Search...

Ваш компьютер заблокирован ... Вам необходимо оплатить штраф 400 рублей ...

Как не странно, но последнее время часто нарываюсь на «Ваш компьютер заблокирован за просмотр копирование и тиражирование материалов... Вам необходимо оплатить штраф в размере 400 рублей на номер телефона… и т.д.» - очередной вирус троянчик для Виндузятников). В данной статье опишу как избавиться от него самостоятельно - уж очень много приносят такие ПК на ремонт. Главное не обращать в тексте внимание на такую фразу как: «Если вы попытаетесь перезагрузить компьютер, все данные будут удалены», в связи с чем многие лихорадочно пытаются отправить СМС. По статистике плата составляет не 400 рублей, а порой и до 2000 руб.)))

Картинка примерно такая (текстовка в большинстве случаев меняется от модификации трояна):

 

Что нам потребуется*?

- Любой загрузочный live-CD (live-DVD). Я использую ZverDVD – на нём есть загрузочная Винда.

- Умение ковыряться в «РЕЕСТР’е»

- Взять файлы со здорового ПК (с аналогичной системы, версии ОС):

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\system32\taskmgr.exe
 
-  Опыт работы с ПК, время, нервы, и желание)
 
* Если термины выше для вас нечто непонятное, тогда лучше позвать более или менее опытного человека.
 


1. Грузимся с LiveCD. Заходим в Реестр: Пуск – Выполнить – «regedit»

2. Нажимам на ветку: HKEY_USERS (нажимаем на фразу, не на плюсик!!!)

3. В верхнем меню: Файл – Загрузить куст … Выбераем: C:\WINDOWS\system32\config\software - "открыть!"
4. Имя вводим любоё, к примеру «111», ок.
5. Выбираем HKEY_USERS\111\Microsoft\Windows NT\CurrentVersion\Winlogon
 
 
6. На картинке выше скрин сделан с рабочего ПК без трояна, но подчёркнуты строчки, которые будут изменены трояном. Вам нужно их сделать так, как они сейчас на этой картинке.
 
В "Shell" обычно появляеться что-то такое:
 
C:\Documents and Settings\All Users\Application Data\22СС6С32.exe
 
Это и есть тот самый троянчик)
 
Также проверяем чтобы в "Userinit": C:\WINDOWS\system32\userinit.exe,
 
Никаких сохранений и изменений в Реестре, делать пока - не надо!!! Только лишь осмотр Трояна и его местонахождение!!!
 
7. Когда мы определились с местоположением Трояна, сворачиваем Реестр, но не закрываем! Заходим по указанному пути:
 
C:\Documents and Settings\All Users\Application Data\22СС6С32.exe
 
Удаляем файл "22СС6С32.exe", также рядом может быть подобный файл. Подобность будет заключаться в его иконке, в виде испорченного изображения, по нему сразу будет понятно, что он тоже заражен. Если такой есть, тоже удаляем!
 
Также необходимо посмотреть, нет ли файлика на «Рабочем столе» пользователя, test.exe - если есть, удаляем!


8. Также вирус убивает и другие программы в ПК, их также надо поправить)))
 
Вот список файлов, которые надо удалить по данным каталогам, и поместить вместо них такие же, но не зараженные файлы (Предварительно заготовленные со здорового ПК)
 
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\dllcache\userinit.exe
C:\WINDOWS\system32\taskmgr.exe
 
9. Возвращаемся в Реестр, поправляем строчки на те которые должны быть:
 
Shell -> Explorer.exe
Userinit -> C:\WINDOWS\system32\userinit.exe,
 
Смотрим скрин выше!
 
10. Возвращаемся по ветке Реестра к «111». Далее: Файл – «Выгрузить куст» - «да»
 
Ну вот и все) Можно просканить систему "Dr.Web CureIt" до перезагрузки)
 
Перезагружаемся и радуемся старой системе, только не долго) Надо искать причину по которой к вам на ПК попал троян, зачастую это какой-то другой вирус, сделавший уязвимой вашу систему)
 
 

Автор: AdminLS
Источникhttp://linuxsql.ru

Комментарии

Все правильно, единственное,

Все правильно, единственное, что тут не написано про подпись файла userinit.exe

Ка тебе такой способ

я писал фиксбут и фикс мбр потом сканировал и всё работает
ни одного таково троянчика так загасил

Вход в систему

FeedBurner RSS

ПОДПИСКА на RSS