Как избавиться от вируса-блокировщика Windows или SMS-блокера или SMS-locker-а Trojan.Winlock.3266 (Номер "попрошайки" 8-911-726-15-07 89117261507 8(911)7261507 8(911)726-15-07) Актуально для 8-911-757-25-04 89117572504 8(911)757-25-04 8(911)7572504 и дригих 8(911)

Уже не первый раз борюсь с вирусами разблокировщиками, на этот раз мне попался Trojan.Winlock.3266.

Симптомы.
Вирус проявляет себя ПОСЛЕ входа пользователя в систему. Человек набирает логин и пароль для входа в Windows  и через непродолжительное время получает следующую "картинку"

Текст, в зависимости от номера телефона, незначительно меняется, но это, в общем-то, не суть важно. 
Во всех стандартых образцах
"Ваш компьютер заблокирован за просмотр, копирование и
тиражирование видеоматериалов содержащих элементы педофилии
и насилия над детьми. Для снятия блокировки Вам необходимо
оплатить штраф в размере 400 рублей на номер телефона MTC
89112962428 . В случае оплаты суммы равной штрафу либо
превышающей ее на фискальном чеке терминала будет напечатан
код разблокировки. Его нужно ввести в поле в нижней части окна и
нажать кнопку «Разблокировать». После снятия блокировки Вы
должны удалить все материалы содержащие элементы насилия и
педофилии. Если в течение 12 часов штраф не будет оплачен, все
данные на Вашем персональном компьютере будут безвозвратно
удалены, а дело будет передано в суд для разбирательства по
статье 242 ч. 1 УК РФ.
Перезагрузка или выключение компьютера приведет к
незамедлительному удалению ВСЕХ данных, включая код
операционной системы и BIOS, с невозможностью дальнейшего
восстановления. "
особенно радует пункт про код на фискальном чеке :) Но мы, конечно, не лохи, чтобы вестись на такое откровенное оболванивание, поэтому перейдем к алгоритму решения данной проблемы.

Инструменты.
Чтобы побороть эту заразу, нам надо будет поработать с файловой системой и реестром системы. Сделать это, имея одно синее окно тяжеловато, мы загрузимся не из-под зараженной операционной системы. Для этого воспользуемся замечательным диском - Alkid Live CD (11-05-2011), который можно скачать с этого сайта.

Алгоритм избавления.
2. Запишите образ на диск (можно на CD-R/RW или DVD-R/RW) любой удобной вам программой. Именной специальной программой, потому что если вы просто скопируете файл образа на диск, он не загрузится. Лично я записываю с помощью Nero.
Также можно образ записать на флешку. В таком случае, работать будет намного быстрее. У нас на сайте приведена простая и подробная инструкция по записи. 
3. Выставите в BIOS первичную загрузку с диска (если быть точнее, то оптического привода) или флешки, если хотите загружать Alkid с нее. Существуют различные версии BIOS с различной организацией меню. Чаще всего, чтобы войти в BIOS, надо после включения компьютера (или ноутбука) нажать F10, или F8, или F6, или F2, или Del . После успешного входа в BIOS нужно найти раздел под названием вида "Boot Device Priority" или похожим и выбрать первичным устройством оптический привод (или USB-устройство), с которого вы будете загружаться. После выбора не забудьте выйти, сохранив настройки (как правило, клавишей F10).
4.  После применения настроек, компьютер начнет перезагружаться и, немедля, вставим диск в дисковод. Возможно, что появится сообщение типа: :If you want to boot from CD, press any key", в таком случае нажмем любую кнопку. Если сообщение не появится, то мы должны увидеть загрузочное меню нашего диска.
5. В загрузочном меню нас ожидают 2 пункта: загрузка LiveCD с драйверами и без драйверов, для нашего случая вполне хватит загрузки без драйверов, однако вы можете выбрать тот вариант, который вам больше нравится. В любом случае, если один вариант загрузки у вас "не пойдет", то, скорее всего, вы сможете загрузиться со второго варианта. Обращаю особое внимание, что, в зависимости от характеристик вашего компьютерного оборудования, загружаться диск может ДОЛГО, поэтому не нужно нервничать, загрузка может затянуться до 20 минут (однако, в основном, проходит быстрее).

Итак, наконец-то диск загрузился и мы видим перед собой окно операционной системы, которая установлена на оптическом диске. Как уже было сказано, она "начинена" специальными утилитами, помогающими решать проблемы с основной операционной системой. 

6. Войдем в "Мой компьютер". Найдем диск, где у нас лежит зараженная операционная система (скорее всего, это будет, как обычно, C). На диске открываем папку Documents and settings (если у нас зараженная - это XP) или Users (если зараженная - Vista). В открытой папке находим и заходим в папку нашего профиля(ее название совпадает с именем пользователя, под которым вы работаете в операционной системе), дальше открываем папку "Рабочий стол" ("Desktop") и удаляем из нее файл "test.exe". После удаления опять возвращаемся обратно в корень нашего диска, ищем папку "Windows", переходим в "system32" и находим и удаляем файл "userinit.exe". Далее в этой же папке находим файл с названием "03014D3F.exe", его мы не удаляем, а переименовываем в "userinit.exe" и оставлояем в покое. Теперь нам осталось опять перейти в папку с профилями (Documents and settings (если XP) или Users (если Vista)) и войти в папку All Users. В ней находим и входим в каталог "Application Data" и в нем удаляем файл под названием "22CC6C32.exe".

Все. ФИЗИЧЕСКИ вирус мы удалили, осталось подчистить следы его пребывания в нашей многострадальной операционной системе. Для этого нам и понадобится замечательная утилита на диске под названием "Редактор реестра".

7. Итак, нажмем кнопку "Пуск" (Кружочек с лепестками, в стиле Vista), выберем Программы => Администрирование => RegEdit (remote).

Теперь будьте предельно внимательны. Неосторожное редактирование реестра может привести к неполадкам в работе системы, поэтому внимательно читайте дальнейшие указания

8. Перейдите в раздел "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon"
9. Перейдите на правую панель редактора реестра и проверьте два параметра “Shell” и “Userinit”. Значением параметра Shell должно быть "Explorer.exe", а параметра "Userinit" – "C:\WINDOWS\system32\userinit.exe," (обязательно в конце запятая)!
10. Если параметры “Shell” и “Userinit” в порядке, найдите раздел "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options" и разверните его. Если в нем присутствует подраздел explorer.exe, удалите его (Нажмите правой кнопкой мыши => Удалить).
ВНИМАНИЕ! Может сложиться такая ситуация, что вирус-winlocker удалил файл explorer.exe В таком случае скачайте его из этого архива. Инструкцию по восстановлению файла я вложил.
11. После того, как вы произвели вышеописанные действия, вы можете закрыть редактор, перезагрузить компьютер, выставить загрузку на жесткий диск и попробовать загрузиться. По идее, вы без проблем загрузитесь и спокойно войдете в свой профиль. УРА! :=)

Не обойдемся парой примечаний.

В данной инструкции был подробно расписан метод борьбы с конкретным вирусом, попавшимся мне. В дальнейшем, автор вируса может его усовершенствовать и, например, поменять названия файлов с заразой. Поэтому надо быть бдительным и понять сам принцип вылечивания системы. Если у вас возникнут какие-то сложности, затруднения, вопросы по своим конкретным случаям, или вам показался непонятным какой-либо шаг в моей инструкции не стесняйтесь, описывайте проблему в комментариях и я постараюсь вместе с вами ее решить

После вылечивания от этого вируса, может оказаться, что зараженными оказались еще какие-нибудь системные файлы. Как правило, антивирус их удаляет или отправляет на карантин. Чтобы их восстановить, нажмит кнопку "Пуск"=>"Выпонить", наберите "sfc /scannow" и нажмите ОК. Если восстановить не удасться, не отчаивайтесь, пишите сюда в комментарии, какие системные файлы были заражены и удалены, я отошлю их чистые оригиналы.

Кстати об антивирусе. Если бы на системе стоял нормальный антивирус, таких шуток с блокировкой, вполне возможно, удалось бы избежать. На сегодняшний день Антивирус Dr Web определяет и обезвреживает описанный SMS-блокировщик. Поэтому после боя с вирусом рекомендую скачать с сайта вечную сборку Доктора Веба от НАЗАРЕТ, не просящую ключа и полностью самообновляющуюся.

