Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса

Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса

Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса

Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса (рассматривается самый «жесткий» вариант — никаких программ запустить невозможно, в безопасный режим не заходит, удаление вирусного тела антивирусом не помогает, так как он самовосстанавливается и так далее)

Внимание: метод экспериментальный, все операции проводятся на свой страх и риск! Работоспособность компьютера не гарантированна!!!…Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса

Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса

Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса (рассматривается самый «жесткий» вариант — никаких программ запустить невозможно, в безопасный режим не заходит, удаление вирусного тела антивирусом не помогает, так как он самовосстанавливается и так далее)

Внимание: метод экспериментальный, все операции проводятся на свой страх и риск! Работоспособность компьютера не гарантированна!!!

Для начала нам надо загрузиться с Live CD. Вставляем диск в дисковод, заходим в БИОС, выставляем загрузку с CD-ROM, и загружаемся.

1. Работа с реестром
Первым делом подключаем в ERD Commandere реестр зараженной машины и смотрим значение параметра «Userinit» по адресу HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon. Там должно быть указано значение «C:\\windows\\system32\\usrinit.exe,»* (без кавычек, но с запятой). Если там ссылка на другой файл — мы его находим, удаляем, а потом заменяем ссылку на нормальную.
По этому же адресу возможно есть ключ с названием «Userint». Там проделываем то же самое.
Потом смотрим там же значение ключа «Shell». Должно быть «explorer.exe». Если вместо этого там ссылка на ехешный файл — находим его, убиваем и переписываем ссылку как должно быть.

Далее проверяем другие разделы загрузки:
HKEY_USERS\\Admin\\Software\\Microsoft\\Windows\\CurrentVersion\\Run +
HKEY_USERS\\Admin\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce +
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run +
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce
Если там есть незнакомые вам ключи, в значениях которых указана ссылка на ехешный файл с абракадаброй в названии — мочим сперва этот файл, потом и сам параметр.

2. Работа с файлами
Проверяем, нет ли ехешников с названиями абракадаброй в следующих папках:
С:\\Documents and Settings\\
С:\\Documents and Settings\\Admin\\**
С:\\Documents and Settings\\Admin\\Application Data
С:\\Documents and Settings\\Default User\\
С:\\Documents and Settings\\NetworkService\\
С:\\Documents and Settings\\All Users\\Application Data
Если есть — удаляем.

3. Зачистка
Чистим все темповские папки, в которых часто прячутся вирусы:
С:\\WINDOWS\\Temp
С:\\Documents and Settings\\Admin\\Local Settings\\Temp
С:\\Documents and Settings\\Admin\\Local Settings\\Temporary Internet Files\\Content.IE5 (оставив файлы index.dat и desktop.ini)
С:\\Documents and Settings\\Default User\\Local Settings\\Temp
С:\\Documents and Settings\\Default User\\Local Settings\\Temporary Internet Files\\Content.IE5 (оставив файлы index.dat и desktop.ini)
С:\\Documents and Settings\\NetworkService\\Local Settings\\Temp
С:\\Documents and Settings\\NetworkService\\Local Settings\\Temporary Internet Files\\Content.IE5 (оставив файлы index.dat и desktop.ini)

4. Проверка целостности и замена системных файлов
Идем в каталог С:\\WINDOWS\\system32 и меряем размер файла «userinit.exe». Норма — 26,0 КБ (26 624 байт). Если другой — заходим на диск с LiveCD в папку I386 и находим там файл «userinit.ex_». Rarом или 7ZIPом распаковываем его, получаем «userinit.exe» и заменяем им тот файл, что у нас был в папке system32.
Добавлю еще, что годный userinit может быть в папке С:\\WINDOWS\\system32\\dllcache, но новые модификации вирусов уже могут и его заменять, так что с диска надежнее. В будущем, скорее всего, даже размер подгонят, так что лучше менять даже если размер с виду нормальный.
Рекомендуют заменять также файл taskgmr.exe в этой же папке и explorer.exe в WINDOWS.

Сокращенную инструкцию и дополнения буду выкладывать в комментариях. Там же — адреса официальных унлокеров и прочие ссылки по теме борьбы с вирусами.
Если вам все это не помогло, то я рекомендую скачать Dr.Web LiveCD и просканировать компьютер с его помощью. Найденных зверьков — уничтожить.
Если и это не помогло — добро пожаловать на сайт: http://virusinfo.info/showthread.php?t=1235, там лечат даже самые запущенные случаи, причем бесплатно. Создавайте тему с просьбой о помощи согласно вот этим правилам: http://virusinfo.info/showthread.php?t=1235.

* — здесь и далее букву диска С можно заменить на другую, если у вас Windows стоит на другом диске
** — здесь и далее admin можно заменить на другое имя пользователя, если есть другие учетки

Эта методика пока в стадии тестирования. Опробовал на виртуальном свежезараженном компе — сработало. Замечания, упрощения и доработки принимаются.

Статья взята из открытых источников: http://www.liveinternet.ru/tags/erd+commander/

Поделиться статьёй в соц. сетях с друзьями:

Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса: 3 комментария

  1. здраствуйте помагите мне пиз я седел лазел в интернете искал читы на CROSS FIRE и через не сколько минут у меня вылез БАН Trojan.Winlock.3300 И БЫЛО НАПИСАННО [u]ВАШ КОМПЬТОР ЗАБЛОКИРОВАН ЗА ПРОСМОТР, КОПИРОВАНИЕ И ТИРОЖИРОВАНИЕ ВИДЕОМАТЕРИАЛОВ СОДЕРЖАЩИХ ЭЛЕМЕНТЫ ПЕДОФИЛИИ И НАСИЛИЯ НА ДЕТЬМИ. ДЛЯ СЯТИЕ БЛОКИРОВКИ ВАМ НЕОБХОДИМО ОПЛАТИТЬ ШТРАФ В РАЗМЕРЕ 500 РУБЛЕЙ НА НОМЕР БИЛАЙН 8-909-161-74-17.В СЛУЧАЕ ОПЛАТЫ СУММЫ РАВНОЙ ШТРУФУ ЛИБО ПРИВЫШАЮЩЕЙ ЕЁ НА ФИСКАЛЬНОМ ЧЕКЕ ТЕРМЕНАЛА БЕДЕТ НАПЕЧАТАН КОД РАЗБЛОКИРОВКИ

    ЧТО МНЕ ДЕЛАТЬ НАПЕШИТЕ МНЕ ПОЖАЙЛУСТА НА Trysowo_2010_97@mail.ru

  2. CЕРГЕЙ,

    Блокер Trojan.Winlock.3300 не предполагает кодов разблокировки. Отсылая коды, оплачивая чужой телефон, вы попросту отдадите деньги злоумышленнику.
    Не в коем случае не делайте этого.
    Решение проблемы:

    Воспользуйтесь программой
    AntiWinLocker 3.1 LiveCD RUS

Добавить комментарий