- Абонентское обслуживание компьютеров
- Установка программ
- Настройка интернета
- Восстановление данных
- Настройка WiFi
- Настройка сервера
- Администрирование компьютеров
- Настройка ОС Windows
- Лечение вирусов
- Вызов системного администратора
- Обслуживание оргтехники
- Ремонт ноутбуков
- Ремонт компьютеров
- Ремонт оргтехники в СПб
- Обслуживание и ремонт АТС
Главная / Полезные статьи
Удаление блокиратора
Если у вас на экране появилась блокирующая табличка, просящая отправить смс или положить денег на счёт, то могу вас поздравить у вас троян винлок. Убедительная просьба ничего не отправлять и не класть всё равно не поможет.
Итак как его лечить.
- Первое что нужно сделать - это разжиться лайв сиди диском, лучше всего ERDCommander (Если вы не знаете, что такое лайв сиди, не читайте эту статью и не запоминайте это слово!).
- Загрузившись с лайв сиди нам понадобится утилита редактирования реестра с возможностью подключения к удалённому реестру, команда регедит откроет реестр самого лайв сиди.
- Находим ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в ней файл shell, там должен быть только эксплорер, файл userinit должен иметь такой вид "Userinit"="С:\WINDOWS\system32\userinit.exe," . После запятой ничего не должно быть. Я встречал вот такое "Userinit"="С:\WINDOWS\system32\usrinit.exe," - одной буквы не хватает, это был вирус.
- Теперь необходимо очистить все временные папки: C:\Temp C:\Windows\temp C:\documents and setting\папка пользователя\temp C:\documents and setting\папка пользователя\local setting\temporary internet files. Далее необходимо проверить папки рабочий стол и мои документы на наличее экзэшников явно инородного происхождения. Теперь скачиваем утилиту cureit с drweb.com и прогоняем быструюю проверку на тот случай если чего-то упустили.
Всё.
P.S. Иногда трояны действуют по другой схеме. Они могут прописаться не в тех ветках реестра, которые указаны выше, а в автозапуске HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, тут нужно быть внимательным, потому что он не изменяет существующую запись, а создаёт новую. Например C:\Windows\Temp\as.exe. Обратите внимание запускаемый файл из временной папки - явно вирус. Запомните имя файла и пропустите его через поиск реестра, он в автозапуск добовляется уже вторично, а первично он прописывается в debugger(в большинстве случаев, а может нет). - Не вздумайте искать debugger в реестре их там очень много у каждой программы почти. ИСКАТЬ ТОЛЬКО ПО ИМЕНИ ФАЙЛА ВИРУСА!
Звоните прямо сейчас!
(812) 244-48-50