Надеюсь, написанное мной поможет вам в борьбе с вирусом и будет несложным и полезным!

UPD: Добавлена инструкция по записи Alkid на флешку.
UPD2: Для тех, у кого исчез файл explorer.exe скачайте его в архиве. Если вы не в Alkid, то войдите в него (пункты 1-5) и следуйте инструкции, которую я приложил в архиве.

331 комментарий:

  1. У меня точно такая же проблема, только ко всему прочему проблема в том, что дисковод давно диски не читает. Можно ли каким то образом проделать все то же, но используя флешку например?

    ОтветитьУдалить
  2. Да, можно, сейчас дополню статью, напишу как записать образ на флешку.

    ОтветитьУдалить
  3. Спасибо застатью.
    Примечания:
    у меня были ещё заражены файлы
    C:\WINDOWS\system32\taskmgr.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\system32\ dllcache\taskmgr.exe
    C:\WINDOWS\system32\ dllcache\userinit.exe
    После того как были удалены выше описанные файлы я скопировал с незараженной системы файлы taskmgr.exe и userinit.exe Всё заработало.

    ОтветитьУдалить
  4. Это слишком сложно, вот я например вставил диск нажал несколько кнопок и баннера как не бывало. А друга вообще не чего не нажимали, только вставили диск и баннер сам слетел автоматически. Подробно можно найти на сайте http://dapolza.ru/view_post.php?id=50

    ОтветитьУдалить
  5. К сожалению антивирусники не спасли нас от этой заразы. Просочился на комп с установленным лицензионным Dr.Web. Кстати, файла test.exe в папке профиля пользователя не оказалось, а остальная вся зараза сидела в точности как описано. Большое спасибо автору за статью! Метод помог.

    ОтветитьУдалить
  6. Анонимный Ребят с dapolza, срем? Пытаетесь у меня впарить свое поделие? Не надо у меня искать дураков, которые будут тратить деньги на ваш "супердиск", когда я привел БЕСПЛАТНЫЙ и УНИВЕРСАЛЬНЫЙ способ решения проблемы. Я принципиально не буду удалять ваш коментарий, даже ссылку, все прекрасно видят, что вы пытаетесь нажиться на несчастье других людей.
    "только вставили диск и баннер сам слетел автоматически": аж смешно становится от ереси, которую несете.

    ОтветитьУдалить
  7. Анонимный, скопировавший файлы из незараженной системы, вы правильно сделали. Если кому понадобятся эти файлы, я могу их скинуть

    ОтветитьУдалить
  8. Grothaur
    Пожалуйста, всегда готов поделиться своими знаниями и опытом с другими!

    ОтветитьУдалить
  9. Этот комментарий был удален администратором блога.

    ОтветитьУдалить
  10. Всем страждущим добавил ИНСТРУКЦИЮ ПО ЗАПИСИ Alkid НА ФЛЕШКУ. Читать сюда: http://intellifiles.blogspot.com/2011/05/windows-xp20032000nt-bartpe-alkid.html

    ОтветитьУдалить
  11. СПАСИБО ВАМ ОГРОМНОЕ!!!!!!!!я думала мне опять придется деньги на мастера тратить ,а оказалось ,что я могу сама справиться ,чтоб я без вас делала

    ОтветитьУдалить
  12. Пожалуйста :) Я сам частенько выезжаю, чтобы вылечить эту заразу, однако мне не жалко поделиться методом лечения. Люди же не виноваты, что наше государство не в состоянии навести элементарный порядок и антикриминальное регулирование в телекоммуникационной сфере...

    ОтветитьУдалить
  13. Все сделала точно по инструкции, только не оказалось файла explorer.exe (пункт 10), в итоге картинка вируса исчезла, но на рабочем столе ничего не появилось - при загрузке просто пустой рабочий стол без ярлыков и панели Windows. :( Что я могла сделать не так - ума не приложу.

    ОтветитьУдалить
  14. Я ваша фанатка!!! :)
    1ый комментарий - мой. (про образ на флешке).
    Все получилось!!!!! Спасибо огромное, все четко и понятно расписано.

    ОтветитьУдалить
  15. Все сделала точно по инструкции, только не оказалось файла explorer.exe (пункт 10), в итоге картинка вируса исчезла, но на рабочем столе ничего не появилось - при загрузке просто пустой рабочий стол без ярлыков и панели Windows. :( Что я могла сделать не так - ума не приложу.

    +1, тоже самое

    ОтветитьУдалить
  16. Тоже делал по инструкции, только в пункте 10 параметры “Shell” и “Userinit” не были в порядке, был другой путь, я его сделал как в пункте 10, и дальше не оказалось файла explorer.exe, перезапустил - пустой рабочий стол без ярлыков и панели Windows

    ОтветитьУдалить
  17. Все сделано по инструкции, вирус убрался, но не загружается рабочий стол, как понимаю explorer.exe. как его восстановить?

    ОтветитьУдалить
  18. ИТАК! ВСЕ, ВСЕ, ВСЕ, у кого не загружается рабочий стол и нет файла explorer.exe. Я обновил статью, в конце (UPD2) вы найдете ссылку на скачивание архива, в нем вы найдете сам файл и инструкцию, как его добавить в систему.
    ОБЯЗАТЕЛЬНО ОТПИШИТЕСЬ, смогли вы все сделать, получилось ли все?

    ОтветитьУдалить
  19. Ничего не получилось! Всё так же нету рабочего стола!
    А когда сам запускаю explorer.exe, запускается проводник

    ОтветитьУдалить
  20. Скажите, вы точно добавили файл explorer.exe в папку Windows зараженной системы? В реестре зараженной системы
    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon в параметре "Shell" стоит "explorer.exe" (без кавычек)?

    ОтветитьУдалить
  21. Спасибо ОГРОМНЕЙШЕЕ о добрейший!!! Всё работает и всё прекрасно!!!

    ОтветитьУдалить
  22. я проверил утилиткой доктора веба, убил вируса, рабочий стол появился, (система xp на ноуте)

    ОтветитьУдалить
  23. kikbik Вы это сделали уже после прохождения инструкции?

    ОтветитьУдалить
  24. У меня та же история.
    "Ничего не получилось! Всё так же нету рабочего стола! А когда сам запускаю explorer.exe, запускается проводник"
    система windows XP home edition
    файлы explorer, userinit, taskmgr взял с windows XP professional (копировал из windows не помогло)
    Помогло, когда под ERD commander заменил explorer с этого сайта.(еще нашел у себя в реестре ошибку "explorer" а не "explorer.exe")
    Спасибо, вообще

    ОтветитьУдалить
  25. Я специально выложил оригинальный нетронутый вирусами explorer.exe, потому что в подавляющих случаях они на рабочих системах завирусованы.
    В принципе, все те же самые действия можно было сделать и из-под алкида, о чем я в Upd2 написал. Спасибо вам, что комментируете.

    ОтветитьУдалить
  26. А можно инструкцию по записи образа на флешку со скриншотами,а то как-то разобраться не могу!

    ОтветитьУдалить
  27. Инструкция находится по этой ссылке http://intellifiles.blogspot.com/2011/05/windows-xp20032000nt-bartpe-alkid.html
    Что конкретно вам в ней непонятно?

    ОтветитьУдалить
  28. записал на диск Alkid Live CD (11-05-2011)при помощи неро !!!установил в биосе загрузку с диска!!!но когда вставляю диск система загружается так же как и раньше и на рабочем столе всё тот же баннер!!!!может я не правильно записал образ или возможно касперский при скачивании удалил какие либо файлы?

    ОтветитьУдалить
  29. подскажите пожалуйста !!!диск с автозапуском должен получиться?записал при помощи неро!!!когда скачал архив "Alkid Live CD (11-05-2011)"в нем лежат вот такие файлы и папки:A386;PROGRAMS;BOOTFONT.BIN;WIN51IP;WIN51IP.SP2.
    думаю может у меня kis заблокировал при скачке или удалил какие?В биосе установил значения как вы написали!!!но не чего не происходит система загружается как всегда и на раб.столе всё таже реклама(баннер)

    ОтветитьУдалить
  30. А у меня вообще винда после этого всего полетела.
    Синий экран...

