Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: Разблокировка WinLock (SMS-вымогатель,смс-вымогатель,порнобаннер)
Показать сообщение отдельно

Старожил


Сообщения: 398
Благодарности: 81

Профиль | Отправить PM | Цитировать

Изображения
Тип файла: png virus3.png
(51.0 Kb, 150 просмотров)

Доброго времени суток! Хочу поделится как я удалял вирус-блокировщик Trojan.Winlock.3266

1. Скачиваем образ WinPE_uVS.iso
2. Записываем образ на диск CD-R/RW или записываем образа на FLASH накопитель
3. Выставляю в BIOS первичную загрузку с CD-ROM или FLASH накопителя (в зависимости от того на какой носитель записали образ).
4. Вставляем диск в привод и ждем, когда загрузился операционная система.
5. Запускаем Total Commander. На диске где зараженная операционная система (скорее всего, это будет, диск C), делаем следующее:
а)открываем папку С:\Documents and settings\All Users\Application Data здесь удаляем файл под названием "22CC6C32.exe"
б)дальше С:\Documents and settings заходим в папку нашего профиля(ее название совпадает с именем пользователя, под которым вы работаете в операционной системе), дальше открываем папку "Рабочий стол" ("Desktop") и удаляем из нее файл "test.exe".
в) переходим С:\Windows\system32\ находим и удаляем файл "userinit.exe". В этой же папке находим файл с названием "03014D3F.exe", его не удаляем, а переименовываем в "userinit.exe".
г) Запускаем редактор реестра Пуск-Выполнить вводим regedit жмeм Enter.
- устанавливаем указатель на HKEY_LOCAL_MACHINE
- меню Файл -> Загрузить куст -> указать папку с рухнувшей системой С:\WINDOWS\system32\config, открыть файл software
- задать имя куста, например SFT
- зайти в раздел HKEY_LOCAL_MACHINE\SFT\Microsoft\Windows NT\CurrentVersion\Winlogon и проверьте два параметра “Shell” и “Userinit”.
- Значением параметра Shell должно быть "Explorer.exe", а параметра "Userinit" – "C:\WINDOWS\system32\userinit.exe,"
- Выделяем имя куста, SFT идём меню Файл -> Выгрузить куст
д) перезагружаем компьютер.
6. Kопия вируса находится в папке
C:\WINDOWS\system32\dllcache\userinit.exe его мы удаляем, а копируем userinit.exe из папки C:\WINDOWS\system32\userinit.exe
дальше я с не зараженной ОС скопировал на флеш накопитель файл taskmgr.exe и заменил им файлы находящиеся в папке
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
(они тоже оказались заражены).
7. Скачал антивирусные утилиты Kaspersky Virus Removal Tool 2010 (можно Dr.Web CureIt) и проверил компьютер на наличие вирусов.

Продолжение:

Столкнулся с другим вирусом-блокировщиком DrWeb - Trojan.Winlock.3333; Kaspersky - Trojan-Ransom.Win32.Fullscreen.yk
Пришлось воспользоваться утилитой Kaspersky WindowsUnlocker для борьбы с программами-вымогателями.

Последний раз редактировалось malish_andr, 17-12-2011 в 17:04. Причина: Продолжение

Это сообщение посчитали полезным следующие участники:

Отправлено: 20:57, 17-05-2011 | #7

Название темы: Разблокировка WinLock (SMS-вымогатель,смс-вымогатель,порнобаннер)