[icotonev]

http://forum.oszone.net/thread-148188.html

[Drongo]

mmn1980, Проверьте эти ключи реестра.

1. Нам нужен любой загрузчик с возможностью правки удаленного реестра (BartPe, liveCD......)
2. Запустите regedit и выделите раздел HKEY_USERS.
3. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
4. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
5. Введите имя для раздела, который вы загрузили, например, MyHive.
В MyHive ищем

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.
Правильное значения для Userinit это

Код:

C:\WINDOWS\system32\userinit.exe,

Если отличается - также исправить, запятую после строки писать обязательно.

А также посмотри и напиши значение ключей Userinit и AppInit_DLLs. Последний параметр находится тут:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

[mmn1980]

Спасибо за ответы
По порядку своих движений:
1 Взял LiveCD. У меня Alkid LiveCd от 21.12.09
2 Нажал Win + К - ввел Regedit
3 Мышкой стал на HKEY_USERS. Дальше File загрузить куст, Мой компьютер, диск С, папка Windows, System32, папка Config - выделяю файл Software без разширения, нажимаю открыть, ввожу имя DRIVE.
4 Загрузились у меня папки как я понял от программ которые я устанавливал. Я иду в папку Microsoft\Windows NT\CurrentVersion\Winlogon. В шеле стоит Explorer.exe. Строка Userinit совпадает полностью, запятая присутствует.
Значение ключей Userinit и AppInit_DLLs:
AppInit_DLLs - пусто, ничего не написано.
Userinit - значение С:\WINDOWS\System32\userinit.exe,
В итоге - все прописано как должно быть а после загрузки рабочего стола все равно эта гадость выскакивает.

Можно где то в реестре найти ветку которая отвечает за автозапуск программ кторые загружаются ПОСЛЕ загрузки рабочего стола и трея. У меня же комп нормально прогружается, вижу рабочий стол, иконки, трей загружается, антивирус грузится - после всего этого все с рабочего стола исчезает и появляетя окошко вымогатель.

[ispolin]

mmn1980,
у алкида на диске есть erd commander
вот через него заходите в реестр заражённой машины
походу вы смотрели реестр диска

[mmn1980]

Запустил я erd commander registry editor
Открыл ветку HKEY_USERS
Сразу же увидел название пользователя Виталий - такое имя у компа.
Зашел в Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
В опции Shell был прописан explorer.exe, с:\ а дальше какая то лабуда была прописана которая ссылалась на корзину. Я до запятой все удалил.
Перезагрузил комп - все равно выскакивает вымогатель.
Зашел в Software \ Microsoft \ Windows NT \ CurrentVersion \ в разделах Run и RunoNCE у меня пусто.

[thyrex]

erdregedit (из ERD Commander) позволяет работать с реестром зараженной системы без загрузки куста.

Проверьте в этой ветке

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр shell

[ispolin]

mmn1980,
ну а в параметре?

Цитата Drongo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows »

Цитата Drongo:

AppInit_DLLs »

с алкида запустите тотал командер
на диске С
c:\Documents and Settings\ВАШ ПРОФИЛЬ\Local Settings\

вычистите полностью папки Temp, Temporary Internet Files, можно до кучи и Cookies

зайдите в папку system32, отсортируйте файлы по дате создания, самые свежие переименуйте расширение (можно тупо последнюю букву расширения заменить еденицей, только запомните что и как переименовывали), попробуйте загрузиться

thyrex
он же написал

Цитата:

Зашел в Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon В опции Shell был прописан explorer.exe, с:\ а дальше какая то лабуда была прописана которая ссылалась на корзину. Я до запятой все удалил.

[thyrex]

ispolin, он же написал

Цитата mmn1980:

Открыл ветку HKEY_USERS »

А я просил

Цитата thyrex:

HKEY_LOCAL_MACHINE »

Разницу увидели с учетом

Цитата thyrex:

erdregedit (из ERD Commander) позволяет работать с реестром зараженной системы без загрузки куста. »

?

[ispolin]

thyrex,
упс..сорри
устраняюсь
не буду мешать опытному хелперу