блокировщики рабочего стола

Опять принесли зараженную машину. Подключал винчестер от нее к "здоровой". Вирус вылечил (руками удалил из папки: Document&Settings/user/Application Data/Рабочий стол), но запись в реестре осталась. Пришлось искать путь. Во! Эту надпись надо в мраморе и над письменным (то бишь компьютерным) столом повесить:

HKEY LOCAL MASHINE/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon - по этому пути нужно идти в редакторе реестра (regedit). А у меня сначала доступа не было, пришлось юзать диск LiveCD (нет, не др.вебовский) и там прогу "удаленный реестр". В реестре поиск по слову shell в уже указанной ветке, вместо имени вируса поставил explorer.exe

Итог: винда грузится, выскакивает Проводник, а рабочего стола - нет! Попробую советы отсюда http://antivir.h18.ru Какая-то новая программа Universal Virus Sniffer (приведена ссылка скачивания).

Привожу картинку  блокировщика:

пришлось чистить "ручками" - и вычистилось!

--

P.S.: (если интересно). У меня есть LiveCD от Dr.WEB`a, но он, что-то против блокировщиков не очень. Дело ведь не только в удалении вируса, а в том, чтобы комп запустился. Поэтому очень важно попасть в реестр. Вон народ пишет, что при запуске regedit с LiveCD (от чьи-то производителей) у них в пути, что то вроде x:\Windows... - так это реестр самого LiveCD диска, а надо попасть в c:\Windows... на моем LiveCD от ChipXP наряду с просто regedit был удаленный regedit, запустив его я (как это и разжевывается) указал рабочий каталог виндов, там в winlogon поправил атрибут shell и проверил аттрибут userinit (был в порядке), все, винды запустились.

P.P.S.: рекомендую (как уже говорил) проверять размер и подпись (в свойствах) файла userinit - он должен быть 26кб и с подписью microsoft. Если он (файл userinit.exe) чужой или битый, можно скопировать с другого компа (будучи в Live CD, конечно)

P.P.P.S.: само тело вируса я нашел в папке C:\Document & Setting\AllUser\ApplicationData, что-то вроде 0.765765ghfhh87.exe

сейчас live cd от касперского имеет утилиту, которая сама восстанавливает все ветки в winlogon.

так что можно было заюзать это: antivir.hut1.ru/metodika/0026. html

без ручного редактирования реестра.

а live cd drweb не имеет данной утилиты, поэтому он почти безполезен против баннеров вымогателей.

оригинальные файлы userinit и др скачать с antivir.h18.ru