1. если на вашем компьютере установлена консоль восстановления. (читаем ниже)
2. Если не установлена консоль восстановления, используем безопасный режим с поддержкой командной строки
3. долечиваем систему с помощью uVS (universal Virus Sniffer)
4. Если вредоносная программа ВСЕ ЖЕ блокирует доступ к рабочему столу и в безопасном режиме с поддержкой командной строки, используем загрузочные диски ERD commander &uVS (CD, USB)
5. Если вредоносная программа ВСЕ ЖЕ блокирует доступ к рабочему столу и в безопасном режиме с поддержкой командной строки, используем загрузочный диск EsetRescue&uVS (CD, USB)
6. Если вредоносная программа ВСЕ ЖЕ блокирует доступ к рабочему столу и в безопасном режиме с поддержкой командной строки, используем загрузочный диск winPE 3 создаваемый на базе WAIK для Windows 7 (CD, USB)


рис.1

Выбираем пункт Recovery Console из списка загрузки,
Далее необходимо ввести пароль учетной записи Администратора, чтобы войти к режим консоли.

Далее, из командной строки последовательно выполняем следующие команды для очистки ключей реестра Winlogon\Shell, Winlogon\Userinit от блокирующих программ:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d c:\windows\system32\userinit.exe /f

(примечание, здесь вместо c:\windows\system32 вы должны указать соответственно полный путь на системный каталог системного раздела вашего диска.)

Перегружаем систему в нормальный режим, проверяем доступ к рабочему столу.

2. Если не установлена консоль восстановления,
------
проверяем возможность доступа к командной строке в безопасном режиме с поддержкой командной строки.
Для доступа в данный режим необходимо на этапе начальной загрузки системы нажимать клавишу F8.


рис 2.

Если вредоносная программа не блокирует доступ к окну командной строке, тогда вы можете:
a. выполнить команды из окна командной строки применительно к вашей установленной системе

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d c:\windows\system32\userinit.exe /f

(примечание, здесь вместо c:\windows\system32 вы должны указать соответственно путь на системный каталог системного раздела вашего диска.)

b. загрузить программу regedit.exe и самостоятельно очистить (или исправить) указанные записи реестра в окне regedit.

Перегружаем систему в нормальный режим - проверяем доступ к рабочему столу.

3. если вам удается получить доступ к рабочему столу с помощью п.1 или 2.
------
 в этом случае вредоносные блокирующие программы лишь исключены из автозагрузки и не влияют на работу системы, но не удалены полностью из системы.

С Помощью программы uVS (Universal Virus Sniffer) вы можете очистить реестр от записей блокирующих программ, и полностью удалить вредоносные файлы из системы.

Для автоматического запуска uVS с помощью стартового файла, например start_uvs.cmd создайте текстовый файл, скопируйте следующую строку

Цитата
cmd.exe /D /C"(md c:\$uvs_285 || cd c:\$uvs_285) && copy /Y *.* c:\$uvs_285 && start c:\$uvs_285\start.exe"

в окно редактора, и сохраните файл как start_uvs.cmd. Поместите данный файл в папку с uVS.

Далее, необходимо записать каталог с  uVS на usb-диск (флэшку), или на CD-диск  на чистой системе, после загрузки в безопасный режим с поддержкой командной строки – подключите usb-диск, или вставьте CD диск в дисковод, далее необходимо запустить start_uvs.cmd с usb или CD дисков, создать образ автозапуска системы и передать данный файл хелперу_консультанту на форум.
Ждем скрипт лечения, и таким же образом выполняем его после получения данного скрипта.

Перегружаем систему (или будет автоматическая перезагрузка) в нормальный режим – проверяем доступ к рабочему столу.

4. Если вредоносная программа ВСЕ ЖЕ блокирует доступ к рабочему столу и в безопасном режиме с поддержкой командной строки,
------
используем загрузочные диски ERD commander 2005 для w2k, XP, ERD commander 60 для Vista, ERD commander 65 для Windows 7, Windows 2008

как создать ERD commander 2005 c помощью Winternals Administrator’s Pack смотрим видеоурок здесь.

Как использовать ERD 2005 для удаления записей блокирующих программ из реестра смотрим видео_урок здесь

Чтобы создать ERD 65 используем утилиту Microsoft Diagnostics and Recovery Toolset 6.5 (Microsoft DaRT) из пакета Microsoft Desktop Optimization Pack 2010.

так же можно использовать загрузочный диск EsetRescue&uVS, технология создания, и видео_урок использования его будет описана немного позже.

5. Если вредоносная программа ВСЕ ЖЕ блокирует доступ к рабочему столу и в безопасном режиме с поддержкой командной строки,
------
можно использовать загрузочный диск EsetRescue&uVS. Технология создания, и видео_урок использования его будет описана немного позже.
---
....
---
Как использовать загрузочный диск EsetRescue&uVS для создания образа автозапуска зараженной системы. Скачать видео.

6. так же используем загрузочный диск winPE 3 создаваемый на базе WAIK для Windowsw 7
------
создаем загрузочный диск WinPE 3.0 с помощью установленного пакета WAIK (for Windows7)

скачать готовый образ загрузочного диска winpe_x86&uVS можно отсюда.
состав диска:

Цитата
winpe_x86, приложения в каталоге X:\UserApp\ far\far.exe         && файловый менеджер uVS\start.exe       && антивирусная утилита Universal Virus Sniffer ... bootice\bootice.exe     && утилитка для работы с mbr, partition table

видео_пример: создание образа автозапуска системы с помощью uVS из под winpe