Электроник Сервис & "НПО Веста"

Начнем с того, что перезагрузим компьютер и зайдем в безопасный режим. При загрузке нажимаем клавишу «F8″ и в появившемся меню выбираем строку «Безопасный режим с поддержкой командной строки

Выбираем операционную систему для запуска и нажимаем клавишу «Enter». Как правило в списке одна ОС, если их несколько — выбираем верхнюю из списка.

После процесса загрузки на экране появится окно командной строки. В окне «cmd.exe» пишем команду «regedit» и нажимаем клавишу «Enter«.Если не запускается »regedit» пишем команду:REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f и нажимаем клавишу «Enter

Должно открыться окно «Редактор реестра».

В окне «Редактор реестра» нужно перейти к ветке «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon» и найти параметр реестра «Shell». Блокер изменяет этот параметр реестра на путь к своему исполняемому файлу.

Открываем параметр «Shell» кликая по нему и сохраняем куда-нибудь его значение — путь к вирусу нам еще пригодится

Исправляем значение параметра реестра «Shell» на «explorer.exe».

В окне «Редактор реестра» переходим к ветке «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» находим и удаляем параметр «Shell» (Если он есть).

Закрываем окно «Редактор реестра». В окне командной строки «cmd.exe» пишем команду «taskmgr» и нажимаем клавишу «Enter«.Если не запускается »taskmgr» пишем команду:REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f и нажимаем клавишу «Enter«.

В главном меню окна «Диспетчер задач Windows»,  выбираем пункт «Файл», затем, «Новая задача (Выполнить)».  В новь открывшемся окне, в выпадающее меню «Открыть» вставляем путь, который мы сохранили из параметра «Shell» и нажимаем кнопку «Обзор».

Откроется диалоговое окно проводника «Обзор», находим и удаляем исполняемый файл вируса. Закрываем окно «Обзор».Некоторые вирусы могут иметь атрибут скрытый, поэтому будут сразу будут не видны для удаления.В таком случае удалить их можно из командной строки следующей коммандо  del /a «путь, который скопировали из ключа Shell«

Перезагружаемся. В главном меню окна «Диспетчер задач Windows»,  выбираем пункт «Завершение работы» -> «Перезагрузка».

Если в безопасном режиме с поддержкой командной строки ввести команду explorer.exe то нам будет доступна многие функции операционой системы.

Вы можете откатить систему (восстановление системы) и потом вычистить ее с помощью антивируса . Можно в поиске найти exe файлы и соотнести их с датой заражения , подозрительные exe файлы поудалять . Тщательной проверки должна подвергаться папка с именем пользователя.