    ОтветитьУдалить
  31. Аноним, который перечислил папки и файлы. Вы что, распаковали .iso и записали САМИ ФАЙЛЫ И ПАПКИ В НЕРО? Вы неправильно сделали! Надо было записать сам образ! Короче говоря, я напишу подробную инструкцию, как записывать образы на диск, к вечеру опубликую.

    ОтветитьУдалить
  32. Можно вас попросить выложить Alkid Live CD (11-05-2011) на Letitbit?

    ОтветитьУдалить
  33. у меня он не находит файл test.exe, а файл usernit.exe есть, только не удаляется. А файла 03014D3F.exe тоже нет. У меня виста, может существуют какие-то другие файлы?)

    ОтветитьУдалить
  34. спасибо! помогло! я тупо удалял 2 файла 22CC6C32.exe и N2iyN3iyO3j.exe в папке Application Data а после перезагрузки 1 файл опять появлялся. теперь всё ок))

    ОтветитьУдалить
  35. следовала инстукции
    нету файла 03014D3F.exe и 22CC6C32.exe
    когда все сделала
    при входе в систему он пишет завершение сеанса.сохранение параметров.ввожу пароль свой и он опять пишет завершение сеанса и т.п

    ОтветитьУдалить
  36. Добрый день! Пытались загрузить Alkid с флэшки. Выполнили 4 пункта вашей инструкции. В BIOS устройства USB-HDD не было. Выбрали девайс под названием Removable Dev. При сохранении настройки BIOS (F10) компьютер перезагрузился. Ничего не изменилось. Загружается windows-xp, окно с паролем, после ввода пароля синий баннер. Где ошибка?

    ОтветитьУдалить
  37. Загрузившись с LiveCD, пролечил ноут утилитой Dr.Web CureIT! - она поудаляла всю эту нечисть и другой мусор. Но после этого винда сразу не загрузилась, хотя банер пропал. Была тока картинка рабочего стола и все, не запускался диспетчер задач. После восстановления файлов с чистой винды taskmgr.exe и userinit.exe появилась возможность позвать диспетчер задач, войти в реестр и подправить ключики в Winlogon. После этого все заработало! УРА.

    ОтветитьУдалить
  38. Поймал сегодня попрошайку-информер. Всё произошло так. Хотел найти описание одной программы для мобильного, набрал в поисковике ее название и стал лазить по сайтам. В списке найденных результатов был сайт с оговоркой, что сайт может угрожать безопасности моего компьютера. Я и раньше видел подобные надписи, заходил на сайт и ничего страшного не случалось. Да и сайт-то этот я уже сегодня посещал, и антивирус у меня имеется (NOD 32). Сначала я зашел на безопасную копию данного сайта, хранимую поисковой службой. Однако сайт выглядел так, будто он загрузился не полностью. Там только и было описание данной программы. Решил, что ошибка какая-то в этой копии и пошел на оригинал - ведь я под защитой. Ан, нет... Сразу как я туда зашёл у меня вылез этот банер: "Ваш компьютер заблокирован...". В точь-точь как у Вас на рисунке. Короче пришлось повозиться, чтоб от него избавиться. Мой первый опыт. Пользовался в том числе и этой статьей. Спасибо. Когда я загрузился с Live CD, я нашел подозрительный файл, попробовал его окрыть... Мои подозрения были подтверждены. Опять вылез это банер. :) Только теперь походу он был в оперативке. Перезагрузил Live CD и удалил этот файл. Потом еще в реестре правил. И кстати, у меня было 2 файла userinit.exe: один в System32, второй - во вложенной в System32 папке. Я и его удалил. Теперь вот проверяю на вирусы.

    ОтветитьУдалить
  39. NOD 32 - один из самых поганых антивирусов, которых я видел. Сколько компьютеров я лечил после него - не счесть. Пользуйтесь нормальным антивирусом Dr Web. Вечную сборку "поставил и забыл", не требующую обновлять ключи выложил тут: http://intellifiles.blogspot.com/2011/04/dr-web-56.html

    ОтветитьУдалить
  40. На свой комментарий от 22 мая:
    нашли причину неудачи с загрузкой через BIOS.
    Оказалось, что ноутбук ASUS EeePS загружается так: сразу после возникновения на экране заставки EeePS надо нажать esc. Тогда появляется окно с выбором девайсов, в котором надо выбрать USB-device. Далее все по инструкции. Все получилось. Может, кому-то пригодится наш опыт. Спасибо за помощь всем!

    ОтветитьУдалить
  41. Огромное спасибо, что отписались. Добавлю в инструкцию отдельно :)

    ОтветитьУдалить
  42. следовала инстукции
    нету файла 03014D3F.exe и 22CC6C32.exe
    когда все сделала
    при входе в систему он пишет завершение сеанса.сохранение параметров.ввожу пароль свой и он опять пишет завершение сеанса и т.п

    как быть? жду ответа.спасибо

    ОтветитьУдалить
  43. Помогло с первого раза.
    ОГРОМНОЕ Спасибо!!!

    ОтветитьУдалить
  44. Спасибо за работу! все помогло!

    ОтветитьУдалить
  45. Добрый день! Скажите, пожалуйста, у друга на экране вылезла такая же зараза, как вы и показываете, записал образ диска, все сделал, как вы пишите в инструкции, баннер слетел, несколько дней все было в порядке, а потом опять вылез. С чем это может быть связано? Еще, при лечении я на рабочем столе не нашел файл test.exe, скажите, его может и не быть вообще или он где-то все равно прячется? Кстати, посмотрите, пожалуйста, ссылку, которую вы давали для скачивания - Доктора Веба от НАЗАРЕТ – она, по-моему, содержит вирус, при скачивании - Avast сообщает, то, что обнаружен вирус, проверьте, пожалуйста, или дайте другую ссылку.

    ОтветитьУдалить
  46. Спс круто!!!!!! Теперь хожу радуюсь. Хорошо что есть такие люди которые помогают.

    ОтветитьУдалить
  47. Вот ваш хваленый Avast баннер и прошляпил. Антивирусы конкурируют друг с другом, поэтому и определяют друг друга как вирусы. Ваш друг поймал этот баннер еще раз. Чтобы это предотвратить, я и всем настоятельно порекомендовал поставить Доктор Веб по моей ссылке. Поэтому Пройдите шаги этой инструкции еще раз и поставьте антивирус http://intellifiles.blogspot.com/2011/04/dr-web-56.html

    ОтветитьУдалить
  48. Для тех, у кого появляется рабочий стол и дальнейшая загрузка не происходит: в Shell нужно прописать тот путь "explorer.exe", где он находится, т.е. скоре всего в папке "Windows" (для XP). Получается так: "C:\WINDOWS\explorer.exe". У меня тоже сначала был только рабочий стол. Изменил путь - заработало. komsomolec-у - огромное человеческое спасибо!

    ОтветитьУдалить
  49. спасибо, помогло!
    test.exe не нашёл, а так всё отлично

    ОтветитьУдалить
  50. Я уже всавил CD в дисковод и идёт загрузка. Но уже прошёл час! Что не так?

    ОтветитьУдалить
  51. Бывает и такое. Возможно Ваш диск царапаный/битый или вы скачали "битый" образ (т.е. недокачали Alkid). Я выложу контрольные суммы образа, сверитесь, дальше сообразим.

    ОтветитьУдалить
  52. Спасибо большое, все помогло. Хорошо что Вы есть на этом свете)))

    ОтветитьУдалить
  53. У меня чёрный экран. Внизу написано:
    Press any key to toot from CD...
    Это что?

    ОтветитьУдалить
  54. Данное сообщение переводится как "Нажмите любую кнопку, чтобы загрузиться с CD-диска..." Вот и нажимайте!

    ОтветитьУдалить
  55. Все сделал, но нет рабочего стола. При загрузке с флэшки, диск с операционной системой меняется на D. У меня система на С. Что писать для параметра shell в реестре? C:\WINDOWS\system32\userinit.exe, или D:\WINDOWS\system32\userinit.exe,. Пробовал и то и другое-не помогает. После загрузки с харда, параметр shell опять принимает значение userinit. Что посоветуете?

    ОтветитьУдалить
  56. После выполнения ваших рекомендаций, баннер пропал, но рабочий стол не появился.
    По Ctrl-Alt-Del вошел в диспетчер задач, затем "Новая задача" и запуск regedit.exe. В реестре параметр shell был инфицирован. Исправил его на
    C:\WINDOWS\system32\userinit.exe и все пошло.
    Спасибо за помощь.

