Я вже писав статтю про те як позбутися від одного з блокувальників. Зараз же я розповім універсальний алгоритм, який допоможе позбутися від будь-якого блокувальника системи.
1. Завантажуємо систему
1.1. Спочатку пробуємо запуститися в безпечному режимі з підтримкою командного рядка. Більшість зустрічалися мені блокувальників в ньому не завантажуються, до того ж безпечний режим завантажується набагато швидше, ніж Live-CD. Якщо блокувальник все-таки завантажився, пробуємо закрити його комбінацією клавишь alt + f4 - іноді допомагає. Якщо допомогло - переходимо до кроку 2.
1.2. Якщо банер все ж в залишився, доведеться завантажуватися з Live-CD. Я зазвичай користуюся Alkid LiveCD, який входить до складу ZverDVD.
У безпечному режимі: команда «regedit» в Пуск> Виконати.
3. Перевіряємо параметри запуску Windows
У гілці реєстру HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon перевіряємо параметри userinit і shell. У Windows XP вони повинні бути рівні «C: \ WINDOWS \ system32 \ userinit.exe» і «explorer.exe» відповідно. Якщо це не так - видаляємо зайві записи і файли, які їм відповідають
4. Перевіряємо автозагрузку
Зазвичай, на попередньому етапі можна зупинитися, але деякі блокувальники прописуються в автозавантаження системи. Тому є сенс її перевірити. У Windows XP вона розташовується в наступних гілках реєстру:
- [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
- [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]
- [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce]
- [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx]
- [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
- [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce]
- [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices]
- [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce]
Якщо знаходимо щось зайве - видаляємо.
Все, залишилося перезавантажитися і переконатися, що блокувальник зник. Якщо він все ж в залишився, то швидше за все файли, які ми видалили на попередніх етапах знову з'явилися. Ймовірно, вони були не тільки там, тому, є сенс пошукати їх на всьому диску.
Ще бувають варіанти, коли файл userinit.exe підміняється однойменною вірусним файлом. Тоді треба замінити його оригінальним з відповідною Вінди на іншому компі. Я це роблю з флешки, у мене завжди цей файлик там лежить ...
Також банер може прописатися в завантажувальну область диска (MBR). В такому випадку, напевно, можливо кілька варіантів ... Але я користувався тільки наступним: за допомогою проги Acronis і резервної копії завантажувального області диска (які теж завжди у мене на флешці) відновлював цю саму MBR область ...
Буває що записи в реєстрі правильні, а вірус замінив собою зазначені файли - userinit, explorer, а іноді і regedit.Поетому їх в такому випадку треба замінити копіями з робочою системи.