Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса

Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса

Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса (рассматривается самый «жесткий» вариант – никаких программ запустить невозможно, в безопасный режим не заходит, удаление вирусного тела антивирусом не помогает, так как он самовосстанавливается и так далее)

Внимание: метод экспериментальный, все операции проводятся на свой страх и риск! Работоспособность компьютера не гарантированна!!!…Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса

Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса (рассматривается самый «жесткий» вариант – никаких программ запустить невозможно, в безопасный режим не заходит, удаление вирусного тела антивирусом не помогает, так как он самовосстанавливается и так далее)

Внимание: метод экспериментальный, все операции проводятся на свой страх и риск! Работоспособность компьютера не гарантированна!!!

Для начала нам надо загрузиться с Live CD. Вставляем диск в дисковод, заходим в БИОС, выставляем загрузку с CD-ROM, и загружаемся.

1. Работа с реестром
Первым делом подключаем в ERD Commandere реестр зараженной машины и смотрим значение параметра «Userinit» по адресу HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon. Там должно быть указано значение «C:windowssystem32usrinit.exe,»* (без кавычек, но с запятой). Если там ссылка на другой файл – мы его находим, удаляем, а потом заменяем ссылку на нормальную.
По этому же адресу возможно есть ключ с названием «Userint». Там проделываем то же самое.
Потом смотрим там же значение ключа «Shell». Должно быть «explorer.exe». Если вместо этого там ссылка на ехешный файл – находим его, убиваем и переписываем ссылку как должно быть.

Далее проверяем другие разделы загрузки:
HKEY_USERSAdminSoftwareMicrosoftWindowsCurrentVersionRun +
HKEY_USERSAdminSoftwareMicrosoftWindowsCurrentVersionRunOnce +
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun +
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
Если там есть незнакомые вам ключи, в значениях которых указана ссылка на ехешный файл с абракадаброй в названии – мочим сперва этот файл, потом и сам параметр.

2. Работа с файлами
Проверяем, нет ли ехешников с названиями абракадаброй в следующих папках:
С:Documents and Settings
С:Documents and SettingsAdmin**
С:Documents and SettingsAdminApplication Data
С:Documents and SettingsDefault User
С:Documents and SettingsNetworkService
С:Documents and SettingsAll UsersApplication Data
Если есть – удаляем.

3. Зачистка
Чистим все темповские папки, в которых часто прячутся вирусы:
С:WINDOWSTemp
С:Documents and SettingsAdminLocal SettingsTemp
С:Documents and SettingsAdminLocal SettingsTemporary Internet FilesContent.IE5 (оставив файлы index.dat и desktop.ini)
С:Documents and SettingsDefault UserLocal SettingsTemp
С:Documents and SettingsDefault UserLocal SettingsTemporary Internet FilesContent.IE5 (оставив файлы index.dat и desktop.ini)
С:Documents and SettingsNetworkServiceLocal SettingsTemp
С:Documents and SettingsNetworkServiceLocal SettingsTemporary Internet FilesContent.IE5 (оставив файлы index.dat и desktop.ini)

4. Проверка целостности и замена системных файлов
Идем в каталог С:WINDOWSsystem32 и меряем размер файла «userinit.exe». Норма – 26,0 КБ (26 624 байт). Если другой – заходим на диск с LiveCD в папку I386 и находим там файл «userinit.ex_». Rarом или 7ZIPом распаковываем его, получаем «userinit.exe» и заменяем им тот файл, что у нас был в папке system32.
Добавлю еще, что годный userinit может быть в папке С:WINDOWSsystem32dllcache, но новые модификации вирусов уже могут и его заменять, так что с диска надежнее. В будущем, скорее всего, даже размер подгонят, так что лучше менять даже если размер с виду нормальный.
Рекомендуют заменять также файл taskgmr.exe в этой же папке и explorer.exe в WINDOWS.

Сокращенную инструкцию и дополнения буду выкладывать в комментариях. Там же – адреса официальных унлокеров и прочие ссылки по теме борьбы с вирусами.
Если вам все это не помогло, то я рекомендую скачать Dr.Web LiveCD и просканировать компьютер с его помощью. Найденных зверьков – уничтожить.
Если и это не помогло – добро пожаловать на сайт: http://virusinfo.info/showthread.php?t=1235, там лечат даже самые запущенные случаи, причем бесплатно. Создавайте тему с просьбой о помощи согласно вот этим правилам: http://virusinfo.info/showthread.php?t=1235.

* – здесь и далее букву диска С можно заменить на другую, если у вас Windows стоит на другом диске
** – здесь и далее admin можно заменить на другое имя пользователя, если есть другие учетки

Эта методика пока в стадии тестирования. Опробовал на виртуальном свежезараженном компе – сработало. Замечания, упрощения и доработки принимаются.

Статья взята из открытых источников: http://www.liveinternet.ru/tags/erd+commander/

Похожие статьи:

  • Как удалить вирус SMS
  • Как работают SMS мошенники и сколько они зарабатывают. Схемы.
  • Программу: AntiWinLocker LiveCD 3.3 (RUS/2011) – для удаления SMS баннеров – скачать бесплатно
  • Вышла новая версия AntiWinLockerLiveCD 3.3 Улучшено удаление некоторых типов баннеров trojan.winlock.
  • Бесплатные сервисы онлайн деактивации SMS-вирусов
  • Как убрать порно банер, sms вирус с рабочего стола компьютера.
  • SMS / СМС вирус. Как быстро и бесплатно разблокировать компьютер?
  • Удаление баннера с рабочего стола, разблокировка Windows. Trojan.Winlock.3300 просит оплатить штраф на номер телефона 89091563624
  • Обзор антивирусных аварийных LiveCD
  • Как убить процесс по имени…

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *