Убиваем смс-попрошаек блокирующих компьютер
Примерно год назад появились первые версии блокираторов. Они были практически безвредными. После нескольких перезагрузок сами «исчезали», лечились элементарной проверкой cureit.
Сейчас они обросли защитными и вредоносными функциями, бороться стало сложнее. Запускаются даже в безопасном режиме, повреждают запись в реестре отвечающие за запуск exe файлов, отключают диспетчер задач, запрещают заходить на антивирусные сайты..
Попробуем рассмотреть общие рекомендации по борьбе с вредителями.
Как удалить троян(вирус) блокирующий компьютер и требующий отправить смс
Внимание! Статья расчитана на пользователя с определенным уровнем знаний. Если вас пугают слова редактор реестра и LiveCD, воспользуйтесь чьей-либо помощью.
1. Смс отправлять не надо, стоит она далеко не 10 рублей.
2. Попробуйте воспользоваться сервисом деактивации вымогателей-блокеров
- DrWeb — http://www.drweb.com/unlocker/index/?lng=ru
- Kaspersky — http://virusinfo.info/deblocker/
- Поиск в яндексе и гугле по номеру и коду смс
Если код активации подошёл, все равно необходимо проверить компьютер антивирусными утилитами cureit и avptool.
Если код не подошёл, идем дальше 🙂
3. Загружаемся с LiveCD, (любую сборку, которая вам по душе, я пользуюсь Alkid, он определяет флешки подключенные после загрузки)
4. Удаляем временные файлы из следующих папок:
- C:\WINDOWS\Temp
- C:\Documents and Settings\ВашаУчетнаяЗапись\Local Settings\Temporary Internet Files
- C:\Documents and Settings\ВашаУчетнаяЗапись\Local Settings\Temp
- C:\RECYCLER
5. Проверяем антивирусными утилитами cureit и avptool папки:
- C:\WINDOWS\system32
- C:\Documents and Settings
- корневой раздел C:\
Если вопрос времени не стоит, делаем полную проверку всех дисков.
6. Самое сложно и интересное. Открываем редактор реестра. Переходим в раздел HKEY_LOCAL_MACHINE, выбираем в меню загрузить куст. Загружаем по очереди разделы реестра пораженной операционной системы.
Нас интересуют файлы
- C:\Documents and Settings\ВашаУчетнаяЗапись\NTUSER.DAT
- C:\WINDOWS\system32\config\default
- C:\WINDOWS\system32\config\SAM
- C:\WINDOWS\system32\config\SECURITY
- C:\WINDOWS\system32\config\software
- C:\WINDOWS\system32\config\system
- C:\WINDOWS\system32\config\userdiff
Для восстановления запуска exe файлов в ветках реестра
- HKEY_CLASSES_ROOT\exefile\shell\open\command
- HKEY_CLASSES_ROOT\exefile\shell\runas\command
текстовый параметр должен иметь значение ?%1″ %*
Убираем зловреда из автозагрузки
а) Удаляем лишнее из папок
- C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка
- C:\Documents and Settings\ВашаУчетнаяЗапись\Главное меню\Программы\Автозагрузка
б) Убираем все что вызывает подозрение в разделах реестра
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
в) Проверяем соответствие и убераем лишнее в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Парметр Userinit — значение C:\WINDOWS\system32\userinit.exe,
- Параметр Shell — значение Explorer.exe
7. Загружаемся и устраняем последствия
- Запускаем AVZ, выполняем восстановление системы.
- Проверяем систему TrojanRemover.
- Переустанавливаем антивирус.
- Обновляем операционную систему всеми критическими обновлениями.
- Убираем у пользователя права администратора.
8. Избегаем посещения сайтов с сомнительным содержанием.
Буду рад вопросам и дополнениям.
Огромное спасибо за ваш Труд! мне очень помогло.
А как быть с попрошайками требующими оплаты через платежные терминалы, на указанный счет.
при всем этом программа блокирует окно просмотра запущенных приложений и процессов.
Конечно обойти эту неприятность получилось, но почему не среагировал DrWeb и SpyWar Terminator.
А после просмотра компа по Вашему алгоритму ничего подозрительного не нашлось. Как убедиться, что все нормально?
Спасибо заранее!
К сожалению в данный момент антивирусы в основном ищут вирусы содержащиеся в антивирусных базах, а не пользуются поведенческим анализом. отсюда и извечное отставание антивирусного по от вирусного.
Недавно удалял такого зловреда, требующего оплаты через платежные терминалы, на указанный счет, оказалось достаточно почистить темпы и Userinit.
Вам для того чтобы убедится что все в порядке достаточно просканировать пк утилитами avptool и trojan remover.
Автору огромная благодарность. Много полезного подчеркнул для себя из данной статьи!
Здравствуйте!! Вчера намотал такую хрень.. Сделал так.. Просто загрузился с ближайшей точки восстановления и все.. После загрузки системы удалил вирус каспером.. Система Win7 Ultimate. ЛЮДИ!! НЕ ВЫКЛЮЧАЙТЕ ВОССТАНОВЛЕНИЕ СИСТЕМЫ!! :))
А вообще спасибо за статью.. Сам этим занимаюсь.. :))
Привет!
Столкнулся с такой проблемой после удаления временных файлов и правки реестра, получилось следущая картина: виндовс загружается до окна выбора пользователя, выбираю пользователя он начинает логиниться и тут же выходит опять на окно выбора пользователя то есть разлогинивается.
Оказалось, что вирусня удалила файл userinit.exe и taskmgr.exe из system32. Скопировал из чистой винды и все заработало.