Баннер заблокировал доступ к рабочему столу

[COLOR="#000000"]Баннер, блокирующий доступ к рабочему столу компьютера на сегодняшний день уже классика. Нашими специалистами разработан алгоритм действий, следуя которому Вам помогут избавиться от баннера и восстановить работоспособность компьютера.[/COLOR]

[CENTER]Пример баннера:
[IMG]http://www.mediafire.com/convkey/9cc0/bss6yswo6c4be0c6g.jpg[/IMG][/CENTER]

[COLOR="#000000"][NOTICE][COLOR="#000000"]Если ваша проблема - зашифрованные файлы, инструкции в этой теме Вам [B]не помогут[/B], советуем обратиться в [URL="http://virusinfo.info/showthread.php?t=120806"]соседнюю тему[/URL] и поискать соответствующий код.[/COLOR][/NOTICE]

[CENTER][IMG]http://www.mediafire.com/convkey/f6fc/imwa2v75bckb85z6g.jpg[/IMG][/CENTER]

Итак, что необходимо сделать:[/COLOR]

[COLOR="#800080"][B]В первую очередь, не спешите перечислять деньги на счет мошенника.[/B][/COLOR]

[table="width: 500 class: outer_border"]
[tr]
[td][b][color="Red"]I этап[/color][/b] (выполняется на [b]не зараженном[/b] компьютере)

[B]1.[/B] Скачайте на компьютере, [b]с которого сейчас пишете[/b], образ [url="http://support.kaspersky.ru/faq/?qid=208638415"]Kaspersky Rescue Disk[/url] (около 260 Мбайт)
[B]2.[/B] Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

[b][color="Red"]II этап[/color][/b] (выполняется на [b]заблокированном[/b] компьютере)

[B]1.[/B] Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
[B]2.[/B] Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите [b]1[/b], чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
[B]3.[/B] Запустите [b]Kaspersky Registry Editor[/b]
[B]4.[/B] Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), [b]если у Вас их несколько[/b]
– посмотрите в реестре:
[b]ветка[/B] [color="Red"]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/color]
[b]параметр[/b] [color="Blue"]userinit[/color]
[b]параметр[/b] [color="Blue"]shell[/color]

[B]Значения этих параметров скопируйте.[/B]

Также с помощью этого диска сделайте экспорт веток реестра [B]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run[/B] и [B]HKEY_USERS\[COLOR="#0000FF"]<Имя проблемной учетки>[/COLOR]\Software\Microsoft\Windows\CurrentVersion\Run[/B]

[B] в отдельные файлы, заархивируйте их при помощи ZIP, RAR или 7-ZIP архиватора.[/B][/td]
[/tr]
[/table]

[CENTER][IMG]http://www.mediafire.com/convkey/f6fc/imwa2v75bckb85z6g.jpg[/IMG][/CENTER]

[COLOR="#000000"][/COLOR][COLOR="#000000"]Далее необходимо [URL="http://virusinfo.info/showthread.php?t=121951"]создать заявку[/URL] в нашем разделе "[URL="http://virusinfo.info/forumdisplay.php?f=46"]Помогите![/URL]". В заголовке темы коротко опишите суть проблемы, например: "[I]Заблокирован рабочий стол: баннер с номером 9051234567[/I]".

В Ваше сообщение поместите значения параметров [B]userinit[/B] и [B]shell[/B] (их Вы должны были сохранить, как требовалось выше. Если этот этап был пропущен или Вы утеряли данные, повторите действия заново).

В качестве файлов-вложений прикрепите [B]архив с экспортированными ветвями реестра[/B], не будет лишней фотография экрана с баннером или скриншот.

Если Вы выполнили все действия правильно, в скором времени Ваш компьютер будет восстановлен.[/COLOR]

[COLOR="#A9A9A9"][I]Команда Virusinfo.[/I][/COLOR]


[B][COLOR="#336666"]Полезные ресурсы по теме:[/COLOR][/B] [URL="http://sms.kaspersky.ru/"]Kaspersky Deblocker[/URL] | [URL="http://virusinfo.info/deblocker/"]Virusinfo Deblocker[/URL]

Не, если есть доступ к реестру, то это халява. Этот Kaspersky Registry Editor как-то ещё можно запустить (есть вторая винда на том же диске)? Сидюк - это сложно, а с флешки что-то не грузится: пускает в груб, а грузить ядро руками я не умею :O

[quote="maXmo;1008585"]Сидюк - это сложно[/quote]
И не говорите, всё время забываю, какой стороной класть компакт-диск в проигрыватель.

