Здравствуйте
Имеется Windows XP SP3.
Споймал вирус вымогатель. При загрузке компьютера рабочий стол прогружается нормально, все иконки видны, но зразу же после его загрузки пояляется окно Центр обеспечения безопасности и рабочего стола не видно. В нем написано что у меня не лицензионная версия виндовса и мне надо отправить смс на номер 3649 с текстом 208431195. Я понимаю что это развод на деньги. Ничего я не отправлял. Зашел на сайт касперского, сгенерировал там коды разблокировки - не помогают. Зашел на сайт доктор веба - тоже там сгенерировал коды разблокировки - тоже не помогают.
Грузился с Live CD/DVD - гонял всеми возможными антивирусами - докрот веб (CureIT свежий), касперский свежий, нод почти свежий, AVZ, Trojan Remoover и т.д. У меня лицензионный касперский - я делал аварийный диск со свежими базами - проверял.
В итоге как появлялось это окно так и появляется.
Помогите мне его удалить, нет желания и возможности виндовс переустанавливать.

http://forum.oszone.net/thread-148188.html

mmn1980, Проверьте эти ключи реестра.

1. Нам нужен любой загрузчик с возможностью правки удаленного реестра (BartPe, liveCD......)
2. Запустите regedit и выделите раздел HKEY_USERS.
3. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
4. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
5. Введите имя для раздела, который вы загрузили, например, MyHive.
В MyHive ищем
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.
Правильное значения для Userinit этоC:\WINDOWS\system32\userinit.exe,Если отличается - также исправить, запятую после строки писать обязательно.

А также посмотри и напиши значение ключей Userinit и AppInit_DLLs. Последний параметр находится тут:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Спасибо за ответы
По порядку своих движений:
1 Взял LiveCD. У меня Alkid LiveCd от 21.12.09
2 Нажал Win + К - ввел Regedit
3 Мышкой стал на HKEY_USERS. Дальше File загрузить куст, Мой компьютер, диск С, папка Windows, System32, папка Config - выделяю файл Software без разширения, нажимаю открыть, ввожу имя DRIVE.
4 Загрузились у меня папки как я понял от программ которые я устанавливал. Я иду в папку Microsoft\Windows NT\CurrentVersion\Winlogon. В шеле стоит Explorer.exe. Строка Userinit совпадает полностью, запятая присутствует.
Значение ключей Userinit и AppInit_DLLs:
AppInit_DLLs - пусто, ничего не написано.
Userinit - значение С:\WINDOWS\System32\userinit.exe,
В итоге - все прописано как должно быть а после загрузки рабочего стола все равно эта гадость выскакивает.

Можно где то в реестре найти ветку которая отвечает за автозапуск программ кторые загружаются ПОСЛЕ загрузки рабочего стола и трея. У меня же комп нормально прогружается, вижу рабочий стол, иконки, трей загружается, антивирус грузится - после всего этого все с рабочего стола исчезает и появляетя окошко вымогатель.

mmn1980,
у алкида на диске есть erd commander
вот через него заходите в реестр заражённой машины
походу вы смотрели реестр диска

Запустил я erd commander registry editor
Открыл ветку HKEY_USERS
Сразу же увидел название пользователя Виталий - такое имя у компа.
Зашел в Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
В опции Shell был прописан explorer.exe, с:\ а дальше какая то лабуда была прописана которая ссылалась на корзину. Я до запятой все удалил.
Перезагрузил комп - все равно выскакивает вымогатель.
Зашел в Software \ Microsoft \ Windows NT \ CurrentVersion \ в разделах Run и RunoNCE у меня пусто.

erdregedit (из ERD Commander) позволяет работать с реестром зараженной системы без загрузки куста.

Проверьте в этой ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр shell

mmn1980,
ну а в параметре? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows »
AppInit_DLLs »

с алкида запустите тотал командер
на диске С
c:\Documents and Settings\ВАШ ПРОФИЛЬ\Local Settings\

вычистите полностью папки Temp, Temporary Internet Files, можно до кучи и Cookies

зайдите в папку system32, отсортируйте файлы по дате создания, самые свежие переименуйте расширение (можно тупо последнюю букву расширения заменить еденицей, только запомните что и как переименовывали), попробуйте загрузиться

thyrex
он же написал
Зашел в Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
В опции Shell был прописан explorer.exe, с:\ а дальше какая то лабуда была прописана которая ссылалась на корзину. Я до запятой все удалил.

ispolin, он же написал
Открыл ветку HKEY_USERS »

А я просилHKEY_LOCAL_MACHINE »Разницу увидели с учетомerdregedit (из ERD Commander) позволяет работать с реестром зараженной системы без загрузки куста. »?

thyrex,
упс..сорри
устраняюсь
не буду мешать опытному хелперу

Зашел я в раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell стоит Explorer.exe
Userinit - параметр C:\WINDOWS\System32\userinit.exe,
Все раво вымогатель появляется пр загрузке.
Откуда еще может автоматом грузиться эта гадость?

а дальше какая то лабуда была прописана которая ссылалась на корзину. »Имя конечно же не помните? Поиск в реестре из Live CD помог бы, я думаю

последняя фраза
прописана которая ссылалась на корзину »

часто бывает юзер не видит окончания RECYCLER и RECYCLED
первое правильно название, второе созданная вирусом папка
поищите в корне\ях диска такую папку и сносите

PS у алкида есть рядом с кнопкой пуск иконка HijackThis
правой кнопкой по иконке и выбрать пункт "запуск с удалённым реестром"
откроется окно, выберите свой профиль,запустится программа, сделайте лог и вложите его сюда
хелпер разберётся
кстати там же есть avz сделайте те же рекомендации приведённые выше и сформируйте логи что требуют тут