Предыдущая публикация
Баннер в Windows – Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов
Во время серфинга в интернете наверно каждый пользователь компьютера под управлением ОС Windows XP сталкивался с такой проблемой-прямо поверх браузера появилось окно:
Компьютер заблокирован!
Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы…. Данный смс вирус из семейства Trojan.Winlock.3252.
Загрузка в безопасном режиме нам не помогает, так как компьютер полностью блокируется. Поэтому для физического доступа к системе придется использовать загрузочный диск, вручную править реестр и удалять ненужные файлы.
Последовательность действий для избавления от этого вируса:
1.Загружаемся с LiveCD
2. ищем Файл test.exe может быть C:\Documents and Settings\Admin\Рабочий стол , C:\Documents and Settings\All Users\Рабочий стол , он может и отсутствовать, можно воспользоваться системным поиском
3. Переходим в \Documents and Settings\All Users\Application Data и и удаляем файл с названием 22CC6C32.exe, а также все что с ним связано:
4. Переходим в редактор реестра (Пуск – Выполнить – regedit), здесь интересный момент в том, что нужно попасть в реестр зараженной системы, а не Live CD, зайти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение параметра Shell исправить на значение explorer.exe
значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки)
в реестре через поиск найти упоминание файла названием 22CC6C32.exe – удалить эти строки
5. Поскольку вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:
Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место(делаем резервную копию)
Затем удаляем файл userinit.exe из папки X:\WINDOWS\system32
Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe
Перезагружаем компьютер, если После перезагрузки окна не было, но рабочий стол все равно заблокирован, нет органов управления. переходим в диспетчер задач, – ALT+CTRL+DEL, Новая задача, regedit:
ищим в реестре всё тот же параметр Shell и исправляем на значение explorer.exe
Напоминаю: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Перезагружаем и наслаждаемся работой
Следующая публикация
Нет комментариев