Подключаем к компьютеру флешку, на которой установлен Alkid Live CD. Файлы и инструкцию для создания загрузочной флешки с Alkid Live CD можно скачать на одном из торрентов. Можно использовать и другой загрузочный компакт-диск или флешку, на которой есть утилита для редактирования удаленного реестра. Я использовал Alkid Live CD by AlkidZ (Alkid Live CD USB Full 2010-08-28). Флешка удобнее, потому что не на каждом компьютере сейчас есть привод DVD или компакт-диск может не читаться. Alkid Live CD имеет менеджер FAR, которым удобно просматривать и удалять временные файлы и папки. После загрузки Alkid Live CD идем Пуск - Программы - Администрирование - Редактор реестра. Если Windows 7, надо сначала выбрать диск, на котором установлена система, указать папку с системой, потом выбрать пользователя. В редакторе реестра ищем как обычно
раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Находим два параметра, которые должны иметь такие значения: Shell = Explorer.exe Userinit = C:\WINDOWS\system32\userinit.exe,
У меня параметр Userinit имел вид C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\usrinit.exe т.е. добавлен запуск программы usrinit.exe (пропущена буква е, т.е. рассчитано на невнимательность пользователя). справил (т.е. укоротил) эту строку до нормального вида. Запустил FAR, чтобы найти и удалить usrinit.exe, но в указанном каталоге ее не оказалось. Видимо, она записывается туда при запуске Windows. Так что радоваться было рано. Кроме того, Windows 7 не разрешает просмотр каталога Documents and Settings - пишет Файл не найден. Теперь надо проверить компьютер на вирусы. Для этого загрузился с флешки с Kaspersky Rescue Disk 10. Как создать такую флешку, подробно описано http://support.kaspersky.ru/faq/?qid=208642325
Загрузил Касперского с флешки, выбрал графический режим для проверки, но при загрузке Linux выдал ... kernel panic... Скорее всего были какие-то проблемы с видеокартой, но делать нечего, значит придется проверять в текстовом режиме. Качество проверки не пострадает, просто этот режим не очень удобен и нагляден. После загрузки в текстовом режиме на экране две панели. В левой панели видим меню (в графическом режиме - в новом окне), где можно выбрать например проверку диска С или D. Но перед началом проверки всегда полезно обновить антивирусные базы. Такой пункт в этом меню есть. Чтобы базы смогли обновиться, сначала нужно настроить сеть. Я использую ADSL модем, который настроен в режиме Routing. Логин и пароль ADSL соединения прописаны в модеме и включен DHCP сервер, поэтому настройка сети проходит без проблем. На вопросы нажимаем несколько раз Ok и сеть настроена. Теперь выбираем пункт Обновление и ждем пока скачаются и обновятся файлы антивирусных баз. Наконец получаем сообщение Updater completed и снова на экране две панели. Для сокращения времени проверки перед ее началом нужно удалить временные файлы и папки.
С помощью двух панелей Midnight Сommander это делается легко и просто. Нажимаем Tab, переходим на правую панель, выбираем диск С и открываем его. Идем в папку Documents and Settings - теперь она без проблем открывается, ищем папку пользователя, а в ней открываем папку Local Settings. В этой папке очищаем папки Temp и Temporary Internet Files ( но сами папки не удаляйте). Очищаем папку Temp в каталоге Windows. Также ищем и очищаем кэши браузеров - Opera, Firefox и т.д. В папках браузеров ищем папки Default, а в них папки Cache и очищаем их. В моем случае в папке temporary_downloads браузера Opera среди других файлов был файл xxxvideos.exe. Удалил его и другие файлы в этой папке.
Если не планируете воспользоваться корзиной или точками восстановления, советую сразу удалить папку RECYCLER и папки restore_... в System Volume Information. В них бывает много зараженных файлов, это заметно сократит общее время проверки на вирусы.
Запускаем проверку диска С. На черном экране в нижней строке бегут имена проверяемых файлов, в первой позиции строки указан процент проверки. По очереди проверяем все диски. Если найден вирус, программа выдает запрос и рекомендуемое действие - удалить, лечить и т.д. Нажимаем нужную букву. В моем случае проверка дисков ничего не дала. Наверное, вирус сидел во временных файлах, которые были удалены перед проверкой. После проверки всех дисков выключаем компьютер и отключаем флешку. И вот настал решающий момент - включить и проверить, что в результате получилось. Если баннер не появляется и компьютер нормально загрузился, чистим его утилитой Ccleaner, обновляем антивирус и еще раз проводим полную проверку компьютера. Для этого можно использовать свежескачанную бесплатную утилиту Kaspersky Virus Removal Tool.
Если с записями в реестре все нормально и другие меры не дали результатов, напоследок можно попробовать замену системных файлов. В Windows 7 могут быть подменены зараженными следующие файлы : userinit.exe C:\WINDOWS\system32\ explorer.exe C:\WINDOWS\ taskmgr.exe C:\WINDOWS\system32\ ( http://antivir.h18.ru/metodika/0030.html ) Оригинальные системные файлы полезно записать заранее на флешку и потом скопировать поверх имеющихся в указанные папки.
P.S. Если Kaspersky Rescue Disk 10 удачно загрузился в графическом режиме, проверить и отредактировать реестр можно встроенной утилитой Kaspersky Registry Editor. Kaspersky Rescue Disk 10 на сайте Касперского обновляется раз в неделю, обычно по воскресеньям. В понедельник скачиваю обновленный образ kav_rescue_10.iso и перезаписываю флешку утилитой rescue2usb.exe.
Если не хотите заморачиваться, скачайте с торрент-трекера nnm-club.ru и создайте загрузочную флешку 2k10 v.2.5.4 Автор сборки собрал необходимые утилиты для удаления баннеров, с ее помощью вы быстро и качественно почти в автоматическом режиме удалите окно, блокирующее Windows. В описании торрента есть подробная инструкция, в каком порядке и как применять эти утилиты. Эта флешка будет полезна и во многих других случаях для восстановления упавшей системы. Автору conty9 респект и уважуха!