    ОтветитьУдалить
  57. Спасибо большое, я обязательно обновлю всю инструкцию, добавлю Вашу заметку. Отписывайтесь все, что да как, вместе мы поборем любые вирусы :)

    ОтветитьУдалить
  58. что если у меня номер не (911), а 8 (981)8757867 в инструкциях ничего не меняется????

    ОтветитьУдалить
  59. Скорей всего нет, когда загрузитесь с алкида, убедитесь в наличии описанных в ней файлов (test.exe может и не быть, это нормально)

    ОтветитьУдалить
  60. сделал все как описано через загрузочную флешку. разжевано по полочкам. ВСЁ получилось. огромное спасибо комсомольцу!!!! толька файла test.exe на рабочем столе у меня не оказалось и удалять было нечего. все остальное верно!
    ЕСТЬ СПОСОБ ОТКЛЮЧИТЬ БЛОКИРОВКУ КОМПЬЮТЕРА ИЗНАЧАЛЬНО, дабы обезопасить себя от повторного вторжения =)))
    Заходим в ПУСК, далее ЗАПУСК ПРОГРАММЫ, в строке пишем gpedit.msc , находим в +Конфигурации пользователя
    +Административные Шаблоны
    +Система
    Возможности Ctrl+Alt+Del
    ставим состояние-Запретить блокировку компьютер
    Пользуйтесь, помогает =)))
    еще раз спасибо КомсомольЦУ=)

    ОтветитьУдалить
  61. Пожалуйста:) Однако вы неправильно поняли эту политику:) Запретить блокировку в групповой политике (gpedit.msc) - это когда при загрузке Windows вам НЕ нужно нажимать Ctrl-Alt-Delete, чтобы набрать логин и пароь для входа в систему. На появление баннера это никак не влияет :) Для того, чтобы эта зараза больше Вас не беспокоила, вам надо скачать сборку Dr Web, я выложил ее на сайте: http://intellifiles.blogspot.com/2011/04/dr-web-56.html
    Ее преимущество в том, что она не требует вашего участия в работе - ключ вечный, менять не требуется, все компоненты программы: базы, ядро, оболочка, обновляются автоматически, в общем, настоятельно рекомендую!

    ОтветитьУдалить
  62. Добрый день. СПАСИБО ОГРОМНОЕ. Все получилось с первого раза.

    ОтветитьУдалить
  63. всё было сделано по инструкции, однако в реестре в позиции userinit после ввода правильного значения и перезагрузки рабочий стол не грузится: при входе в систему он пишет завершение сеанса.сохранение параметров, а в реестре в значении userinit пропадает правильное значение, а написано просто - userinit. В Shell значение explorer.exe осталось.

    ОтветитьУдалить
  64. Спасибо огромное, помогло! Даже для моих нубовских мозгов оказалось понятно.
    Не только вылечила компьютер, но и узнала для себя много нового. Спасибо =)

    ОтветитьУдалить
  65. Спасибо большое, помогло :) Файла test.exe не было, зараза в dllcache сидела (как и говорили выше). 22CC6C32.exe оказался еще и в all users.windows\appl.data, а там, где о нем писалось изначально, был еще типа 55555kkkkk.exe или как-то в этом духе.

    ОтветитьУдалить
  66. Подскажите, пожалуйста что делать? Никак не могу войти в BIOS,нажала все кнопки - реакции никакой...

    ОтветитьУдалить
  67. та же зараза. установил вторую систему на другой диск.зашел через нее, все сделал по инструкции, в итоге вторая система тоже заражена

    ОтветитьУдалить
  68. Анонимный комментирует...

    та же зараза. установил вторую систему на другой диск.зашел через нее, все сделал по инструкции, в итоге вторая система тоже заражена

    переставил вторую систему заново на диск I (зараженная на С).опять все сделал по инструкции, проверил антивирусом, вирус вроде убит.userinit тоже копирнул с рабочей системы.пробовал файл Explorer копировать и из рабочей системы и скаченный.загружается только картинка с раб стола. Ctri+Alt+Del не работает.
    В "Shell" ставил C:\WINDOWS\explorer.exe и I\WINDOWS\explorer.exe.В любом случае система с диска I грузится нормально.но с С никак..

    ОтветитьУдалить
  69. у меня была проблема точно как у Натали, сделал все по инструкции,(кроме файла test.exe которого не было). Когда пытался с лив cd поменять в реестре параметр "userinit" то при перезагрузке он возвращался в неправильное состояние. При попытке запустить зараженную систему отображался пустой рабочий стол без каких либо панелей или иконок. Проблему решил так-зайдя в зараженную систему нажал контрол-альт-дел, там новая задача, regedit. Поменял в реестре shell и userinit на нормальные значения(они почему-то отображались другими чем при загрузке с live cd), перезагрузился. Все на рабочем столе появилось, но переодически вылетали разные ошибки. Проверил доктором вебом-оказалось от вируса остались 3 файла: 2 в С:\WINDOWS\temp(название не помню но оба exe и один из них был с обычной для вируса иконкой) и С:\windows\apppatch\ullzkto.dat. Удалил все это, комп работает нормально.

    ОтветитьУдалить
  70. А вот такой вопрос: не зависимо на какой номер мтс надо отправить 400 рублей, всё равно жто один и тот же баннер?

    ОтветитьУдалить
  71. "у меня была проблема точно как у Натали, сделал все по инструкции..." - спасибо за комментарий! Будем знать про новые файлы в обновленных модификациях вируса.
    "не зависимо на какой номер мтс надо отправить 400 рублей, всё равно жто один и тот же баннер?"
    Вопрос вызывает улыбку:) Я уже много раз повторял: кодов к баннеру НЕТ!

    ОтветитьУдалить
  72. спасибо огромнейшее , все сходилось кроме test.exe , проигнорировал это действие и пошел дальше по пунктикам. ты настоящий гуру !

    ОтветитьУдалить
  73. Спасибо большое

    ОтветитьУдалить
  74. Сегодня утром появилась эта надпись, только с телефоном 8 9817539836.. так я попал на ваш сайт, внимательно прочитал инструкцию по удалению этой дряни и уже собирался идти к другу скачивать Alkid Live CD, но решил на всякий случай перезагрузить комп. И вдруг, к моему удивлению, после перезагрузки эта надпись исчезла! Касперский нашел вирус "Hoax.Win32.ArchSMS.hjdi" и удалил его)

    ОтветитьУдалить
  75. у меня такая дрянь!!! во общем файла test.exe на рабочем столе не было,файл 03014D3F.exe - не найден,Application Data - нет допуска!!!!

    ОтветитьУдалить
  76. Привет всем! Огромное спасибо тебе komsomolec что помогаешь людям. Сегодня ты мне помог избавиться от этого баннера. Читал комментарии и решил установить доктор веб)

    ОтветитьУдалить
  77. Спасибо автору за грамотные рекомендации. В качестве загрузочного диска использовался ERD Commander и отсутствовал test.exe, но в целом все в точку.
    Также могу порекомендовать утилиту Kaspersky Virus Removal Tool 2010 http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

    ОтветитьУдалить
  78. делал всё по инструкции! НО!!! файл test.exe на рабочем столе нет, и 03014D3F.exe тоже не найдено! В папку Allusers нет допуска!!! Стоит win 7 ult. Реестр изменил как положено, после перезагрузки чёрный экран рабочего стола и ничего нет более! Кое-как через ctrl+alt+del запустил диспечер и проверил Dr.WEB (последним), ни чего не нашёл!!!! HELP ME!!!!чё делать-то???? может я чё сделал не так!!!

    ОтветитьУдалить
  79. А можно описать, что делать тем у кого windows7 Потому что есть различия.
    У меня на рабочем столе не было "test.exe". Был "test-ещё 3 буквы, не помню.html" и отображался значёк, как сохранённая интернет страница.
    "userinit.exe" изменить/удалить никак не получается. Пишет - "Нет доступа. Диск может быть переполнен или защищен от записи, либо файл занят другим приложением"
    "03014D3F.exe" вообще не нашёл.
    Подскажите пожалуйста, Что делать в такой ситуации?

