Как удалить злополучный баннер, который блокирует компьютер и требует денег: без шума и пыли.

Многие из вас сталкивались с баннером, блокирующим работу Windows. И вроде бы не лазил никуда, а тут бац- и работа встала из-за наглого баннера.
Обычно требуют послать денег на мобильный, смс на короткий номер, пополнить счет через платежный терминал. Все из-за бабла. Бабло правит миром.
Разумеется, все люди умные (типа жизнь научила) и на требования виртуальных терористов ответят жестким отказом.
Ладно, что делать?

На самом деле (тут матерые системщики, продвинутые эникейщики надули губки и сказали - фи, есть деблокеры на сайтах Касперского, Доктор Веба, а теперь еще и на Eset, чего думать - влупил номер или нашел разблокировку, и сиди довольный - напрасно - это не отключает запуск вируса, и не уничтожает его тело, так что реинкарнация последнего - дело частое)
дело это довольно простое, хотя и обсуловленное несколькими мудреными процедурами.
Я тут у Экслера на сайте нашел юзерские способы борьбы, кому надо -
смотрите http://exler.ru/likbez/19-01-2011.htm
По мне так это чрезвычайно нервно выматывает.
Ну, к делу.
Как баннер работает - я вам не буду рассказывать, а то сами понапишете блокираторов.
Нам понадобится только руки, голова, глаза, и диск с любым линуксом Live-CD (хотелось бы, чтобы там был в наличии файловый менеджер, например, Midnight Commander.
Отлично сойдет DrwebLiveCD, который можно скачать по ссылке:
ftp://ftp.drweb.com/pub/drweb/livecd/drweb-livecd-600.iso
или инсталлятор, который можно загнать на загрузочную флешку:
ftp://ftp.drweb.com/pub/drweb/liveusb/win/drwebliveusb.exe

В общем, при помощи Nero (а в Windows 7 и без него) мы записываем образ на носитель
и загружаемся с носителя.
Если у кого-то проблемы, как загрузиться с носителя (диска, флешки), то тут универсального рецепта нет.
На материнских платах от Gogabyte канает кнопка F11\F12, нажимаемая призагрузке BIOS.
На Asus-ах - традиционно F8.
На ноутах HP - F6\F9.
на ноутах Samsung - F9, кажется.
На ноутах Assus - традиционно клавиша Esc.
Google вам подскажет, если что.

Сама затея довольно тривиальна - то есть без излишеств. Мы не ведемся на поводу у вирусописателей, подбирая как негры, нужный код, а ищем сам вирус и сносим его к ...сами знаете, к чему.
Так как из среды Windows вы вирус не найдете и не увидите (особо матерые DOS-юзеры могут при наличии активной командной строки удалить и в сеансе встроенного DOSа, но я не из таких, я вырос на Windows NT).

Загрузившись с носителя LiveCD, запускаем MidnightCommander.
нам понадобится любая из сторон-вкладок.
Переходим на самый верхний уровень каталогов, ищем каталог MNT.
Это подключенные носители, в том числе на жестких дисках.
Там чаще всего существует подкаталог DISK.
внутри него - характерные каталоги HDA, HDB, HDC...или SDA, SDB, SDC - это указатели уже конечных разделов на дисках, в зависимости от их типа (S-это SATA-диски, H-IDE\PATA).
Открыв нужный носитель (а нам нужен системный, содержащий каталоги Windows и Program Files), приступаем к поиску вируса.

Заходим в каталог Windows\Temp, клавишей Insert\Ins выделяем содержимое, клавишей F8 удаляем его.
Минимальное знание английского языка необходимо (я это говорил? говорю сейчас).
Ищем каталог Documents and Settings или Users(Windows Vista, 7)
Там ищем каталог с именем своего пользователя.
Ищем дальше вложенные каталоги Local Settings -и далее- Temp.(для WinXp)
для висты и семерки - AppData\Local\Temp (хотя там есть более понятные привчные ярлычки - найдете)
В каталоге Temp обычно куча временных файлов и всякой непонятной большинству байды, так что сносим оттуда все (особо дотошные могут даже поискать exe-шник или com-файл вируса).
Выделяем все в temp, сносим.
Есть еще пусть Local Settings\Temporary Internet Files\Content.IE5
это загруженный из интернета контент, среди которого вполне могут гнездиться троянчики.
Тоже безжалостно сносим содержимое Content.IE5 (только каталоги и exe- файлы).
В висте и семерке -
AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5
и AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5
(кстати, из данного каталога я таскаю в семерке загруженные браузером IE файлы).
Конечный каталог очищаем, удаляя только каталоги внутри него.
вуаля. можно осмотреть еще КаталогПользователя:
Documents and Settings\ваш юзер
Users\ваш юзер
на предмет непонятных exe-файлов. Им там не место, удаляйте.
Ну вроде все почистили.
Выключайте через Eject and Shutdown компьютер, извлекайте диск и грузитесь в обычном режиме.
80% из 100% все нормально загрузится.
Не забудьте уделить внимание вашему нерадивому антивирусу.
#
Если поврежден shell-запуск рабочего стола(тогда вместо рабочего стола вы увидите байду об ошибке или черный экран), то в безопасном режиме с поддержкой командной строки наберите команду REGEDIT, найдите в редакторе реестра раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
там есть такой параметр SHELL. В его значении должно быть написано Explorer.exe
Если нет - напишите именно так.
Проделав данную процедуру раз пять, вы уже будете показывать пальцем и ржать над теми, кто ищет код на деблокерах.
И вместо того, чтобы осаждать ресурс Ответы.майл.ру, наконец-то откроете OSZONE.NET или SECURITYLAB.RU

