Собственно, статья здесь:
http://ugozhaev.livejournal.com/1028.html
Прошу оценить. Комментарии, замеченные ошибки и предложения по улучшению приветствуются.
Если, вдруг, не туда написал - больно не пинайте, не со зла. :)

e_consul, Отличная статья! :up: Оставляю потомкам! :yes:

Только-только написал статью. В ней написал, что нет пока баннеров под Windows 7... И вот, сегодня 2 компьютера с Windows 7 и с порнобаннерами. Внесу уточнения :)

e_consul, путёво.
Еще есть такие замечательные сайты как http://forum.oszone.net или http://virusnet.info/. Там Вам с удовольствием помогут, если Вы выполните их требования.
звучит стрёмно: такое чувство, что требование - нечто типа "для помощи в лечении от смс-баннера отправьте смс на номер ххх-хх-ххх или перечислите н-ную сумму на веб-кошель номер ууууууу, а также бросьте пить, курить и материться" :)

Кста, для самых простых случаев - когда попрошайка просто мешает работать, закрывая экран, но окна открываются:
открываем ворд, пишем чего угодно
инициируем завершение работы системы, идем в ворд
на запрос сохранения изменений отвечаем ОТМЕНА.
имеем завершение работі всех процессов в системе, кроме ворда. Всех, включая попрошайку. Дальше - по статье, разве что перезагружать в безопасный режим не требуется ;)

ShaddyR, Ты гений! :up:

Соседа приняли в гей-клуб или как я боролся с смс-вымогателем...

Пару дней назад меня разбудил сосед в 7 утра: - я вчера вечером нажал на ссылку, теперь у меня мужики на экране трахаются.
Ок, забираю ящик к себе и начинаю разбираться.
Вместо загрузки профиля и появления рабочего стола меня поджидало сообщение "...Отправьте 300 с чем-то рублей на номер +79672865841" а под ним ещё одно: "Если вы хотите убрать сообщение немедленно - отправьте 41000<+пара квадратов> на 3381" и это "великолепие" на фоне открытого IE с гей-картинками и адресом xyecoc.net (уж простите, из песни слов не выкинешь).
Работала только клавиатура (даже грызун отвалился), ни на что кроме ввода букв и Enter она не реагировала. При попытке загрузки в безопасный режим - машина уходила в ребут. Никакие рансомхайды включить было невозможно. Попробовал колотить коды разблокировки с сайтов каспера и веббера - не прокатило.
Попытался воспользоваться флехой с LiveCD - соседская материнка наотрез отказалась её воспринимать.
Ладно, вытаскиваю винт и цепляю к своей машине. CureIT находит 3 трояна и благополучно их прибивает. Windows по-прежнему не грузится. Без лишнего сожаления переставляю систему (она там с 2005 года жила и давно нуждалась в обновлении). Сосед радуется жизни...

Вчера утром он мне опять звонит: - "я... это... вопщем... короче... всё снова".
Багровею (на переустановку и всякие там обновления ушли почти сутки...)
Забираю системник, включаю. Да, всё то же самое, только сообщение немного изменилось:
http://i060.radikal.ru/1006/e1/b6e12b930c7dt.jpg (http://radikal.ru/F/i060.radikal.ru/1006/e1/b6e12b930c7d.jpg.html)
теперь номер: 89031602769 и сумма подросла.
Опять прицепил HDD к своей машине (прицепился как "I"), качнул RegeditPE и стал проверять:
1. Автозагрузка - чисто.
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\Windows\system32\userinit.exe, - чисто.
3. В этой же веточке реестра, немного выше есть ключ shell. Его значение должно быть Explorer.exe и никакое другое.
- опа, здрасте, вот оно:
http://s47.radikal.ru/i116/1006/a9/db1ef1a092a8t.jpg (http://radikal.ru/F/s47.radikal.ru/i116/1006/a9/db1ef1a092a8.jpg.html)
меняю значение на explorer.exe и перегружаю машину - усё нормально, система загрузилась.

e_consul, спасибо за статью!

З.Ы. Папку 42Z20HDD зарарил, если кто хочет поковыряться - пишите, вышлю. В ней много картинок :) и вот такая ерунда:
http://s001.radikal.ru/i195/1006/77/cc13678f12c8t.jpg (http://radikal.ru/F/s001.radikal.ru/i195/1006/77/cc13678f12c8.jpg.html)

Morpheus,
мда...это говорит о самой элементарной вещи
простая чистка темповых папок из под лайв сиди могла устранить проблему

ispolin, неа, после проверки CureIt я полностью снёс всё содержимое Temporary Internet Files - винда не грузилась, да и как, если она не знает, что надо explorer загружать?

З.Ы. Забыл сказать, что лицензионный KIS 2010 молчал как рыба об лёд...

лицензионный KIS 2010 молчал как рыба об лёд.. »
а проактивная защита и мониторинг системного реестра - включены?

ShaddyR, все настройки по умолчанию. Никто специально ничего не включал/не выключал.

все настройки по умолчанию. Никто специально ничего не включал/не выключал. »
то-то и оно. А стоило-бы - глядишь, не пришлось танцевать с бубном ;)

ShaddyR, а они отключены по умолчанию? Не помню уже, от каспера избавился.

они отключены по умолчанию? »
Да,
мониторинг системного реестра »
в KIS по-умолчанию отключен - видимо, чтоб не пугать юзеров лишними вопросами. Вместо этого лишними вопросами их пугают смс-попрошайки ;)

ShaddyR, мдя, зря... Завтра включу :) Пасиба!

ShaddyR, а где в KIS мониторинг системного реестра? Я только мониторинг системных процессов знаю.

e_consul, Все вопросы по работе данного антивируса, задаются в теме - Антивирус Касперского (KAV) и Kaspersky Internet Security (KIS) 2010 (http://www.forum.oszone.net/thread-154023.html). :)

Извините за оффтопик.