Как я боролся с вирусом, другим на заметку!

[Ник]

Как я боролся с вирусом!
Вирус заблокировал компьютер, появилось окно, которое приблизительно гласило:
"Ваш компьютер заблокирован за копирование и распространение запрещенной
видеопродукции (статья УК такая-то), если вы не хотите, чтобы в течении 12 часов
все данные с вашего компьютера были удалены, заплатите 400 руб. по такому-то
телефону МТС."
Телефоны при каждой перезагрузке менялись и были такие:
1. 8-911-757-18-97
2. 8-911-728-19-95
3. 8-911-273-64-38
4. 8-911-757-25-04
5. 8-911-728-24-49
Кстати, телефоны менялись, если, как некоторые советуют, нажимать одновременно
клавиши Ctrl+Shift+Esc или Ctrl+Alt+Del, для того, чтобы войти в Диспетчер задач
и попытаться отключить выполняемую вирусом задачу. Но это не помогало, т.к.
окно Диспетчера задач не появлялось.
На одном из сайтов я нашел информацию, что такие вирусы (запускающая программа
вируса) обычно прописываются в папке: C:\Documents and Settings\All Users\
Application Data\ у меня был 22СС6С32.exe, могут быть и другие с характерным
цветным значком.
Удалив этот файл, соответственно загрузившись с другой ОС, ситуация при загрузке
практически не поменялась, только исчезла долбанная картинка. Но ОС не загружалась.
Тогда, почитав и собрав информацию о таких проблемах в интернете, я нашел, что
нужно сделать.
Первое, что было сделано, это удалены файлы taskmgr и userinit из папки
C:\WINDOWS\system32. Затем из скрытой папки C:\WINDOWS\system32\dllcache
эти же файлы нужно скопировать в папку C:\WINDOWS\system32.
Не знаю как вы, но я всегда стараюсь создавать точку восстановления системы
перед тем как заходить на подозрительные сайты. У меня старенький компьютер
и стоит ОС - Windows XP Professional 2002 SP2.
Для корректировки реестра незагружаемой ОС нужна будет хорошая программа
ERD Commander версия 5.0, которую можно найти в интернете и записать образ
на диск, с которого нужно загружаться. Запустив программу ERD Commander
и найдя инструмент редактор реестра, нужно проверить следующие путь и
параметры:
путь - HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/
Winlogon
параметры - Shell и Userinit, значения их должны быть такими:
1. Shell - Explorer.exe
2. Userinit - C:\WINDOWS\system32\userinit.exe,
Обязательно после userinit.exe должна стоять запитая.
Если значения этих параметров другие их нужно исправить.
После этого я загрузился в безопасном режиме и восстановил систему по
сохраненной ранее точке восстановления.
Конечно, после того как система заработала, желательно проверить её ещё и
антивирусом, вдруг какие-то зловредные и ненужные файлы где-то сохранились.
Пока собирал и изучал информацию прошло, правда, 2 дня. Буду рад, если
мой опыт кому-нибудь поможет сохранить время и нервы. Удачи и успехов!