пн - 9.00 - 18.00

вт - 9.00 - 18.00

ср - 9.00 - 18.00

чт - 9.00 - 18.00

пт - 9.00 - 18.00

сб - выходной

вс - выходной

обед 13.00 - 14.00

   



Последние статьи
Хиты

Вам не нравится RSS?

Подпишитесь на рассылку по e-mail и Вы будете первыми узнавать о появлении новых статей на сайте pcservice24.ru


Введите Ваш e-mail:

FeedBurner

Конфиденциальность гарантирую, никакой рекламы, от рассылки можно отказаться.


Последние файлы

Десять самых скачиваемых файлов


Последние видеоуроки
Последние инструкции

Календарь праздников от
Calend.Ru

Праздники России

Прогноз погоды от Яндекс.Погода

Яндекс.Погода

Курс валют от
RosInvest.Com

Информеры - курсы валют

TOP-10 вирусов от
Kaspersky Lab





Экспресс анализ сайта
Добавить в избранное Сделать стартовой Написать письмо Подписаться на рассылку Подписчики
Вы находитесь на странице "Удаление троянов-винлокеров II (Trojan.WinLock.3266, Trojan.Winlock.3278 и пр.)"
 
На главную

главная статьи
   
о нас FAQ
   
услуги инструкции
   
контакты скачать
   
вакансии видеоуроки
   
о рекламе объявления
   
гостевая ссылки
   
разработки форум

 

 

Удаление троянов-винлокеров II (Trojan.WinLock.3266, Trojan.Winlock.3278 и пр.)

Автор: Василий Седых

Дата: 2011-10-15

Расширенная версия статьи

Для работы Вам понадобится диск, представляющий собой урезанную версию Windows XP, которая загружается с CD-ROM. Например, Windows PE Russian Live CD (11.11.2009) (торрент, 1.39 Гб), использование любого другого диска не возбраняется, важно, чтобы он предоставлял доступ к файлам Windows и умел работать с реестром неактивной копии Windows, содержал программу ERD Commander или подобную. Я буду описывать всю процедуру "лечения", на примере вышеназванной версии LiveCD.

1. Запишите скаченный образ на диск.

2. В BIOS выбираете загрузку с CD-ROM и зашрузите систему с диска.

3. Загрузившись с диска, откройте Мой компьютер и диск, где у Вас находится зараженная трояном ОС, чаще диск "С". Далее, откройте папку Documents and settings (Windows XP) или Users (Vista/7). В открытой папке найдите и откройте папку Вашего профиля. Теперь откройте папку Рабочий стол (Desktop) и удалите файл test.exe.

4. Вернитесь в корень текущего (системного) диска, откройте папку Windows и перейдите в папку system32, где найдите и удалите файл userinit.exe.

5. Не меняя папки найдите файл 03014D3F.exe и переименуйте его название в userinit.exe.

6. Вернитесь в папку с профилями (Documents and Settings или Users) и войти в папку All Users. В ней откройте Application Data и удалите файл под названием 22CC6C32.exe.

Физически вирус удален! Переходим к редактированию реестра.

7. Откройте ПУСК -> Система -> ERD Commander -> ErdRoot и укажите папку с зараженной Windows.

8. Теперь откройте редактор реестра, для этого открываем ПУСК -> Система -> ERD Commander -> RegEdit.

9. Перейдите к ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и проверьте следующие ключи: Shell и Userinit.

Стандартные значения:

Userinit = C:\Windows\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe
VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"

Обратите внимание, что последнее время создатели вирусов вуалируют свои творения под названиями "правильных" программ, так в ключе Shell может находиться Explorеr.exe, у которого в названии одна буква "е" - на русской раскладке или в ключе Userinit запускается userinit.exe, также содержащий русскую букву. Поэтому наберите эти строки с клавиатуры самостоятельно.

10. Исправьте значения ключей Shell и Userinit на стандартные значения приведенные выше.

Если параметры Shell и Userinit не изменены, тогда найдите раздел
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и раскройте его. Если в нем присутствует подраздел explorer.exe, то его следует удалить.

11. Внимаем советам из комментариев к предыдущей статье:

Комментарий добавил(а): Sam

Удалите ключ userinit.exe из
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options
и все заработает

Комментарий добавил(а): Spike

Спасибо Sam!!! У меня этот способ сработал!!! Вот, что у меня там было:
[HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-userinit.exe]
"Debugger"="C:\WINDOWS\empas.exe"

Комментарий добавил(а): Женька укроп

Удалите этот раздел (если существует):
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-userinit.exe

Благодарствую за проявленную активность!

12. Идем в C:\WINDOWS\system32\ и смотрим время изменения файлов userinit.exe, Winlogon.exe и taskmgr.exe. После чего, проверяем файл explorer.exe в каталоге C:\WINDOWS. В случае изменения файлов, заменяем их оригиналами с рабочих компьютеров (можно взять с установочного диска Windows).