    ОтветитьУдалить
  80. доктор веб тоже не так уж хорош ползуесь нод32 с 2004 года, пока он не подводил меня, с 2005 года покупаю лицензию, просто надо хорошо настроит его и обновлят базы чаще

    ОтветитьУдалить
  81. для меня был сложно..)
    описание не очень понятное)
    потому что у меня BIOS подругому сделан...
    не так как описано.
    пришло в яндексе искать как поменять все..)
    нету папки рабочий стол.

    я перезагрузила комп и у меня баннер убрался а рабочий стол стал пустым..что делать???

    ОтветитьУдалить
  82. Скажите, вы точно добавили файл explorer.exe в папку Windows зараженной системы? В реестре зараженной системы
    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon в параметре "Shell" стоит "explorer.exe" (без кавычек)?

    у меня вообще стоит C:\Document and Setting\All Users\Application Data\22CC6C32.exe
    это опять зайти с диска и удалить файл этот?или переменовать?или что????
    помогите плиз..)

    ОтветитьУдалить
  83. Можно ли для загрузочного диска вместо Alkid Live CD (11-05-2011) использовать Portable версию Windows XP

    ОтветитьУдалить
  84. Все. Капец. После 2х попыток ноут перестал загружаться и через CD и через флешку. какой умный вирус! Что делать????

    ОтветитьУдалить
  85. Далеко не факт, что у вас не сидит троян, который тихо ворует вашу персональную информацию (пароли, номера кредиток). Вы думаете, что у вас все в порядке, однако в один прекрасный момент хакеры смогут лишить вас денег. Еще раз повторюсь, что много раз мне доводилось реанимировать систему и вычищать от полчищ вирусов после НОДа. Даже если вы посмотрите на комментарии, то увилдите, что у многих системы были заблокированы баннером после НОДа.

    ОтветитьУдалить
  86. "Можно ли для загрузочного диска вместо Alkid Live CD (11-05-2011) использовать Portable версию Windows XP"
    Как вы собираетесь входить в реестр ЗАРАЖЕННОЙ системы с помощью этого диска?

    ОтветитьУдалить
  87. как мне вернуть рабочий стол?
    мне сказали скачать explorer.exe

    как мне его скачать?

    можно через диспечер задачь зайти в интернет и скачать?
    или как??
    подскажите а..
    пли...

    ОтветитьУдалить
  88. В конце статьи (UPD2) увидите синий текст "explorer.exe", нажмите на него и скачаете файл.

    ОтветитьУдалить
  89. komsomolec, спасибо за статью, вирус вроде извел, а вот раб.стол все никак не могу реанимировать, на компе много инфы важной по работе, помогите кто знает что да как

    ОтветитьУдалить
  90. Благодаря комсомольцу, излечился. Решил потренироваться и все ценное скопировал на резервный диск. После чего полез в самое, что ни на есть, разврат, пьянство и порнографию. Хню схватил мигом. Хня везде: похудание, фильмы, одноклассники... Один клик на фото - и Вы готовы...Везде. Антивирусы не ловят. Вирус модифицируют постоянно. Комсомольцу просьба: кроме 'explore.exe' загрузить 'userinit.exe' и 'tskmrg.exe'. Alkid слетел с флэшки, подключенной к зараженному компу: форматнул - поехало. Ставлю антивирь с http://intellifiles.blogspot.com/2011/04/dr-web-56.html. Буду смотреть.

    ОтветитьУдалить
  91. ну я скачал его.
    надо рзохивировать или что с ним делать?я как скачал на рабочий стол и все равно он не появился.
    сижу через диспечер задачь.

    ОтветитьУдалить
  92. разархивируете скачанный архив, скопируйте файл на флешку, зайдите под алкидом и следуйте инструкции, которую я написал на картинке в том же архиве.

    ОтветитьУдалить
  93. Сдается мне (99%), что автор вируса тоже читает форумы

    ОтветитьУдалить
  94. Сделал все по инструкции, с помощью флэшки, получилось все с первого раза. Большое ВАМ спасибо.

    ОтветитьУдалить
  95. Скажите, а для телефона с номером 89179558911 этот алгоритм удаления баннера подойдёт?

    ОтветитьУдалить
  96. Естественно, мало того, он из них черпает информацию по разработке, а иногда и спрашивает про функции языка программирования...

    ОтветитьУдалить
  97. "Скажите, а для телефона с номером 89179558911 этот алгоритм удаления баннера подойдёт? "
    Скорей всего да, попробуйте, отпишитесь о результиатах.

    ОтветитьУдалить
  98. Привет! Спасибо за подробную инструкцию. Есть вопрос, в лив сиди флешку не видит, хотел explorer закинуть, что делать?

    ОтветитьУдалить
  99. Все сделал по пунктам, с флешки експлорер скинул, просто заставка(( нажал ctrl+alt+del и... снова появился баннер((( помоги пожалуйста,с меня пиво!

    ОтветитьУдалить
  100. "Привет! Спасибо за подробную инструкцию. Есть вопрос, в лив сиди флешку не видит, хотел explorer закинуть, что делать?" Попробуй загрузить алкид с режимом полной поддержки драйверов или просто закинь explorer.exe на флешку, на которую записываешь алкид.

    ОтветитьУдалить
  101. Я не понимаю где инструкция.....
    по востановлению файла explorer.exe
    какая картинка???
    обьясните более понятно плиз.
    что да ка кделать.
    либо напишите тут инструкцию..плиз...

    ОтветитьУдалить
  102. не запускается instal.exe (WinXP): http://intellifiles.blogspot.com/2011/04/dr-web-56.html

    ОтветитьУдалить
  103. Установка происходит в тихом режиме, надо подождать несколько минут.

    ОтветитьУдалить
  104. komsomolec комментирует...

    Установка происходит в тихом режиме, надо подождать несколько минут.

    Ничего не происходит.

    ОтветитьУдалить
  105. обьясните где инструкция по утановке explorer.exe

    ОтветитьУдалить
  106. Этот комментарий был удален автором.

    ОтветитьУдалить
  107. "обьясните где инструкция по утановке explorer.exe"
    Загружаетесь через Alkid Live CD/USB, заходите в "Мой компьютер", ищите диск с вашей зараженной системой (как правило, C:), далее заходите в папку Windows и в нее копируете explorer.exe.

    ОтветитьУдалить
  108. Да, вирус коварен, некоторые файлы у меня пишутся по другому, которые нужно удалить. Всё сделал по инструкции. Но возникла другая проблема, когда запускаю систему мой профиль открывается на одну секунду и сразу же выходит и в безопасном режиме тоже самое. ПОМОГИТЕ ПОЖАЛУЙСТА!!!

    ОтветитьУдалить
  109. komsomolec спасибо тебе!!! Alkid Live CD действительно работает! с проблемой такого рода я уже сталкивался и по разному с ней боролся, в некоторых случаях я просто переустанавливал винду, но в этот раз я 2 раза записывал (разную) винду на болванку, но установить так и не удалось. скачал Alkid Live CD - все СРАБОТАЛО!

    ОтветитьУдалить
  110. Не работает выше указанные действия, в каждом случае у всех по разному.

    ОтветитьУдалить
  111. Такой же банер, тлф би-лайн, набрал Ctrl+Alt+Del и всё заработало. Что-то ещё надо сделать?

    ОтветитьУдалить
  112. Такой же банер, тлф билайн, набрал Ctrl+Alt+Del, заработало. Что ещё надо сделать?

    ОтветитьУдалить
  113. Комсомолец большое спасибо за инструкцию. Очень помогло.

    ОтветитьУдалить
  114. в пункте 6 сказано только о XP и Vista. а что на семерке делать??

    ОтветитьУдалить
  115. я скопировала файл в папке windows там мне спросили заменить вроде ну я нажала да а когда перезагрузила то ничего не изменилось.что делать?

    ОтветитьУдалить
  116. У Висты и Семерки, насколько я знаю, система каталогов примерно одинакова, так что ориентируйтесь на пути с Висты.

    ОтветитьУдалить
  117. у меня получилось,при чем очень просто!:)
    описание здесь - http://www.youtube.com/watch?v=DmeiQSJneRk

    ОтветитьУдалить
  118. CureIT не всегда находит вирус. Пока он будет искать в ваших тоннах файлов пройдут не одни сутки. Я же описал точное расположение файлов и написал, как поправить реестр. Мой способ менее времязатратный.

    ОтветитьУдалить
  119. ничего все равно не поняла если честно.
    как вернуть рабочий стол.

