Примерно год назад появились первые версии блокираторов. Они были практически безвредными. После нескольких перезагрузок сами «исчезали», лечились элементарной проверкой cureit.

Сейчас они обросли защитными и вредоносными функциями, бороться стало сложнее. Запускаются даже в безопасном режиме, повреждают запись в реестре отвечающие за запуск exe файлов, отключают диспетчер задач, запрещают заходить на антивирусные сайты..

Попробуем рассмотреть общие рекомендации по борьбе с вредителями.

Как удалить троян(вирус) блокирующий компьютер и требующий отправить смс

Внимание! Статья расчитана на пользователя с определенным уровнем знаний. Если вас пугают слова редактор реестра и LiveCD, воспользуйтесь чьей-либо помощью.

1. Смс отправлять не надо, стоит она далеко не 10 рублей.

2. Попробуйте воспользоваться сервисом деактивации вымогателей-блокеров

• DrWeb — http://www.drweb.com/unlocker/index/?lng=ru
• Kaspersky — http://virusinfo.info/deblocker/
• Поиск в яндексе и гугле по номеру и коду смс

Если код активации подошёл, все равно необходимо проверить компьютер антивирусными утилитами cureit и avptool.

Если код не подошёл, идем дальше 🙂

3. Загружаемся с LiveCD, (любую сборку, которая вам по душе, я пользуюсь Alkid, он определяет флешки подключенные после загрузки)

4. Удаляем временные файлы из следующих папок:

• C:\WINDOWS\Temp
• C:\Documents and Settings\ВашаУчетнаяЗапись\Local Settings\Temporary Internet Files
• C:\Documents and Settings\ВашаУчетнаяЗапись\Local Settings\Temp
• C:\RECYCLER

5. Проверяем антивирусными утилитами cureit и avptool папки:

• C:\WINDOWS\system32
• C:\Documents and Settings
• корневой раздел C:\

Если вопрос времени не стоит, делаем полную проверку всех дисков.

6. Самое сложно и интересное. Открываем редактор реестра. Переходим в раздел HKEY_LOCAL_MACHINE, выбираем в меню загрузить куст. Загружаем по очереди разделы реестра пораженной операционной системы.

Нас интересуют файлы

• C:\Documents and Settings\ВашаУчетнаяЗапись\NTUSER.DAT
• C:\WINDOWS\system32\config\default
• C:\WINDOWS\system32\config\SAM
• C:\WINDOWS\system32\config\SECURITY
• C:\WINDOWS\system32\config\software
• C:\WINDOWS\system32\config\system
• C:\WINDOWS\system32\config\userdiff

Для восстановления запуска exe файлов в ветках реестра

• HKEY_CLASSES_ROOT\exefile\shell\open\command
• HKEY_CLASSES_ROOT\exefile\shell\runas\command

текстовый параметр должен иметь значение ?%1″ %*

Убираем зловреда из автозагрузки

а) Удаляем лишнее из папок

• C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка
• C:\Documents and Settings\ВашаУчетнаяЗапись\Главное меню\Программы\Автозагрузка

б) Убираем все что вызывает подозрение в разделах реестра

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

в) Проверяем соответствие и убераем лишнее в разделе реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• Парметр Userinit — значение C:\WINDOWS\system32\userinit.exe,
• Параметр Shell — значение Explorer.exe

7. Загружаемся и устраняем последствия

• Запускаем AVZ, выполняем восстановление системы.
• Проверяем систему TrojanRemover.
• Переустанавливаем антивирус.
• Обновляем операционную систему всеми критическими обновлениями.
• Убираем у пользователя права администратора.

8. Избегаем посещения сайтов с сомнительным содержанием.

Буду рад вопросам и дополнениям.