Баннер

Там может быть дублер подмененного userinit. Поиск по диску больной системы рулит.

Для того, чтобыпопасть в реестр больной системы, Запускаем редактор реестра здоровой (Пуск – Выполнить – regedit). В левой части редактора реестра нажимаем на раздел HKEY_LOCAL_MACHINE, после чего в верхнем меню выбираем «Файл» – «Загрузить куст…» . Откроется окошко обзора, в котором переходим по следующему пути: C:\WINDOWS\system32\config. В Вашем случае не обязательно будет диск C, может быть D или E, в зависимости от того, в какой раздел установлена операционная система.

Добравшись до папки config, щелкаем дважды на файле SOFTWARE. Редактор реестра предложить ввести имя для нового раздела – вводим что угодно, например 123. Раздел загружен, увидеть его Вы сможете в левой части окна редактора реестра. Теперь переходим в этой же левой части к следующей ветке раздела – HKEY_LOCAL_MACHINE\123\Microsoft\Windows NT\CurrentVersion\Winlogon. Кликнув на Winlogon, в правой части окна Вы увидите список параметров.

Из этих параметров нас интересует 2:

Shell – должен содержать значение Explorer.exe

Userinit – значение C:\WINDOWS\system32\userinit.exe,

Если у Вас не так – исправьте, дважды щелкнув на нужном параметре. Обычно, путь к файлу с вирусом находится в параметре Userinit. Перед его исправлением, запомните этот путь и, перейдя по нему в проводнике, удалите файл с вирусом.

З. ы. : Эта падла мне известна. 100% подменен Userinit/ Там поддельных будет 2 - поиск рулит gj диску с больной системой.... Эту самовосстанавливающуюся хрень удалить, исправить ключ Explorer.exe. В этом варианте не встречался с подменой диспетчера задач, но можно его тоже заменить (taskmgr.exe).
Кстати прелесть данного зловреда в том, что он без следа удаляется откатом системы, если таковое было включено...

Обе винды WinXP ?
Можно попасть во втроую через runscanner

Тебе нужно на больной винде заменить файл userinit.exe в папке C:\Windows\system32 и C:\Windows\system32\dllcache
а так же диспетчер задач

Здраствуйте.
У этого баннера нет кода разблокировки и он заменяет системные файлы... Лечение для него исключительно ручное (антивирус просто удалит зараженные файлы и эти убьет систему)

Особенности заражения этим видом Винлока.

-Файл C:\Windows\System32\userinit.exe как правило переименовывается в 03014D3F.exe (или вообще удаляется... тогда необходимо будет брать копии файлов с другой машины) .
А на место userinit.exe троян ложит свою копию. А т. к. userinit.exe всегда грузиться при старте ОС Windows-заражение обеспечено.
-Также троян подменяет файлы
C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\dllcache\userinit.exe
C:\Windows\System32\taskmgr.exe
-Копирует себя сюда C:\Documents and Settings\All Users\Application Data\22CC6C32.exe
-В папке C:\Documents and Settings\All Users\Application Data возможна еще одна копия этого файла, но уже с другим именем (например yyyy21.exe или lvFPZ9jtDNX.exe)
-Прописывается в реестре

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"

Инструкция
http:// rghost. ru/9324771
(уберите пробелы)
-------
С ув. группа хелперов антивируса Dr.Web

google.com

причем тут программирование?

Поставь на папку Application Data атрибут "только чтение".
Переименуй файл в .txt, сотри весь текст но файл оставь. Переименуй снова в .exe
Или скачай декомпилятор и измени код программы.
Когда надоест переустанови винду.
Еще зайди на сайт support.kaspersky.ru/viruses/deblocker

Была такая же проблема, юзай mwfix