Если у вас также после этих процедур не работает Диспетчер задач или вместо него вылетает калькулятор( , да? ), спрашивайте, я дополню рассказ инструкцией по его реанимации.

Удачи всем, пошел хомячить.

upd:

Расскажу также как удалить баннер при помощи загрузочного диска Hiren's BootCD.
Это образ загрузочного диска который можно бесплатно скачать с торрентов:
http://rutracker.org/forum/viewtopic.php?t=2135635
Качалка с торрентов лучше вот такая:
http://www.utorrent.com
***
Скачиваете и устанавливаете качалку, регистрируетесь на торрентах, скачиваете себе образ диска. Записываете образ диска на чистую CD-болванку.
Все, вы вооружены и очень опасны.
Как загружаться со съемного носителя, описано выше.
Нам понадобится загрузить Mini WindowsXP.
Как выберете, дайте мини-винде загрузиться.
Не спешите радоваться, это еще не ваша винда, это сервисный виртуальный режим.
В области трея около часов появится такая иконка с эмблемой.
(Рассказываю по памяти, но сам сие проделывал уже десятки раз, так что если что и опущу, то это не так важно.)
По нажатию правой клавиши мыши по этой иконке открывается меню. Выбираем раздел Registry (Работа с реестром) -> PE Editor / Registry Editor PE.
Далее при запуске (ВНИМАТЕЛЬНО, ЭТО ВАЖНО!!!) от вас потребуется указать расположение папки Windows ВАШЕЙ БОЛЬНОЙ СИСТЕМЫ. Ориентируйтесь на каталог Documents and Settings в корневом разделе выбранного диска и его содержимое. Встретите там папку с названием своего пользователя - диск выбран верно и папку Windows нужно искать в корне этого каталогу.
Далее нужно будет указать-открыть файлы, в которых лежит сам реестр (здесь собственно все устроено так, что ошибиться невозможно - нажимайте на кнопку OPEN, программа сама знает что открывать).
Потом программа спросит - добавить в REMOTE реестр данные другого пользователя - затея безблагодатная, откажитесь. Все равно не понадобится.

****
Ветка реестра, с которой будем работать -
HKEY_LOCAL_MACHINE\_REMOTE_SOFTWARE
Рассказываю, в чем собственно заключается суть процесса.
Есть параметр SHELL - его исправление описано выше.
А есть еще UserInit.
Когда подменяется значение SHELL, вы видите при запуске системы то, что запускает этот параметр.
Когда изменено значение Userinit - вы не увидите даже рабочую среду.
В общем, нужно исправить UserInit при существующих отличиях на
"С:\WINDOWS\system32\userinit.exe,"
Кстати, если система стоит не на диске C, то буква диска будет другая.
Есть еще заморочка - UserInit часто подменялся вирусом и такое исправление результата приемлемого не принесет.
В общем, как проверите параметры SHELL и USERINIT, закрывайте редактор реестра.
>>>
Открываем С:\WINDOWS\system32\ , находим userinit.exe
Посмотрите, есть ли среди exe-файлов файл с названием 323014D3F.exe
Если есть - это и есть здоровый Userinit.exe.
userinit.exe имеющийся удаляем, а этот 323014D3F.exe переименовываем в userinit.exe.
(описан частый имеющийся случай, но в будущем все может отличаться и усложняться)
>>>
Для полного счастья не забудьте через проводник заглянуть во временные каталоги.
Системный диск\Documents and Settings\All Users\Application Data\
и
Системный диск\Documents and settings\ваш пользователь\Application Data
и
Системный диск\Documents and settings\ваш пользователь\Local settings\Application Data
ну иили пробегитесь по каталогам, названия которых я уже упомянул выше.
Зачача - найти EXE-файл чужеродного происхождения.
типа вот такого названия: 22CC6C32.exe

Удаляйте все, что найдете.
Потом перезагружайтесь.
Система будет работать.