[projectsoft]

Поймал мой друган недавно баннер.

Короче его действие:

• естественно блокировка всех окон (на нажатие "Закрыть", "Свернуть", "Развернуть" никаких реакций;
• Заблокирована клавиатура (получилось при загрузке на рабочий стол сразу уйти со стола Win+L) оказывается работает только цифровые клавиши и сё;
• Ну и естественно ни какого вам редактора реестра и Диспетчера задач
• Иконки стола за баннером не отвечают, с CD или DVD загрузки нет

А работать то хочется! Все данные только на этом жёстком, терять полный лом! Ну, конечно, можно установить Wind поверх основного - но это не решение.
Ночь я лазил по Инету в поисках информации по удалению такого рода банера привели к полному нулю. Да, сервис Касперского тоже ушёл в забытие при первом же посещении. Ну нету кода!
Ну, что ж, принимаюсь программировать и рисковать (слава богу у меня на риск нет планок ограничения).
Так вот, в чём заключается фишка:

1. Нужно скачать образ моего загрузочного диска
2. Рискуем флешкой. Нужно создать флешку с файловой системой CDFS. Слава богу информации в Инете по этому хватает с лихвой!
3. При создании флашки данного формата записываем образ на диск (в утилитах по созданию флешки есть опция выбора образа диска)

Я заметил, что при банере нет возможности автозапуска с CD, но при включении в USB модема (Мегафон) автозапуск сработал! Этого мне и хватило для написания программы!
Я не буду описывать что делает программа (это абсолютно не важно), описываю работу по удалению:

1. Нормально загружаемся и ждём полной загрузки рабочего стола с банером
2. Втыкаем в USB флешку и ждём окончания работы автозагрузки. Сначала появится окно и моментально всё исчезнет с рабочего стола вместе с Explorerom? а потом появится окно программы с тремя кнопками.
3. Первая кнопка - снимет ограничения на редактирование реестра и запуск Диспетчера задач
4. Вторая кнопка запускает Редактор реестра
5. Третья кнопка запускает Диспетчер задач
6. Нажимаем первую кнопку (Снимаем ограничения)
7. Нажимаем вторую кнопку (запускаем редактор реестра) и лазеем по ключам автозапуска в поисках программ которые стоят на автозагрузке.

Ключи в реестре которые надо просмотреть:

1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
5. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
6. HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
7. HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce
8. И самое главное HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

В последнем ключе надо посмотреть параметр "Shell" там должно быть написано только "Explorer.exe" и ни каких больше там записей не должно быть, в нашем случае там был записан путь на запуск определённого файла. Запись была вот такого типа:
"Explorer.exe, C:\Program Files\Common Files\Microsoft.NET\internat.exe" Вот вам и запуск банера!

Если кому помогла данная информация - пожалуйста отпишитесь.