Включаєте в один прекрасний день Ви свій комп'ютер, а там банер такий гарний в стилі Windows вимагає сплатити якомусь абоненту МТС 400 рублів, що б Ви змогли продовжити дивитися дитяче і гей порно. Погрожує якщо протягом 10 годин Ви введете код, то всі дані, включаючи Windows і bios будуть безповоротно видалені, а при спробі перевстановити систему судячи з усього вірус потичет комп'ютер паяльником. Маячня повна.
І так нам буде потрібно завантажувальний диск Alkid Live CD & USB завантажити образ можна з сторінки
Вистачить і урізаною версією, нам тільки потрібен редактор реєстру.
Або створюємо, завантажувальний USB Flash, як написано в даній статті .
Завантажуємося з диска або завантажувальної флешки і запускаємо редактор реєстру.
Перевіряємо параметр HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon - параметр Shell у вас Explorer.exe а не що інше, для точної впевненості краще стерти то що там написано і ввести власними руками, тому що деякі букви можуть бути в іншій розкладці клавіатури набрані і це буде вже зовсім інший файл.
У цьому ж розділі HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon параметр Userinit повинен виглядати як C: \ WINDOWS \ system32 \ userinit.exe
В даному випадку виявилося, що дані параметри не займані, йдемо далі по гілці реєстру HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon а ось тут присутній зайвий параметр Shell який і завантажує баннер з C: \ virus \ vd.exe.
В даному випадку просто видаляємо параметр Shell, натиснувши кнопку Delete.
В оригіналі вірус розташовувався в C: \ Documents and Settings \ Адміністратор \ Local Settings \ Application Data \ Opera \ Opera \ temporary_downloads \ vd.exe, і в принципі, якщо видалити цей файл, то зникне і банер.
