Mayfly все записи автора

Знакомая проблема?

Похоже, что вы где-то скачали (вместе с нужным файлом) один вредный троян, который назван Dr.Web как Trojan.Winlock.

Этот вирус, проникая в систему и реестр, перехватывает управление на себя, переписывает на себя автозагрузку и все системные пути с одной единственной целью - чтобы на экран выскочило окошко с уведомлением, что вам нужно отправить смс, получить код и ввести его в поле ответа.

Ясно, что никому ничего отправлять не стоит - те, кто писали вирус, стремились влегкую заработать денег таким нечестным способом. Нам же остается бороться с трояном-вымогателем.

Как? В сети можно найти кучу советов (напишите, помогли ли они вам? или какие-то другие?):

1) Данный вирус САМОЛИКВИДИРУЕТСЯ через два часа после попадания его на ваш компьютер, все, что нужно, это просто подождать! Прошло уже больше двух часов, а вирус и не думает исчезать? Тогда идем дальше.

2) Можно попытаться разблокировать систему, для чего просто сгенерировать требуемый код. Генератор находится тут - http://www.drweb.com/unlocker/

3)  Перевести время в БИОС на три часа вперед.  (Посоветовали тут http://www.wmz-info.ru/text/safe_1.html).

4) Загрузиться с любого диска Live-CD найти: С:/documents and settings/all users/application data/.
удалили: blocker.exe и blocker.bin

5) Загрузиться с любого диска Live-CD найти: C:/WINDOWS/Regedit жмём на файлик, входим в редактор реестра!
Смотрим HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\currentVersion\ winlogon смотрим параметры Userinit, должно быть C:\Windows\system32\userinit.exe, ..Если после запятой что-то прописано, то это и есть путь этого вируса, удаляем всё после запятой!

6) Еще один способ, пошагово:

1. Загружаемся с LiveCD. Если вы не знаете, что это такое и как его создать, то качаете готовый образ, который можно найти в интернете и записываете его на болванку. Проделать это можно, например, у знакомого. Или же попросите вашего системного администратора сделать вам такой диск.

2. После загрузки идем в каталог C:\Documents and Settings\All Users\Application Data и удаляем там файлы blocker.exe и blocker.bin.

3. Далее отправляемся в редактор реестра (обычно ярлычок к нему есть на рабочем столе, или же идем Пуск - Выполнить - набираем regedit - ОК)и ищем в нем ссылки на файл blocker.exe. (чтобы не искать вручную, нажмите в редакторе реестра Ctrl+F Для продолжения поиска после первого найденного результата нажимайте F3). Найденные ссылки безжалостно но очень акуратно, чтобы не зацепить лишнего, удаляем. ОСТОРОЖНО! В некоторых ветках ссылки на этот файл внедрены в ссылки на системные файлы. Например в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon меняем значение параметра "Userinit" с "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\blocker.exe" на "C:\\WINDOWS\\system32\\userinit.exe" .

4. В том же редакторе реестра идем в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и прописываем параметр Shell=Explorer.exe

5. Перезагружаем машину и тщательно сканируем систему на вирусы.

 

Часть ответов взята на http://otvet.mail.ru/question/28024196/