Да не, просто технология своё отжила. Если хочешь CDRW - это ими надо как-то специально запасаться непонятно зачем. Разумеется, никто этим не занимается. Как правило, флешка более доступна.

Дырвебовский liveusb пашет, но лечение реестра валится на проверке lsp :focus: а редактора там что-то не видно. Вот думаю, если они записались на одну флешку, можно ли касперский редактор запустить под дырвебовским линухом.

Кстати, ещё один вариант лечения, который должен пройти под любым линухом - это скопировать бекап реестра из RegBack.

[quote="maXmo;1008633"]Кстати, ещё один вариант лечения, который должен пройти под любым линухом - это скопировать бекап реестра из RegBack.[/quote]
Если Вы напишете инструкцию, доступную большинству пользователей ПК, это будет замечательно.

[quote="maXmo;1008633"]Дырвебовский liveusb пашет, но лечение реестра валится на проверке lsp а редактора там что-то не видно.[/quote]
У вэба есть миднайт коммандер... Доступен из графического режима (утилиты - файловый менеджер или иконкой на Р/С) и из текстового набором mc в консоли.
А смысл такой... Реестр Виндовса автоматически монтируется в файловую систему при старте доктора Вэба. Поэтому, если вы запустите mc и перейдете в корень диска, среди папок bin, etc, home и пр., вы увидите каталог reg. Это и есть тот самый подмонтированный реестр.
С самим реестром можно работать как с обычными файлами (редактировать, удалять и т.п.). Может показаться непривычным, но работает! На моё ИМХО, этого вполне достаточно :)

Плюсом к этому, у Вэба, если не ошибаюсь - в расширенном режиме, есть утилита "лечение реестра".
Она проверяет:
- модификацию файла hosts
- наличие отладчиков
- подмену диспетчера задач
- политики
- запуск сеанса пользователя
- настройки проводника и прочее-прочее-прочее :)

=========
На счет редактора от Каспера - не смотрел пока, что за зверь, знаю, что он есть. Пользоваться не доводилось...

P.S. А можно ещё пояснить вот это?
[QUOTE]с флешки что-то не грузится: пускает в груб, а грузить ядро руками я не умею[/QUOTE]

Заразился одним из этих банеров, win + D, и утилита от dr.Web помогла, но вирус изменил настройки Локальной груповой политики, а имено:
1) Редактор реестра - исправлено
2) Диспетчер задач - исправлено
[U]3) выключение\перезагрузка[/U] (делаю через CMD)
При нажатии alt+ F4 пишет операция отменена вследствие действующих для компьютера ограничений обратитесь к администратору сети.

отправляю Вам лог отсканированый програмой МВАМ как вы и просили

уже разблокировал,но пока не знаю с помощью какой программы

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

пока нормально

ШИФРОВАЛЬЩИК XTBL ПЕРЕИМЕНОВАЛ ФОТО И МУЗЫКУ. НА РАБОЧЕМ СТОЛЕ ПОЯВИЛИСЬ ФАЙЛЫ README.TXT С ТЕКСТОМ

[B]Ваши файлы были зашифрованы.[/B][B]Чтобы расшифровать их, Вам необходимо отправить код:[/B]
[B]DF4FD44D54A5C8C929D3|203|2|15[/B]
[B]на электронный адрес [EMAIL="[email protected]"][email protected][/EMAIL] или [EMAIL="[email protected]"][email protected][/EMAIL] .[/B]
[B]Далее вы получите все необходимые инструкции. [/B]
[B]Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.[/B]

ПОМОГИТЕ ПОЖАЛУЙСТА!!!!!!!!!!!!!!

[URL]http://rghost.ru/8npTc9kCY[/URL]

[b]Никита Соловьев[/b], Никита Добрый день! Я создал сегодня запрос согласно правил но до сих пор нет ни какого ответа
Тема называлась """При включенном Касперском........"
Хотел бы узнать им будут заниматься или из-за того что я написал что скаченный Dr Web нашел и убил троян и все ВРОДЕ работает -значит проблемой заниматься не будут

Рассчитываю на ответ
С Уважением Павел

[b]ПавелЮ[/b], Добрый день, преимущество быстрого ответа доступно только в рамках "Помогите +".