Удаляем смс вирус Trojan.Winlock.3252

Как то, привезли ноутбук, зараженный смс вирусом. Вскрытие показало, что это Trojan.Winlock.3252. Вирус хотел получить на телефонный номер 8911-757-25-04 сумму в размере 400 рублей.

Внимание!!! Ни за какие коврижки не отправляйте СМС!

Симптомы:
При включении компьютера появляется смс баннер с надписью — Ваш компьютер заблокирован за просмотр копирование и тиражирование материалов… Для снятия блокировки вам необходимо оплатить штраф в размере Nnn рублей на номер телефона МТС 8911-757-25-04.

Порядок действий при удалении смс баннера:
Загрузка в безопасном режиме не помогает, так как компьютер полностью блокируется. Поэтому для физического доступа к системе придется использовать загрузочный диск, вручную править реестр и удалять ненужные файлы. 
  • Грузимся с любого загрузочного диска. 
  • Проверяем нет ли на рабочем столе файла test.exe Если есть — удалить;
  • Заходим по пути X:Documents and SettingsAll UsersApplication Data и удаляем файл с названием 22CC6C32.exe;
  • Заходим в раздел реестра (команда regedit) HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
  • Значение параметра Shell исправить на значение explorer.exe;
  • Значение параметра Userinit исправить на значение C:WINDOWSsystem32userinit.exe, (не забудьте про запятую в конце строки);
  • В реестре через поиск найти упоминание файла названием 22CC6C32.exe — удалить эти строки.
компьютер заболкирован

Данный вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWSsystem32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:

  • Копируем файл userinit.exe из папки X:WINDOWSsystem32 в любое другое место(делаем резервную копию);
  • Удаляем файл userinit.exe из папки X:WINDOWSsystem32;
  • Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe;
  • Перезагружаем компьютер.

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *