Доброго времени суток! Хочу поделится как я удалял вирус-блокировщик
Trojan.Winlock.3266
1. Скачиваем образ
WinPE_uVS.iso
2. Записываем образ на диск CD-R/RW или
записываем образа на FLASH накопитель
3. Выставляю в BIOS первичную загрузку с CD-ROM или FLASH накопителя (в зависимости от того на какой носитель записали образ).
4. Вставляем диск в привод и ждем, когда загрузился операционная система.
5. Запускаем Total Commander. На диске где зараженная операционная система (скорее всего, это будет, диск C), делаем следующее:
а)открываем папку С:\Documents and settings\All Users\Application Data здесь удаляем файл под названием "22CC6C32.exe"
б)дальше С:\Documents and settings заходим в папку нашего профиля(ее название совпадает с именем пользователя, под которым вы работаете в операционной системе), дальше открываем папку "Рабочий стол" ("Desktop") и удаляем из нее файл "test.exe".
в) переходим С:\Windows\system32\ находим и удаляем файл "userinit.exe". В этой же папке находим файл с названием "03014D3F.exe", его
не удаляем, а переименовываем в "userinit.exe".
г) Запускаем редактор реестра Пуск-Выполнить вводим
regedit жмeм Enter.
- устанавливаем указатель на HKEY_LOCAL_MACHINE
- меню Файл -> Загрузить куст -> указать папку с рухнувшей системой С:\WINDOWS\system32\config, открыть файл software
- задать имя куста, например SFT
- зайти в раздел HKEY_LOCAL_MACHINE\SFT\Microsoft\Windows NT\CurrentVersion\Winlogon и проверьте два параметра “Shell” и “Userinit”.
- Значением параметра Shell должно быть "Explorer.exe", а параметра "Userinit" – "C:\WINDOWS\system32\userinit.exe,"
- Выделяем имя куста, SFT идём меню Файл -> Выгрузить куст
д) перезагружаем компьютер.
6. Kопия вируса находится в папке
C:\WINDOWS\system32\dllcache\userinit.exe его мы удаляем, а копируем
userinit.exe из папки C:\WINDOWS\system32\userinit.exe
дальше я с не зараженной ОС скопировал на флеш накопитель файл taskmgr.exe и заменил им файлы находящиеся в папке
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
(они тоже оказались заражены).
7. Скачал антивирусные утилиты
Kaspersky Virus Removal Tool 2010 (можно Dr.Web CureIt) и проверил компьютер на наличие вирусов.
Продолжение:
Столкнулся с другим вирусом-блокировщиком
DrWeb - Trojan.Winlock.3333; Kaspersky - Trojan-Ransom.Win32.Fullscreen.yk
Пришлось воспользоваться утилитой
Kaspersky WindowsUnlocker для борьбы с программами-вымогателями.