alexsipa (Алексей) ,Алгоритм действий если есть проблемы с банерами.
Если баннер появился до загрузки рабочего стола, экран заблокирован.
1. Нажмите Ctrl+Shift+Esc и держите, пока не начнёт мигать диспетчер задач.
2. Не отпуская клавиш Ctrl+Shift+Esc, мышкой кликните на диспетчере задач "
Cнять задачу".
3. В диспетчере задач нажмите "новая задача" и введите "
regedit"
4. Перейдите в раздел HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows NT/CurrentVersion/Winlogon
5. Перейдите на правую панель редактора реестра и проверьте два параметра
- “
Shell”. Значением параметра Shell должно быть "
Explorer.exe" .
(если путь другой: например C
ocuments and SettingsAll UsersApplication Data
22СС6С32.exe,
то запомните или запишите его, это путь к вирусу его потом надо удалить)
- “
Userinit”. Параметр Userinit – "
C:\WINDOWS\system32\userinit.exe," (обязательно в конце запятая.
userinit.exe должен быть весит 26 кб)!
6. Если параметры “Shell” и “Userinit” в порядке, найдите раздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и разверните его.
Если в нем присутствует подраздел
explorer.exe, удалите его (Нажмите правой кнопкой мыши => Удалить).
7. Перезагрузите компьютер.
В случае неудачи проделайте этот способ в безопасном режиме.
Дополнительно
На диске открываем папку Documents and settings (если у нас зараженная - это XP) или Users (если зараженная - Vista). В открытой папке находим и заходим в папку нашего профиля(ее название совпадает с именем пользователя, под которым вы работаете в операционной системе), дальше открываем папку "Рабочий стол" ("Desktop") и удаляем из нее файл "test.exe".
После удаления опять возвращаемся обратно в корень нашего диска, ищем папку "Windows", переходим в "system32" и находим и удаляем файл "userinit.exe". Далее в этой же папке находим файл с названием "03014D3F.exe", его мы
не удаляем, а
переименовываем в "userinit.exe" и оставлояем в покое. Теперь нам осталось опять перейти в папку с профилями (Documents and settings (если XP) или Users (если Vista)) и войти в папку All Users. В ней находим и входим в каталог "Application Data" и в нем удаляем файл под названием "22CC6C32.exe".
Все. ФИЗИЧЕСКИ вирус мы удалили, осталось подчистить следы его пребывания в нашей многострадальной операционной системе.
После вылечивания от этого вируса, может оказаться, что зараженными оказались еще какие-нибудь системные файлы. Как правило, антивирус их удаляет или отправляет на карантин. Чтобы их восстановить, нажмит кнопку "Пуск"=>"Выпонить", наберите "sfc /scannow" и нажмите ОК. Если восстановить не удасться, не отчаивайтесь, пишите сюда в комментарии, какие системные файлы были заражены и удалены, я отошлю их чистые оригиналы.
Еще могут быть заражены следующие файлы
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\ dllcache\taskmgr.exe
C:\WINDOWS\system32\ dllcache\userinit.exe
После того как были удалены выше описанные файлы я скопировал с незараженной системы файлы taskmgr.exe и userinit.exe Всё заработало.
Кроме того эта хрень меняет taskmngr.exe (тот самый, что запускается по Ctrl+Ait+Del). Лечится так: ищем на компе taskmgr.exe (обычно в бэкапных/исходных папках есть) нормальный весит 136Кб, левый - 24Кб
