Удаление порно баннера, требующего пополнить счет - Шаг 3.

Проверяем автозагрузку заблокированной Windows. Запускаем инструмент Управление компьютером через меню Start - Administrative Tools - Autoruns (Windows XP) или Управление компьютером (Windows 7)

 

Ветка System показывает элементы автозагрузки общие для всей ОС, то есть для всех учетных записей (куст реестра HKEY_Local_Machine)

Поиск баннера в автозагрузке

 

На рисунке видно, что системный файл userinit.exe заменен зараженным вирусом файлом. Это определяется по описанию файла (Description) и по компании-разработчику (Company). Также подмену файла userinit.exe можно распознать по дате.

Именно из-за того, что файл userinit.exe является зараженным, баннер блокировал Windows в безопасном режиме и появлялся до загрузки командной строки. Ведь он отвечает за вход пользователя в систему и загружается сразу после выбора учетной записи.

Необходимо удалить зараженный файл C:\Windows\System32\userinit.exe и заменить его оригинальным файлом. Последние версии баннеров также подменяют файл C:\windows\system32\taskmgr.exe из-за чего при запуске диспетчера задач снова появляется баннер. Этот файл лучше тоже заменить на оригинальный, т.е. удалить и восстановить с диска. Как это сделать можно прочитать здесь: Как восстановить поврежденные или удаленные системные файлы Windows. Дубли этих файлов лежат в папке C:\windows\system32\dllcache. С ними нужно проделать те же действия.

 

Также нужно проверить программы, загружаемые от имени конкретного пользователя. Их можно посмотреть в ветке с именем учетной записи пользователя (в приведенном примере имя учетки - 1).

На рисунке видно, что в C:\Documents and Settings\1\Главное меню\Автозагрузка находится зараженный файл. Определить это можно по дате создания и модификации файла. В первую очередь должно насторожить то, что поля Описание (Description) и Разработчик (Company) пустые. Надежный разработчик всегда указан в поле Company. Этот файл нужно удалить через Проводник.

Многие модификации баннеров в последнее время вносят свои записи в файл hosts тем самым перенаправляя с популярных сайтов, например Одноклассники или ВКонтакте, на свой сервер, где ваш компьютер будет снова инфицирован. Поэтому нужно обязательно проверить файл hosts на наличие посторонних записей. Подробнее читайте здесь.

Встречаются баннеры, которые создают вторую папку Windows, тем самым сбивая с толку и усложняя поиск недоброкачественного ПО. Подробнее о таких баннерах и как их удалить в этой статье.