History web & soft life Security

Принес мне товарищ свой комп с банером во весь экран на котором требования положить денег на такой то номер телефона после чего получите код разблокировки.
Диспетчер задач не запускается, командная строка тоже, да вообще ни что не работает кроме кнопки на этом банере, в безопасном режиме то же самое.

Первый раз когда он ко мне обратился я решил исправить эту проблему с помощью DrWeb LiveCD вирус нашелся но на это потралось времени около 4 часов, это слишком долго. Кроме файла который запускался, была еще одна проблема. Вирус был удален, но теперь запускался пустой рабочий стол, начал искать проблему и полез в реестр.... Оказалось что в место explorer.exe запускается файл вируса, который теперь удален, ну то есть ща ни чего не запускается, пришлось вручную заново прописать explorer.exe
Короче если нет ни чего на робочем столе то делаем следующие нажимаем одновременно 2 кнопки Windows+R запускается командная строка в ней пишем regedit и жмем ОК запускается редактор реестра и вот уже редактором просматриваем реестр и правим то что не верно, а именно:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion. Далее выбираем папку Winlogon и клацаем теперь на саму нее. В правом поле появиться список.
Посмотрите какое значение присвоено параметру под именем Shell. Должно быть в значении напротив Shell прописано explorer.exe. Если это не так, то присваиваем Shell нужное значение, щелкнув дважды левой кнопкой мыши по параметру Shell. Далее в графе «Значение» пишем explorer.exe
Перезагружаем компи все отлично начинает работать.

Во второй раз мой товарищ уже через 3 недели пришел ко мне с тойже проблемой и с тем же банером.
Но тут то я уже ученый....
Соответственно DrWeb LiveCD пользоваться не стал, потому как это очень долго, а загрузился с обычно LiveCd Windows PE можно так сказать. Далее запустил редактор реестра, как описано выше и сделал несколько ходов:

1. сразу после того как компьютер загрузится с Live CD жмите Go/Start/Пуск > Run/Выполнить >
2. вводите с клавиатуры regedit жмите Enter или Ok.
3. в левой части окна RegEdit выделите HKEY_USERS
4. далее, в меню Файл кликаете по 'Загрузить куст'
5. в открывшемся окне переходите в директорию C:\Windows\System32\Config\, где C: - буква диска, на который установлена Windows, кстати, совсем необязательно 'C', буква может быть и любой другой;
6. далее, если, например, необходимо редактировать ветвь HKLM\SOFTWARE, выберите в папке Config куст SOFTWARE и жмите Open/Открыть, но имейте ввиду, что куст может быть и любой другой (DEFAULT, SAM, SECURITY или SYSTEM) в зависимости от того какая ветвь реестра нуждается в редактировании;
7. далее, вводите какое-нибудь имя для загружаемого раздела, хоть, BLABLA;
8. далее, работаем с появившейся в HKEY_USERS веткой BLABLA, это и есть куст SOFTWARE
9. после того, как закончите редактирование реестра, обязательно следует выгрузить куст, для этого нужно проделать следующие манипуляции: выделить ветку BLABLA, затем - меню Файл > Выгрузить куст

В тот сам момент когда я смотрел что написано в ветке реестра вместо explorer.exe, то я и увидел название файла, которое запускается вместо explorer.exe, скопировал это имя файла в буфер, далее зашел в меню Пуск, далее Найти и вставил это имя файла в поиск и запустил поиск, нашелся 1 файл, его я сразу снес и посмотрев по какому пути он находится пошел искать что нибудь связаное с ним в папку C:\Windows\Prefetch там нашел вспомогательные файлы вируса и удалил их.
Кстати Оперу я снес первым делом, полностью всю и в папке Programm files и в папке Aplication Data