21 авг. 2012 г.

Удаляем смс вирус Trojan.Winlock.3252

Как то, привезли ноутбук, зараженный смс вирусом. Вскрытие показало, что это Trojan.Winlock.3252. Вирус хотел получить на телефонный номер 8911-757-25-04 сумму в размере 400 рублей.

Внимание!!! Ни за какие коврижки не отправляйте СМС!



Симптомы:
При включении компьютера появляется смс баннер с надписью - Ваш компьютер заблокирован за просмотр копирование и тиражирование материалов... Для снятия блокировки вам необходимо оплатить штраф в размере Nnn рублей на номер телефона МТС 8911-757-25-04.

Порядок действий при удалении смс баннера:
Загрузка в безопасном режиме не помогает, так как компьютер полностью блокируется. Поэтому для физического доступа к системе придется использовать загрузочный диск, вручную править реестр и удалять ненужные файлы. 
  • Грузимся с любого загрузочного диска. 
  • Проверяем нет ли на рабочем столе файла test.exe Если есть - удалить;
  • Заходим по пути X:\Documents and Settings\All Users\Application Data и удаляем файл с названием 22CC6C32.exe;
  • Заходим в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • Значение параметра Shell исправить на значение explorer.exe;
  • Значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки);
  • В реестре через поиск найти упоминание файла названием 22CC6C32.exe - удалить эти строки.
компьютер заболкирован

Данный вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:
  • Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место(делаем резервную копию);
  • Удаляем файл userinit.exe из папки X:\WINDOWS\system32;
  • Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe;
  • Перезагружаем компьютер.

Комментариев нет:

Отправка комментария