У знакомого компьютер подцепил вирус, блокирущий рабочий стол и требующий для разблокировки пополнить счет.

На подавляющее большинство блокировщиков существуют коды разблокировки, которые можно найти на сайтах производителей антивирусов:
http://support.kaspersky.ru/viruses/deblocker
http://www.drweb.com/unlocker/index
http://esetnod32.ru/support/winlock
http://virusinfo.info/deblocker/

Однако, в этом случае, вирус оказался непростым, для него кода разблокировки не было и вдобавок информации о нем на 23 апреля очень мало.

При каждой загрузке системы, менялся номер телефона на который нужно было отправить 400 рублей. Своеобразная база насчитывала 8 мтсовских номеров 8911*******. При этом баннер появлялся до загрузки рабочего стола, блокируя экран, и гадя в реестре. При безопасном режиме экран также блокировался, как и диспетчер задач и все остальные службы.

Выходов было несколько:
1. Переустановка системы.
2. Подключениие HDD к моему компьютеру, находящемуся в другом конце города и проверка на вирусы.
3. Создание LiveCD и прочих загрузочных дисков для танцев с бубном с инструкцией по удалению хряков.
4. Правка реестра.

Четвертый вариант оказался наиболее подходящим, и достаточно универсальным, т.к. подходит для большинства случаев.

Порядок действий таков:

1. Запускаемся в «безопасном режиме с поддержкой командной строки»
2. В командной строке вводим regedit.
3. Переходим в раздел HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows NT/CurrentVersion/Winlogon
4. Проверяем параметр “Shell”, он должен иметь значение «Explorer.exe», если написано что-то другое, то нужно стереть и вписать необходимое значение.
5. Проверяем параметр “Userinit ”, он должен иметь значение «C:\WINDOWS\system32\userinit.exe,»
6. Если параметры “Shell” и “Userinit” в порядке, находим раздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options. Если в нем присутствует подраздел explorer.exe, удаляем его.
7. Перезагружаем компьютер.
8. Проверяем компьютер на вирусы.
9. Радуемся жизни.