По сути своей способ №3 аналогичен способу №2, однако для физического доступа к системе используется загрузочный диск, вручную правится реестр и удаляются заражённые файлы. Ну, а теперь по порядку:
1) Загрузиться с загрузочного диска Live CD (такой есть, например, на ZVER DVD или на специализированной флешке типа МУЛЬТИБУТ);
2) После загрузки выбрать ПУСК->Программы->ERD Commander->Выбор директории. В открывшемся проводнике указываем папку WINDOWS заражённой системы. Далее ПУСК->Программы->ERD Commander->Восстановление Системы - возвращаем операционную систему на дату предшествующую запуску блокировщика. Можно не возвращать систему на прошлое число, а восстановить ключи реестра вручную:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
Shell должно быть Explorer.exe
Userinit должно быть C:\WINDOWS\system32\userinit.exe, (с запятой)
Если в указанных ветках прописаны другие пути - это пути к блокировщику. Идём по ним и удаляем эту гадость, после чего правим реестр.
Возможен случай, когда сам userinit.exe заражен. Так действует, например, троян 22CC6C32. Данный вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. В этом случае нужно в папке C:\WINDOWS\system32\ заменить userinit.exe на оригинальный, в реестре через поиск найти упоминание файла названием 22CC6C32.exe - удалить эти строки. Обычно этот троян сидит по указанному пути X:\Documents and Settings\All Users\Application Data - удаляем файл с названием 22CC6C32.exe.
3) Перезагружаем комп, получаем удовлетворение от загрузившегося любимого рабочего стола (тёток и/или котят).
P.S. Если вдруг блокировщик запустился вновь несмотря на вышеприведённые действия нужно вновь проверить и почистить ручками соответвтвующие ветки реестра, загрузившись с диска и зайдя в нужную ветку:
1. Проверяем значения параметров:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit => C:\Windows\system32\userinit.exe,
Shell => explorer.exe
2. Ищем подозрительные значения автозапуска:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
3. Ищем подозрительные значения автозапуска для каждого пользователя:
HKEY_USERS\<Значение>\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\<Значение>\Software\Microsoft\Windows\CurrentVersion\RunOnce
4. Проверяем подписи основных файлов Windows:
userinit.exe
explorer.exe
taskmgr.exe
...
| 