    ОтветитьУдалить
  120. Спасибо автору!!! Коротко и ясно описано. Без проблем получилось убрать баннер. Огромное спасибо!!!

    ОтветитьУдалить
  121. "ничего все равно не поняла если честно.
    как вернуть рабочий стол."
    Если ничего не поняли, то значит вам это и не нужно. Вы можете вызвать меня в частном порядке, за умеренную плату я сам удалю баннер, установлю защиту на компьютер. Оставьте свой номер мне на почту oprosfor@yandex.ru, я вам перезвоню, договоримся.

    ОтветитьУдалить
  122. Спасибо автору за статью, все четко и ясно, даже я разобрался)

    ОтветитьУдалить
  123. я бы сказал, что вы спасли мне только что появившуюся работу)
    на старой работе и вирусы были проще и ездить никуда не надо было...
    а тут в 3 часа ночи случайно наткнулся на эту статью
    шпасибо)

    ОтветитьУдалить
  124. ребят привет!:)

    а кроме Акида похожие загрузчики помогут? Я Пробовал Использовать ОС miniXP в ней вся операционка наизнанку вывернута, все видно и ничего лишнего, прогами не напичкана наверно как Акид, но например файлов в каталогу Docum. & Sittings я не нашел типа test.exe и тд.

    Нужна помощьв реанмиации ноута с данным баннером

    ОтветитьУдалить
  125. .статья хорошая, но мне не помогла. файлов 03014D3F.exe и 22CC6C32.exe нет. удалил все файлы userinit.exe и теперь не грузится рабочий стол, но и не выскакивает банер. реестр редактирую, но после перезагрузки все как и было. Что дальше делать не знаю. Разве что скачать новый userinit.exe, но что-то подсказывает, что толку от этого не будет, так как вирус физически остался, а узнать как называются файлы я не могу. единственное, что делал не так как в статье, это загрузился с загрузочного диска и открыл диски через тотал коммандер. как понимаю разницы в этом нет.

    ОтветитьУдалить
  126. баннер я убрала.
    как венуть рабочий стол я не знаю..

    мне это очень нужно я делала все по инструкции.
    скачала файл скопировала его в виндовс и все равно ничего.
    в частном порядке?
    в мурманск?

    ОтветитьУдалить
  127. когда запускаю систему мой профиль открывается на одну секунду и сразу же выходит и в безопасном режиме тоже самое. ПОМОГИТЕ ПОЖАЛУЙСТА!!!

    та же фигня

    ОтветитьУдалить
  128. Добрый день,сделал все как написано выше,но при загрузке диска выходит синий экран!!!Помогите!!!

    ОтветитьУдалить
  129. В алкиде есть специальна программа, позволяющая редактировать реестр других копий Windows. Поэтому я его и порекомендовал. Читайте инструкцию, в ней подробно, четко и понятно объяснена последовательность действий для удаления баннера.
    Если не хотите сами избавиться, могу подъехать в частном порядке, пишите на мою почту oprosfor@yandex.ru свой номер телефона, я перезвоню, договоримся.

    ОтветитьУдалить
  130. "когда запускаю систему мой профиль открывается на одну секунду и сразу же выходит и в безопасном режиме тоже самое. ПОМОГИТЕ ПОЖАЛУЙСТА!!!

    та же фигня "
    Вирус модифицировался. Вы не первый с такой проблемой, но я лично с этим не сталкивался, если мне дать зараженный компьютер, я бы нашел причину.

    ОтветитьУдалить
  131. а если вирус поставил пароль на биос?

    ОтветитьУдалить
  132. ))) Вы точно уверены, что знаете, что такое биос? =)

    ОтветитьУдалить
  133. Здравствуйте!

    Действовал в соответствии с Вашими инструкциями. На рабочем столе не был обнаружен файл test.exe, в следствие этого удалять было нечего, остальное по пунктам.
    Надпись исчезла, однако при загрузке виндоуса XP невозможно зайти в мой профиль (собственно, в любой). При активации профиля происходит соответственно: загрузка личных параметров.../сохранение личных параметров.../вылет в голубенький экран "Добро пожаловать".
    Пожалуйста, подскажите, что делать.

    ОтветитьУдалить
  134. Спасибки тебе чувак!!!!!!!!!!

    ОтветитьУдалить
  135. В целом помогло, спасибо огромное. Но: на рабочем столе test.exe нет. В папке application data помимо 22cc6c32.exe был еще один подозрительный экзешник (забыл записать название, ступил) созданный в ту же секунду что и 22сс... - грохнул и его тоже. В папке system32 файла 03014d3f.exe не было. За неимением пришлось скопировать userinit.exe с загрузочной флэшки - помогло, комп запустился, причем, как он мне сказал "вышел из спящего режима". Нод показал себя сопливой девкой, пересаживаюсь на доктор веб.

    ОтветитьУдалить
  136. Thanks!!!!
    It just works:)

    ОтветитьУдалить
  137. Спасибо помогло и Рабочий стол восстановился с помощью AVZ

    ОтветитьУдалить
  138. спасибо. автор направил действия в нужное русло :)
    пусть на депозите с экзешником эксплорера бмпшка 1.5 гиговая ;)
    п.с. чтобы стол рабочий появился нужно путь к рабочему эксплореру указать в реестре в shell и будет счастье.

    ОтветитьУдалить
  139. спасибо огромное!!!
    очень помогло!!!

    ОтветитьУдалить
  140. как это сделать то?

    ОтветитьУдалить
  141. Здравствуйте!
    Проблема НЕ решается!
    Сделал пункты с 1 по 5.
    Файлов "test.exe", "03014D3F.exe","22CC6C32.exe" – НЕТ.
    Несмотря на то, что все скрытые и системные файлы показаны.
    Заменил файлы explorer.exe и userinit.exe (указав в реестре нужное Значением параметра)
    Проверил компьютер полностью с помощью последних версий Dr.Web LiveCD и Kaspersky LiveCD – результат нулевой!
    Сайты бесплатных разблокировщиков типа: http://www.drweb.com/unlocker/index, http://virusinfo.info/deblocker/, http://support.kaspersky.ru/viruses/deblocker НЕпомогли
    Выходит окошко:
    Windows заблокирован.
    Microsoft Security обнаружил нарушения использования сети интернет.
    Использование не лицензионной версии Windows
    Посещение порнографических сайтов, запрещенный на территории Российской Федерации.
    Для разблокировки Windows необходимо:
    Оплатить через любой терминал быстрой оплаты счет Билайна (Beeline) № 9643737301 на сумму 500 рублей. После оплаты на выданном теримналом чеке, Вы найдете Ваш персональный код разблокировки........
    Окончание номера периодически меняется.


    ПОМОГИТЕ ?????????

    ОтветитьУдалить
  142. Проблема не решалась из-за того что я пользовался Alkid Live CD.
    Когда загрузился с ERD Commander 5.0, удалил вирус.
    Alkid Live CD в реестре НЕ видит значение параметра «userinit.exe», а ERD Commander 5.0 указывает на путь где лежит вирус (файл system32.exe)
    Благодарю за помощь!

    ОтветитьУдалить
  143. Спасибо автору помогло.

    ОтветитьУдалить
  144. спасибо! сделал как по инструкции, только не было test и 03014d3f.exe, а следовательно userinit.exe я не удалял. рядом с 22cc6c32.exe был еще какой то экзешник, с назнанием че то типа ссссс, тоже удалил. кстати, я удалял все из загруженной винды. после того как загружается винда и вылазиет банер жму ctrl+alt+delete. дальше я так и не понял от чего именно открывается окно справки, но я делал так. в окне выбора пользователей я пару раз нажимал в левом уголке значек спарвки, потом заходил обратно в систему, если окна не было, то зажимал сначала ctrl и как на пианино проходился по всем клавишам f, затем та же процедура и зажатой клавишей пуск. затем опять ctrl+alt+delete, там пару раз по кнопке справки и захожу в систему. может больше половины из того что написал не надо, просто это все делается за 10 сек и разбираться особо не охота было. в итоге у нас есть одно окно, которое находиться за банером, а через него уже можно делать что угодно, но для начала нужно каким нибудь сторонним диспетчером задач убрать этот банер. я грохнул anvir. после этого уже удалял файлы, правил реестр. кстати, родной диспетчер уже работает (по крайней мере у меня)

    ОтветитьУдалить
  145. Здравствуйте, меня зовут Сергей. Скачал Live запустил комп, с рабочего стола удалил не test.exe, а другой exe, файлов 03014d3f.exe, 22cc6c32.exe не нашел (ни поисковиком, ни руками), в реестре все поменял как надо, так же скопировал в виндос «userinit.exe» он предложил поменять существующую (у нее размер был другой и я согласился), в общем все как надо. Перезагрузил, однако при загрузке Виндоуса невозможно зайти в свой профиль (собственно, в любой, даже в безопасном режиме). При активации профиля происходит соответственно: загрузка личных параметров.../сохранение личных параметров.../вылет в голубенький экран "Добро пожаловать".
    Пожалуйста, подскажите, что делать.

