Как не странно, но последнее время часто нарываюсь на «Ваш компьютер заблокирован за просмотр копирование и тиражирование материалов... Вам необходимо оплатить штраф в размере 400 рублей на номер телефона… и т.д.» - очередной вирус троянчик для Виндузятников). В данной статье опишу как избавиться от него самостоятельно - уж очень много приносят такие ПК на ремонт. Главное не обращать в тексте внимание на такую фразу как: «Если вы попытаетесь перезагрузить компьютер, все данные будут удалены», в связи с чем многие лихорадочно пытаются отправить СМС. По статистике плата составляет не 400 рублей, а порой и до 2000 руб.)))
Картинка примерно такая (текстовка в большинстве случаев меняется от модификации трояна):
Что нам потребуется*?
- Любой загрузочный live-CD (live-DVD). Я использую ZverDVD – на нём есть загрузочная Винда.
- Умение ковыряться в «РЕЕСТР’е»
- Взять файлы со здорового ПК (с аналогичной системы, версии ОС):
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\taskmgr.exe
- Опыт работы с ПК, время, нервы, и желание)
* Если термины выше для вас нечто непонятное, тогда лучше позвать более или менее опытного человека.
1. Грузимся с LiveCD. Заходим в Реестр: Пуск – Выполнить – «regedit»
2. Нажимам на ветку: HKEY_USERS (нажимаем на фразу, не на плюсик!!!)
3. В верхнем меню: Файл – Загрузить куст … Выбераем: C:\WINDOWS\system32\config\software - "открыть!"
4. Имя вводим любоё, к примеру «111», ок.
5. Выбираем HKEY_USERS\111\Microsoft\Windows NT\CurrentVersion\Winlogon
6. На картинке выше скрин сделан с рабочего ПК без трояна, но подчёркнуты строчки, которые будут изменены трояном. Вам нужно их сделать так, как они сейчас на этой картинке.
В "Shell" обычно появляеться что-то такое:
C:\Documents and Settings\All Users\Application Data\22СС6С32.exe
Это и есть тот самый троянчик)
Также проверяем чтобы в "Userinit": C:\WINDOWS\system32\userinit.exe,
Никаких сохранений и изменений в Реестре, делать пока - не надо!!! Только лишь осмотр Трояна и его местонахождение!!!
7. Когда мы определились с местоположением Трояна, сворачиваем Реестр, но не закрываем! Заходим по указанному пути:
C:\Documents and Settings\All Users\Application Data\22СС6С32.exe
Удаляем файл "22СС6С32.exe", также рядом может быть подобный файл. Подобность будет заключаться в его иконке, в виде испорченного изображения, по нему сразу будет понятно, что он тоже заражен. Если такой есть, тоже удаляем!
Также необходимо посмотреть, нет ли файлика на «Рабочем столе» пользователя, test.exe - если есть, удаляем!
8. Также вирус убивает и другие программы в ПК, их также надо поправить)))
Вот список файлов, которые надо удалить по данным каталогам, и поместить вместо них такие же, но не зараженные файлы (Предварительно заготовленные со здорового ПК)
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\dllcache\userinit.exe
C:\WINDOWS\system32\taskmgr.exe
9. Возвращаемся в Реестр, поправляем строчки на те которые должны быть:
Shell -> Explorer.exe
Userinit -> C:\WINDOWS\system32\userinit.exe,
Смотрим скрин выше!
10. Возвращаемся по ветке Реестра к «111». Далее: Файл – «Выгрузить куст» - «да»
Ну вот и все) Можно просканить систему "Dr.Web CureIt" до перезагрузки)
Перезагружаемся и радуемся старой системе, только не долго) Надо искать причину по которой к вам на ПК попал троян, зачастую это какой-то другой вирус, сделавший уязвимой вашу систему)
Автор: AdminLS
Источник: http://linuxsql.ru
