Как убрать баннер

Прошу посильного вашего участия в моей проблеме. Вопрос у меня такой: Как убрать баннер:«Отправьте смс», заплати штраф, операционная система Windows 7. Кстати вторая система на моём компьютере Windows XP тоже заблокирована баннером ещё месяц назад, вот такой я горе-пользователь. В безопасный режим и безопасный режим с поддержкой командной строки войти не могу. Но удалось войти в Устранение неполадок компьютера и оттуда запустить Восстановление системы, но вышла ошибка- На системном диске этого компьютера нет точек восстановления.

Код разблокировки на сайте Dr.Web, а так же ESET подобрать не удалось. Недавно такой баннер удалось убрать у друга с помощью Диска восстановления системы LiveCD ESET NOD32, но в моём случае не помогает. Dr.Web LiveCD тоже пробовал. Переводил часы в BIOS вперёд на год, баннер не пропал. На различных форумах в интернете советуют исправить параметры UserInit и Shell в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Но как мне туда попасть? С помощью LiveCD ? Почти все диски LiveCD не делают подключения к операционной системе и такие операции как редактирование реестра, просмотр объектов автозапуска, а так же журналов событий с такого диска недоступны или я ошибаюсь.

Вообще информация о том как убрать баннер в интернете есть, но в основном она не полная и мне кажется многие эту инфу где-то копируют и публикуют у себя на сайте, для того что бы она просто была, а спроси у них как это всё работает, плечами пожмут. Думаю это не ваш случай, а вообще очень хочется найти и удалить вирус самостоятельно, переустанавливать систему надоело. И последний вопрос - есть ли принципиальная разница в способах удаления баннера-вымогателя в операционных системах Windows XP и Windows 7. Поможете? Сергей.

Как убрать баннер

Таких писем друзья приходит очень много и я выбрал самое интересное (кстати, для тех кто часто сталкивается с баннером-вымогателем, вышла новая статья Как избавиться от баннера, в ней так же описан пошаговый способ удаления реального баннера, который попадается в последнее время). Существует довольно много способов помочь Вам избавиться от вируса, ещё его называют Trojan.Winlock, но если вы начинающий пользователь, все эти способы  потребуют от вас терпения, выдержки и понимания того, что противник для вас попался серьёзный, если не испугались давайте начнём.

В Windows 7 и Windows XP баннер вымогатель затрагивает в реестре одни и те же параметры UserInit и Shell в ветке

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
В идеале они должны быть такими:
Windows 7  Userinit - C:\Windows\system32\userinit.exe,
Windows 7  Shell - C:\Windows\system32\explorer.exe

Windows XP  Shell - explorer.exe

В идеале они должны быть такими  Windows 7 Shell    C:\Windows\system32\explorer.exe,

Windows XP  Shell - explorer.exe

Всё проверьте по буквам, иногда вместо userinit попадается к примеру usernit или userlnlt.
Так же нужно проверить параметр AppInit_DLLs в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs, если вы там что-то найдёте, например C:\WINDOWS\SISTEM32\uvf.dll, всё это нужно удалить.

Далее нужно обязательно проверить параметры реестра отвечающие за АВТОЗАГРУЗКУ ПРОГРАММ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, в них ни должно быть ничего подозрительного.

И ещё обязательно:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ( должен быть пустой) и вообще здесть тоже ничего не должно быть лишнего. ParseAutoexec должн быть равен 1.

Ещё нужно удалить ВСЁ из временных папок Temp (на эту тему тоже есть статья), но в Windows 7 и в Windows  XP они расположены немного по разному:

Windows 7:
C:\Users\Имя пользователя\AppData\Local\Temp. Здесь особенно любят селится вирусы.
C:\Windows\Temp
C:\Windows\Prefetch
Windows  XP:
С:\Documents and Settings\Профиль пользователя\Local Settings\Temp
С:\Documents and Settings\Профиль пользователя\Local Settings\Temporary Internet Files.
C:\Windows\Temp
C:\Windows\Prefetch
Не будет лишним посмотреть в обоих системах папку С:\Windows->system32, все файлы оканчивающиеся на .exe и dll с датой на день заражения вашего компьютера баннером. Файлы эти нужно удалить.