    ОтветитьУдалить
  146. у кого винда 7 нет файла test.exe и 03014d3f.exe ,
    я скинул с другого компа userinit.exe . при загрузке стал появлятся только чёрный экран без банера, вызвл дипечер задач shift+ctrl+esc , выполнить>regedid поменял все значения как было сказано, и завершил процес winlog, и всё нормально зашлось!почитил сканерами нашёл какието вирусы удалил, перезгрузил, всё нормально работает!!!

    ОтветитьУдалить
  147. komsomolec, спасибо за подробную инструкцию. помогло.

    ОтветитьУдалить
  148. у меня "sfc /scannow" не находит... что делать???

    ОтветитьУдалить
  149. Здравствуйте, у меня теже проблемы с вирусом,только номер 8-917-168-29-81. Могу ли я воспользоваться вашей инструкцией? Заранее благодарен!

    ОтветитьУдалить
  150. Всё более менее понятно, единственое что нету не сидюка не флешки, просто цапанул зараженный винт к другому компу, вопрос такой как из рабочий винды запустить редактр реестра зараженной винды? желательно линк на прогу если не большая, качать много не могу так как сижу с 3джи

    ОтветитьУдалить
  151. сейчас проделал всю процедуру - помогло, но не на долго
    после проверки компьютера касперским - вылезло сообщение о вирусе в автозагрузке - после чего перезагрузка и опять тоже самое
    сейчас попробую проделать все заново и проверить систему из под лайвСД
    думаю нужно удалять все сомнительные ехе файлы

    ОтветитьУдалить
  152. так только что обнаружил еще один файл который делает что-то с системой правда не запомнил его название
    что то типа taskmjr.exe вроде но точно не помню
    фишка в том что его каспер обнаружил как вирус перед блокировкой и у него такой же значек как и у userinit.exe был
    сейчас посмотрим к чему это меня приведет)
    надеюсь я правильно его удалил)

    ОтветитьУдалить
  153. Скажите пожалуйста какое значение должно быть в реестре у параметра Taskman в разделе "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon" ???????
    сейчас стоит C:\Docum...\Alex\fswagz.exe
    я подозреваю что это не то что должно быть...

    ОтветитьУдалить
  154. Спасибо за статью, но все же осталась одна проблема (вирус модифицировался по всей видимости) при вызове диспетчера задач баннер вновь появляется. Подмена диспетчера задач, как говорит avz, как это исправить...

    ОтветитьУдалить
  155. Огромное спасибо автору статьи. Работает на все 100% :)))

    ОтветитьУдалить
  156. М О Л О Д Е Ц komsomolec!!! СПАСИБО! Всё работает.

    ОтветитьУдалить
  157. Вчера хватанут. NOD начал блокировать, но видимо не успел.В оканцовке я смотрел на этот блокер.Загрузился с диска Alkid Live , удалил два exe файла в С/ProgramData. Один 22СС6С32.exe второй что-то МММММММММ.exe Перезагрузился.!? Предстал чёрный экран, набрал ctrl+alt+del . Через новую задачу залез в комп, запустил востановление системы.ПЕРЕЗАГРУЗКА!? Блин какбудто и не хватал ничего, всё работает ровно.Проверил на вирус,"Kaspersky Virus Removal Tool" попался один. У меня VISTA

    ОтветитьУдалить
  158. ВНИМАНИЕ!!!
    ВНИМАНИЕ ВСЕМ, КТО СТОЛКНУЛСЯ С ПРОБЛЕМОЙ РАБОЧЕГО СТОЛА (аналогично той, что описал Сергей в сообщении 3 июня 2011 г. 18:16). Скорее всего у вас отсутствует файл "userinit.exe". Проверьте его наличие в директории C:\WINDOWS\system32\. Также возможно, что файл у вас есть, но инфицирован. Попробуйте заменить его на файл с рабочей машины.
    Решала другу эту проблему с банером (тоже не загружался рабочий стол), и я совершенно случайно заметила, что отсутсвует сей файл в папке system32 =) После добавления (наконец-то!!) удалось полноценно запустить винду)))

    Добрейший komsomolec! Огромноейшее Вам спасибо за эту статью))) Без Вас бы не справилась))) Ещё раз благодарю!

    С уважением, Алёна.

    ОтветитьУдалить
  159. ОГРОМНОЕ СПАСИБО!!!
    Удалил это бан долбаный))))
    Я и незнаю что бы без вас делал.
    Еще раз спасибо.
    +1 в копилку моего опыта :D

    ОтветитьУдалить
  160. Спасибо выручил.Правда я не нашел файла test.exe.Дополнительно были заражены файлы C:\WINDOWS\system32\taskmgr.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\system32\ dllcache\taskmgr.exe
    C:\WINDOWS\system32\ dllcache\userinit.exe
    После удаления вируса рабочий стол не загружается.надо заходить через диспетчер задач-новая задача-regedit-прописал значение shell -"C:\WINDOWS\explorer.exe"
    Все работает все прекрасно.Удачи в сети.

    ОтветитьУдалить
  161. Большое спасибо! помогло, правдо немного помучился с bios чтобы ноут с флэшки грузился.

    ОтветитьУдалить
  162. Здравствуйте, записала на диск эту файл .iso, когда комп перезагружается - он пишет чтоб я любой клавишей подтвердила загрузку с диска, я подтверждаю, но при этом у меня все также висит этот баннер((((( Что я делаю не так?

    ОтветитьУдалить
  163. А у меня знакомый подхватил этот вирус. Я вставил кго жесткий себе в комп, скопировал userinit.exe, и запустил у себя на рабочем столе.
    Потом с его компа сделал все по инструкции. И у него все заработало.
    А вот со своего компа не нашел 03014D3F.exe" и "22CC6C32.exe". userinit.exe скопировал с рабочего компа, скопировал explorer.exe, редактировал реестр, ставил shell -"C:\WINDOWS\explorer.exe", но постоянно одно и то же: ВХОД В СИСТЕМУ - ЗАВЕРШЕНИЕ СЕАНСА, и после перезагрузки и загрузки с диска, в реестре значение userinit меняется на userinit (а я ставил как в инструкции c:\windows...).
    Может у кого есть какие мысли по этому поводу????

    С Уважением Роман!!!

    ОтветитьУдалить
  164. я хочу заменить explorer.exe пишет у вас нет прав, нет доступа, помогите плиз! так же нет прав удалять Юсеринит например

    ОтветитьУдалить
  165. Не могу заменит Эксплорер.ехе, пишет нет прав и т.д. Так же не могу удалить Юсеринит ну вообще некоторые файлы, помогите Пожалуйста!

    Заранее благодарен!

    ОтветитьУдалить
  166. Не могу заменит Эксплорер.ехе, пишет нет прав и т.д. Так же не могу удалить Юсеринит ну вообще некоторые файлы, помогите Пожалуйста!

    Заранее благодарен!

    ОтветитьУдалить
  167. у меня вообще проблема, ставлю в BIOSe загрузку с USB-HDD, начинается загрузка, далее на черном экране какие-то значения и всё...никаких предложений о загрузке Live CD с разными параметрами не поступает...что делать?

    ОтветитьУдалить
  168. Когда дошел до пункта с реестром, до столькнулся с ошибкой: Registry Access Error, ret=1017

    При попытке загрузить или восстановить файл реестра выяснилось, что файл имеет неверный формат.

    Что делать?

    ОтветитьУдалить
  169. всё равно я обновлю свой вирус. Пока не все доходят на жтот форум. Денги приходят каждый день. Народ быдло. так вам и надо.

