На днях принесли ноутбук, на котором при загрузке Windows на рабочем столе красовался баннер, который полностью блокировал любую работу. Причем вызов диспетчера задач также был невозможен, загрузка в режиме защиты от сбоев также ничего на дала, баннер как и прежде красовался на экране. Можно было загрузиться с лив-сиди и все полечить, но под рукой не оказалось именно в этот момент. Думаю, такие ситуации у многих вполне реальны. И единственный вариант, который позволил сделать шаг вправо и влево — загрузка с поддержкой командной строки. Если кто-то еще не знает что это и как — разъясняю:
1) Перед загрузкой Windows (в нашем случае была win7) жмем клавишу F8, что позволит нам увидеть список вариантов загрузки и выбрать подходящий
2) Выбрать тот, что с поддержкой командной строки и загрузиться в нем
3) в командной строке уже можно просто убить сам «вредоносный» файл, но мы пока точно не уверены где он и как зовется.
В моем случае он располагался в глубинах Documents & Setting (к сожалению полный путь уже не помню, ибо лечил несколько дней назад). Найти его было делом техники, запустив редактор реестра (REGEDIT.EXE) прошелся по веткам из которых происходит автозагрузка и не обнаружил там ничего критического (в нашем случае и так ясно что баннер загружается ДО автозагразки программ). Но есть хорошая ветка в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
или же
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в них смотрим параметр Shell и если он как то отличается от Explorer.exe то это как раз тот самый баннер
еще стоит проверить параметр Userinit и если он также отличен от C:\WINDOWS\system32\userinit.exe
то также смотрим его значение и указанный в этих параметрах файл убиваем, а данные ключи реестра приводим в первоначальный вид (те значения что я написал выше жирным красным)
В моем случае файл баннера назывался FLASH_PLAYER.EXE, вероятно он маскировался под обычный флеш-плеер, тем самым пользователь позволил ему загрузить себя на компьютер и заблокировал систему.
Также встречал вариант в сети с файлом c:\Documents and Settings\ваша учетная запись\wlock\wlock.exe
Вот таким образом я убил баннер который требовал пополнить счет какого то мобильного телефона аж на 400 рублей.
Будьте бдительны и НИКОГДА не отправляйте СМС которые просят баннеры и не пополняйте их счета ибо это также вам может не помочь.
Удачи в борьбе с жуками 
Популярность: 5% [?]
марта 27, 2011 at 5:09
Интересная информация. Прибил много баннеров, в последнее время встречаются экземпляры блокирующие безопасный режим в любом его виде, изменяющие политики безопасности. Антивирусы на них не как не риагируют, все приходиться делать ручками. С этой напастью надо бороться, просвещать людей в этом вопросе. За статью спасибо!