Компьютер сына заблокирован, никуда войти нельзя, СМС послал, деньги отправил, код не получил.
Со своего компьютера пыталась справиться, но...
Касперский написал, что после перезагрузки пройдёт, но ничего не получается
http://support.kaspersky.ru/viruses/deblocker
Dr.web посоветовал код, но перейти на латинский алфавит не получается.

http://www.drweb.com/unlocker/index
Может вы посоветуете что-нибудь.
Помогите, пожалуйста

Здравствуйте!

Компьютер сына заблокирован, никуда войти нельзя, СМС послал, деньги отправил, код не получил. »
А вот это напрасно.

Первый вариант:

Нажмите Win + U, откроется окно диспетчера служебных программ, программа имеет высокий приоритет и несмотря на банер должна запуститься
Окно диспетчера служебных программ (http://s1.ipicture.ru/uploads/20101213/Llt3ILbE.png)
Нажмите "Запустить"

Откроется Экранная лупа, нажмите на ссылку "Веб-узел Майкрософт", после нажатия откроется Internet Explorer.

Скачайте утилиты AVZ и RSIT, затем вбейте в адресную строку Internet Explorer букву диска, войдите в директорию куда вы скачали утилиты. Подготовьте логи в соответствии с правилами (http://forum.oszone.net/thread-98169.html)

Второй вариант с Live CD:

1.Скачайте образ ERD Commander (подойдет любой другой LiveCD с возможностью правки реестра) на "здоровом" ПК, запишите на диск.
2.Загрузитесь с этого диска.
3.Кнопка Пуск -> Выполнить -> erdregedit
4.Посмотрите в реестре:

ветка:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

значения параметров: UserInit и Shell

Правильное значение для Userinit
C:\WINDOWS\system32\userinit.exe,

Значение ключа Shell должно быть таким
Explorer.exe
если значение отличается - исправить на правильное.

ветка:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

значение параметра AppInit_DLLs

Приведите значение этого параметра в вашем сообщении.

После этого подготовьте логи.

Спасибо за ответ, всё так сложно.
не совсем поняла в какой момент нужно нажимать (?) Win+U//
Буду пытаться.
А пока удалось загрузиться в безопасном режиме.
Вот логи, может поможет разобраться...

Эти блокировки сделаны Вами?
>> Блокировка панели управления
>> Включено сокрытие всех элементов на рабочем столе
>> Отключено контекстное меню панели задач
>> Заблокировано изменение свойств экрана

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\lmkrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\..\suka.old, '');
DeleteFile('C:\WINDOWS\system32\..\suka.old');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
DeleteFile('C:\WINDOWS\lmkrnl.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.Отправьте c:\quarantine.zip при помощи этой фор-мы (http://www.oszone.net/virusnet/)

Сделайте новые логи

Блокировки не делали.
Пытаемся выполнить скрипт.

Тогда так еще дополнительно

AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы
Отметить указанные 4 проблемы и нажать Исправить

Новые логи делать в нормальном режиме

В дополнение к скрипту thyrex, выполните такой скрипт.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll','');
DeleteFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll');
DelBHO('{539CA3DC-95E8-402f-946D-C7D5584D321A}');
DelBHO('{1E796980-9CC5-11D1-A83F-00C04FC99D61}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Подготовьте логи AVZ и RSIT из нормального режима.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)


Установите Service Pack 3 (может потребоваться активация!) (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4).

Обновите Internet Explorer до восьмой версии (http://www.microsoft.com/rus/windows/internet-explorer/)
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Долго не понимали почему скрипт не выполняется, писал ошибку.
добавили кавычку в 5 строке (Да?), скрипт выполнился, но компьютер не перезагрузился.
Сейчас Вымогатель не появился, но рабочий стол не загружается.
Сейчас попробуем опять безопасный режим и FVZ

Пошла следующий скрипт выполнять.

Сейчас Вымогатель не появился, но рабочий стол не загружается. »
Запустите AVZ, меню Файл -- Восстановление системы -- поставьте галочку напротив пункта 16.

Тогда так еще дополнительно
AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы
Отметить указанные 4 проблемы и нажать Исправить
Новые логи делать в нормальном режиме »
Выполнили?

УРА!!! ЗАРАБОТАЛО!!
Прикрепляю новые логи.
RSIT попозже

Лог RSIT

Файл quarantine.zip - отправлен.
жду указаний

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)
R3 - URLSearchHook: (no name) - - shell32.dll (file missing)

В последних логах ничего плохого не нашел. :)

Жду логи RSIT и MBAM.


Установите Service Pack 3 и Internet Explorer 8.
Обновите Adobe Acrobat до актуальной версии или деинсталлируйте.

Пофиксим.
Лог Rsit - выше.
Использует только Firefox, INT 8 вроде не нужен

Просканировала..
Удалять заражённые файлы?
Страшно

В MBAM удалить:

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{92860A02-4D69-48c1-82D7-EF6B2C609502} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{431D251C-B43A-47d7-B4F4-07A101B432D6} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\BitAccelerator.BitAccelerator.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\BitAccelerator.BitAccelerator (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{C1DE446A-8770-4621-9378-F1922C74A36C} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6D7B211A-88EA-490C-BAB9-3600D8D7C503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D7B211A-88EA-490C-BAB9-3600D8D7C503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Value: id -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Value: host -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Value: del -> No action taken.

Заражённые файлы:
c:\documents and settings\_Keks\local settings\Temp\pdfupd.exe (Trojan.Agent) -> No action taken.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\krnl.exe','');
QuarantineFile('ie.exe','');
QuarantineFile('deskinf.pif','');
QuarantineFile('C:\Recycled\deskinf.pif','');
DeleteFile('C:\Recycled\deskinf.pif');
DeleteFile('deskinf.pif');
DeleteFile('ie.exe');
DeleteFile('C:\WINDOWS\krnl.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Подготовьте повторный лог RSIT

Использует только Firefox, INT 8 вроде не нужен »

Установите Internet Explorer 8, даже если вы его не используете.

Всё сделано

Всё сделано »А как же это?
Подготовьте повторный лог RSIT »

Ой, а сын с компьютером уже уехал...
Сейчас буду пытаться его заставить.

Здравствуйте!
Подсоединяю то, что смог сделать сын.
Если не то , то буду пробовать дальше.