    ОтветитьУдалить
  170. Непомог ни один из вышеперечисленных способов.
    Вирус продолжает прогрессировать . Обидно что брат вчера словил. а я пол дня мучаюсь 8(((
    тефлефон переодически меняется
    Файлов с вирусами никаких в никаких папках ненашёл. И даже похожих на них.
    В параметрах реестра тоже всё норм (в тех что указаны)
    Единственное только в /Image File Execution Options нашёл подраздел IEInstal.exe на всякий случай удалил. Но результата никакого.
    Винда 7ка .

    ОтветитьУдалить
  171. А у меня такое же окно вируса, вот только номер телефона 8-917-812-82-04, это что, уже другой троян?

    ОтветитьУдалить
  172. Ильдус, г. Набережные Челны9 июня 2011 г. в 21:30

    Спас комп подруги!
    Большое Вам человеческое спасибо!
    Хорошо, что на свете есть ещё вот таки ЛЮДИ как Вы!
    Дай вам Бог здоровья и процветание вашему сайту!

    ОтветитьУдалить
  173. "всё равно я обновлю свой вирус. Пока не все доходят на жтот форум. Денги приходят каждый день. Народ быдло. так вам и надо. "
    Дорогой "вирусописатель"-школьник, это не форум, а комментарии к блогу. Так что кого называть быдлом, я бы еще подумал. Ну а если этот вирус хотя бы чуточку поднимет компьютерную грамотность населения, я был бы рад.

    ОтветитьУдалить
  174. в HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon" “Userinit стоит значение X:\i386\system32\userinit.exe, делаю как вы сказали, при загрузке рабочий стол не загружается, опять загружаюсь через CD захожу в реестр, и опять стоит значение X:\i386\system32\userinit.exe, файл explorer.exe есть, скачала ваш, в папку виндовс он не копируется.

    ОтветитьУдалить
  175. Спасибо автору - грохнул по инструкции как описано в этой ветке. Единственное LiveCD не было загрузился из под РескуеДиск касперского старенького - файл с вирусом грохнул и переименовал как указал автор только из под линукса. после перезагрузки ярлычки не появились соответсвенно , Ctrl+Alt+Del - меню "Файл" - выполнить - regedit.exe и по иструкции правка реестра - все заработало.
    Другой порно-банер сегодня на номер 9037073861 - дал перегрузиться в безопасном режиме , ветки рееста в порядке были . АйсУтилдиты показали что в автозагрузке по адресу c:\Documents and Settings\Admin\26212444.exe - вот это и был вирус - просто удаляеться. Хочеться отметить что утилиты с Др.Вэб и с Касперского - так ниодин вирус и не увидели - все вручную пришлось удалаять

    ОтветитьУдалить
  176. А где можно скачать taskmgr.exe для Windows xp?????? судя по тому, что у меня он весит 26кб и диспетчер задач не открывается - он заражен!

    ОтветитьУдалить
  177. та же проблема, что и у Романа.. исправляю все по инструкции, а оно возращается в значение userinit опять.. и компьютер загружается, а через пол минуты снова переходит в ждущий режим.. помогите пожалуйста..

    ОтветитьУдалить
  178. Большое спасибо!!! Помогло! Всё внятно написано, даже для тех кто в танке)

    ОтветитьУдалить
  179. Спасибо Комсомольцу!
    Сделал все по схеме.
    Рабочий стол не загружается.
    Скачал из архива explorer.exe, установил.
    Повторно прописал адрес к файлу explorer.exe в shell.
    При загрузке explorer.exe - открывается только папка Мои документы. Рабочий стол так и остается пустым.

    Подскажите что в данном случае делать?

    ОтветитьУдалить
  180. Еще раз огромное спасибо Комсомольцу за безвозмездные и работающие советы как вылечить комп от смсного гав№на.

    Только что решил задачу с загрузкой рабочего стола:
    1. Сделать все по предложенному алгоритму
    2. (Если рабочий стол пустой) Ctrl+Alt+Del выбираем Файл-Новая задача - выбираем с диска(флешки) куда записали образ от уважаемого Комсомольца с Alkid файл avz.exe в папке AVZ
    3. В AVZ меню выбираем "Файл/Восстановление системы". Пометить позиции "9. Удаление отладчиков системных процессов" и "16. Восстановление ключа запуска Explorer", после чего нажать "Выполнить отмеченные операции".
    4. Перезагрузиться

    Лично у меня все заработало только после этого.

    Всем удачи! Я простой пользователь. Поэтому и у вас получится )

    ОтветитьУдалить
  181. спасибо большое)) все работает))

    ОтветитьУдалить
  182. Добрый вечер! помогите пожалуйста! Я сделал образ на флешку,загрузился с нее,но войдя в мой компьютер как было сказанно в пункте №6,я не обнаружил Диска С. Там только папка документы,Ram disk (B) объемом 453Mb и съемный диска (Х).Больше ничего.Подскажите,что дальше делать и как быть,за ранее спасибо!

    ОтветитьУдалить
  183. Добрый день!
    Попробовал сделать как описано, но при запуске после -вывешивается тоже что и было, короче всё без изменений, что делать?

    ОтветитьУдалить
  184. Добрый день!
    Попробовал как Вы изложили, но после изменения в БИОСЕ - запустить с дискаСД и нажатия на Ф10 всё как и было ни чего не меняется!!!
    Что делать???

    ОтветитьУдалить
  185. У меня не работает курсор и мышь,появился рабочий стол,но влесть не могу не куда. Грузил и с драйверами и без. Что делать?

    ОтветитьУдалить
  186. Не работают курсоры,прилюбой загрузке. Что делать

    ОтветитьУдалить
  187. Привет. Всё грузится,но есть проблема. Не работает курсор и не могу выйти в мой компьютер уже из проги. Что делать? Спасибо.

    ОтветитьУдалить
  188. Этого пи-д-о-ра, использующего даннай вирус, надо ВЫ-Е-БАТЬ, чтобы со рта потекло, а потом в череп нас-рать! Го-н-дон - вычислю - пеняй на себя, и тогда у тебя денюшки рекой польются а не закапают! Только на таблетки. Жди беды!
    Кто не спрятался - я не виноват!

    ОтветитьУдалить
  189. не работает клавиатура и мышь. В BIOS войти не могу. ?.

    ОтветитьУдалить
  190. Актуален ли данный способ для номеров (918)? Текст баннера такой же, и номер МТС.

    ОтветитьУдалить
  191. спасибо все с 1 раза сделал на ноутбуке а что касается Alkid Live CD то я ее просто запиал на USB флешку предворительно прошив флешку

    ОтветитьУдалить
  192. делал всё по инструкции 3 раза.проверил на вирусы Dr Web с флешки,которую записал.он удалил вирусы.после этого вроде всё стало нормально,комп загрузился.попробовал вызвать деспетчер задач и опять этот банер появился.подскажите что я не так делаю.

    ОтветитьУдалить
  193. а подскажите, если жёсткий с заражённого компа поставить как доп жёсткий на здоровый комп, можно обойтись без беготни с флешкой и дисками?

    ОтветитьУдалить
  194. Подправьте инструкцию.
    Надо запускать не regedit в строке ВЫПОЛНИТЬ а
    regedit(remote) в меню ПУСК-и там где-то это есть.
    Просто не помню в каком подменю конкретно.
    После этого не будет закрываться сеанс сразу после запуска системы.
    Да и заражен действительно не только этот файл
    у меня были ещё заражены файлы
    C:\WINDOWS\system32\taskmgr.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\system32\ dllcache\taskmgr.exe
    C:\WINDOWS\system32\ dllcache\userinit.exe

    Всё надо заменить на рабочие с другого компа.

    ОтветитьУдалить
  195. можно, для редактирования реестра системы на зараженном винчестере используйте: https://sourceforge.net/projects/regeditpe/
    Спасибо за статью!
    Актуально для номерателефона:8-918-200-69-12. Изменяются файлы: userinit.exe, taskmgr.exe, подменяется параметр shell и появляется файл 22CC6C32.exe.

    ОтветитьУдалить
  196. Благороднейшее СПАСИБО!!!
    Были некоторые отклонения от действий предложенных Вами, но в целом все обошлось успешно!!!
    Спасибо!

    ОтветитьУдалить
  197. Нарезал на флешку, и при загрузки ее пишет "reboot and select proper boot device
    or insert boot media in selected boot device and press a key" мля хз че делать (на СД записать не могу)

    ОтветитьУдалить