Если какого-то файла нет, попробуйте запустить обычный поиск по Вашему диску, если найдете эти файлы то скопируйте их в соответствующие директории. Если не нашли, тогда возьмите их с другой такой же копии ОС. Если не ошибаюсь, то файл userinit.exe можно также найти в папке C:\Windows\system32\dllcache\.

Можно воспользоваться установочным диском:

expand X:\i386\userinit.ex_ C:\WINDOWS\system32\userinit.exe
где Х - буква CD установочного диска, а операционная система, предположительно, находится на диске C.

13. Перезагружаемся...

По идее, Windows должен быть разблокирован, вирус удален, а финансы сохранены. Тем не менее, советую проверить систему свежим антивирусом, например, одноразовым Касперским, Dr.Web'ом или NOD'ом. На этом я заканчиваю свое повествование. Всем Удачи!

Постскриптум. После излечения Вашего компьютера от подобных вирусов, может получиться так, что зараженными остались еще какие-нибудь системные файлы. Как правило, антивирус их удаляет или отправляет на карантин. Чтобы их восстановить, нажмите кнопку ПУСК -> Выполнить, наберите sfc /scannow и нажмите ОК. В приводе должен находиться установочный диск с соответствующей ОС (в случае чего, с этого диска будут скопированы оригинальные системный файлы).

Расширенная версия статьи



Просмотров 13727

Комментарии к этой статье:

Комментарий добавил(а): modulytor
Дата: 2011-11-28

спосибо за статью с пояснениями

Комментарий добавил(а): Василий Седых
Дата: 2012-01-21

Пожалуйста! Будут и еще по этой теме.

Комментарий добавил(а): rampant
Дата: 2012-04-14

Очень подробно, можно Вашу статью у нас на форуме разместить? safetygate.ru спасибо

Комментарий добавил(а): Василий Седых
Дата: 2012-04-15

Конечно можно. Пожалуйста.

Комментарий добавил(а): Rampant
Дата: 2012-04-15

Спасибо, а как с Вами связаться лично, Василий?

Комментарий добавил(а): Сантей
Дата: 2012-05-31

Спасибо, очень помогли.

Комментарий добавил(а): sw3n
Дата: 2012-06-02

Свеженькие WinLockeры с заменой userinit.exe, taskmgr.exe, explorer.exe щас будут в моде ближайшие 3 месяца... причём если раньше юзеринит они оставляли и дописывались после запятой в реестре... то щас же настоящий Юзеринит можно вовсе ненайти на своём компе.

Комментарий добавил(а): denny
Дата: 2012-06-21

[url=http://microform.su]новости голографии [/url][url=http://микроформ.рф]ООО Микроформ [/url][url=http://xn--h1aeecjamc8a.xn--p1ai]microform [/url][url=http://holo-mf.ru]изготовление голограмм [/url][url=http://holomaster.ru]голографические наклейки [/url][url=http://yragent.ru ]Юриспруденция [/url][url=http://micro-form.ru]интернет магазин голограмм [/url] [url=http://microform.su]rss новости [/url][url=http://holomaster.ru] голограммы [/url][url=http://xn--h1aeecjamc8a.xn--p1ai] Microform™[/url] [url=http://microform.su] Microform™ [/url]

Добавить Ваши комментарии:

Введите сумму чисел с картинки*

* - поля, обзательные для заполнения

 

   

Красноярский край,

662200, г. Назарово,

ул. Арбузова, 86/1

сот.+7-923-338-14-05

сот.+7-923-270-83-11

 

Никогда не бойся делать то, чего не умеешь!

Помни, Ковчег был построен любителем.

Профессионалы построили Титаник.

 

А МЫ ПРОСТО ДЕЛАЕМ ТО, ЧТО ХОРОШО УМЕЕМ!

www.Biteria.ru - Интернет-магазин комплектующих для ноутбуков

Наши сертификаты
Рекомендуем
Опрос

Как Вам понравились наши статьи?
Отличные статьи.
Хорошие статьи.
Слишком много лирики.
Ничего особенного.
Мне не понравились!
Букв слишком много.



Результаты




Бесплатное удаление баннера, рекламного модуля




ГЛАВНАЯ   |  О ФИРМЕ  |  УСЛУГИ  |  КОНТАКТЫ  ВАКАНСИИ  |  О РЕКЛАМЕ  |  ГОСТЕВАЯ  |  РАЗРАБОТКИ  СТАТЬИ  |  ЧА.ВО./F.A.Q. |  ИНСТРУКЦИИ  |  СКАЧАТЬ  |  ВИДЕОУРОКИ  ОБЪЯВЛЕНИЯ  ССЫЛКИ  ФОРУМ

Copyright © 2010 «Компьютер-сервис»
Копирование материалов разрешено только с указанием активной гиперссылки на "pcservice24.ru".