Споймал вирус вымогатель. Как его удалить
 

Здравствуйте
Имеется Windows XP SP3.
Споймал вирус вымогатель. При загрузке компьютера рабочий стол прогружается нормально, все иконки видны, но зразу же после его загрузки пояляется окно Центр обеспечения безопасности и рабочего стола не видно. В нем написано что у меня не лицензионная версия виндовса и мне надо отправить смс на номер 3649 с текстом 208431195. Я понимаю что это развод на деньги. Ничего я не отправлял. Зашел на сайт касперского, сгенерировал там коды разблокировки - не помогают. Зашел на сайт доктор веба - тоже там сгенерировал коды разблокировки - тоже не помогают.
Грузился с Live CD/DVD - гонял всеми возможными антивирусами - докрот веб (CureIT свежий), касперский свежий, нод почти свежий, AVZ, Trojan Remoover и т.д. У меня лицензионный касперский - я делал аварийный диск со свежими базами - проверял.
В итоге как появлялось это окно так и появляется.
Помогите мне его удалить, нет желания и возможности виндовс переустанавливать.

mmn1980, Проверьте эти ключи реестра.

1. Нам нужен любой загрузчик с возможностью правки удаленного реестра (BartPe, liveCD......)
2. Запустите regedit и выделите раздел HKEY_USERS.
3. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
4. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
5. Введите имя для раздела, который вы загрузили, например, MyHive.
В MyHive ищем
Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.
Правильное значения для Userinit этоЕсли отличается - также исправить, запятую после строки писать обязательно.

А также посмотри и напиши значение ключей Userinit и AppInit_DLLs. Последний параметр находится тут:

Спасибо за ответы
По порядку своих движений:
1 Взял LiveCD. У меня Alkid LiveCd от 21.12.09
2 Нажал Win + К - ввел Regedit
3 Мышкой стал на HKEY_USERS. Дальше File загрузить куст, Мой компьютер, диск С, папка Windows, System32, папка Config - выделяю файл Software без разширения, нажимаю открыть, ввожу имя DRIVE.
4 Загрузились у меня папки как я понял от программ которые я устанавливал. Я иду в папку Microsoft\Windows NT\CurrentVersion\Winlogon. В шеле стоит Explorer.exe. Строка Userinit совпадает полностью, запятая присутствует.
Значение ключей Userinit и AppInit_DLLs:
AppInit_DLLs - пусто, ничего не написано.
Userinit - значение С:\WINDOWS\System32\userinit.exe,
В итоге - все прописано как должно быть а после загрузки рабочего стола все равно эта гадость выскакивает.

Можно где то в реестре найти ветку которая отвечает за автозапуск программ кторые загружаются ПОСЛЕ загрузки рабочего стола и трея. У меня же комп нормально прогружается, вижу рабочий стол, иконки, трей загружается, антивирус грузится - после всего этого все с рабочего стола исчезает и появляетя окошко вымогатель.

mmn1980,
у алкида на диске есть erd commander
вот через него заходите в реестр заражённой машины
походу вы смотрели реестр диска

Запустил я erd commander registry editor
Открыл ветку HKEY_USERS
Сразу же увидел название пользователя Виталий - такое имя у компа.
Зашел в Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
В опции Shell был прописан explorer.exe, с:\ а дальше какая то лабуда была прописана которая ссылалась на корзину. Я до запятой все удалил.
Перезагрузил комп - все равно выскакивает вымогатель.
Зашел в Software \ Microsoft \ Windows NT \ CurrentVersion \ в разделах Run и RunoNCE у меня пусто.

erdregedit (из ERD Commander) позволяет работать с реестром зараженной системы без загрузки куста.

Проверьте в этой ветке параметр shell

mmn1980,
ну а в параметре? с алкида запустите тотал командер
на диске С
c:\Documents and Settings\ВАШ ПРОФИЛЬ\Local Settings\

вычистите полностью папки Temp, Temporary Internet Files, можно до кучи и Cookies

зайдите в папку system32, отсортируйте файлы по дате создания, самые свежие переименуйте расширение (можно тупо последнюю букву расширения заменить еденицей, только запомните что и как переименовывали), попробуйте загрузиться

thyrex
он же написал

ispolin, он же написал
А я просилРазницу увидели с учетом?

thyrex,
упс..сорри
устраняюсь
не буду мешать опытному хелперу

Зашел я в раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell стоит Explorer.exe
Userinit - параметр C:\WINDOWS\System32\userinit.exe,
Все раво вымогатель появляется пр загрузке.
Откуда еще может автоматом грузиться эта гадость?

Имя конечно же не помните? Поиск в реестре из Live CD помог бы, я думаю

последняя фраза
часто бывает юзер не видит окончания RECYCLER и RECYCLED
первое правильно название, второе созданная вирусом папка
поищите в корне\ях диска такую папку и сносите

PS у алкида есть рядом с кнопкой пуск иконка HijackThis
правой кнопкой по иконке и выбрать пункт "запуск с удалённым реестром"
откроется окно, выберите свой профиль,запустится программа, сделайте лог и вложите его сюда
хелпер разберётся
кстати там же есть avz сделайте те же рекомендации приведённые выше и сформируйте логи что требуют тут