Убиваем смс-попрошаек блокирующих компьютер

blokirator-sms

Примерно год назад появились первые версии блокираторов. Они были практически безвредными. После нескольких перезагрузок сами «исчезали», лечились элементарной проверкой cureit.

Сейчас они обросли защитными и вредоносными функциями, бороться стало сложнее. Запускаются даже в безопасном режиме, повреждают запись в реестре отвечающие за запуск exe файлов, отключают диспетчер задач, запрещают заходить на антивирусные сайты..

Попробуем рассмотреть общие рекомендации по борьбе с вредителями.

Как удалить троян(вирус) блокирующий компьютер и требующий отправить смс

Внимание! Статья расчитана на пользователя с определенным уровнем знаний. Если вас пугают слова редактор реестра и LiveCD, воспользуйтесь чьей-либо помощью.

1. Смс отправлять не надо, стоит она далеко не 10 рублей.

2. Попробуйте воспользоваться сервисом деактивации вымогателей-блокеров

Если код активации подошёл, все равно необходимо проверить компьютер антивирусными утилитами cureit и avptool.

Если код не подошёл, идем дальше 🙂

3. Загружаемся с LiveCD, (любую сборку, которая вам по душе, я пользуюсь Alkid, он определяет флешки подключенные после загрузки)

4. Удаляем временные файлы из следующих папок:

  • C:\WINDOWS\Temp
  • C:\Documents and Settings\ВашаУчетнаяЗапись\Local Settings\Temporary Internet Files
  • C:\Documents and Settings\ВашаУчетнаяЗапись\Local Settings\Temp
  • C:\RECYCLER

5. Проверяем антивирусными утилитами cureit и avptool папки:

  • C:\WINDOWS\system32
  • C:\Documents and Settings
  • корневой раздел C:\

Если вопрос времени не стоит, делаем полную проверку всех дисков.

6. Самое сложно и интересное. Открываем редактор реестра. Переходим в раздел HKEY_LOCAL_MACHINE, выбираем в меню загрузить куст. Загружаем по очереди разделы реестра пораженной операционной системы.

Нас интересуют файлы

  • C:\Documents and Settings\ВашаУчетнаяЗапись\NTUSER.DAT
  • C:\WINDOWS\system32\config\default
  • C:\WINDOWS\system32\config\SAM
  • C:\WINDOWS\system32\config\SECURITY
  • C:\WINDOWS\system32\config\software
  • C:\WINDOWS\system32\config\system
  • C:\WINDOWS\system32\config\userdiff

Для восстановления запуска exe файлов в ветках реестра

  • HKEY_CLASSES_ROOT\exefile\shell\open\command
  • HKEY_CLASSES_ROOT\exefile\shell\runas\command

текстовый параметр должен иметь значение ?%1″ %*

Убираем зловреда из автозагрузки

а) Удаляем лишнее из папок

  • C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка
  • C:\Documents and Settings\ВашаУчетнаяЗапись\Главное меню\Программы\Автозагрузка

б) Убираем все что вызывает подозрение в разделах реестра

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

в) Проверяем соответствие и убераем лишнее в разделе реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  • Парметр Userinit — значение C:\WINDOWS\system32\userinit.exe,
  • Параметр Shell — значение Explorer.exe

7. Загружаемся и устраняем последствия

  • Запускаем AVZ, выполняем восстановление системы.
  • Проверяем систему TrojanRemover.
  • Переустанавливаем антивирус.
  • Обновляем операционную систему всеми критическими обновлениями.
  • Убираем у пользователя права администратора.

8. Избегаем посещения сайтов с сомнительным содержанием.

Буду рад вопросам и дополнениям.

7 комментариев to “Убиваем смс-попрошаек блокирующих компьютер”

  1. 7
    Пётр Says:

    Привет!
    Столкнулся с такой проблемой после удаления временных файлов и правки реестра, получилось следущая картина: виндовс загружается до окна выбора пользователя, выбираю пользователя он начинает логиниться и тут же выходит опять на окно выбора пользователя то есть разлогинивается.
    Оказалось, что вирусня удалила файл userinit.exe и taskmgr.exe из system32. Скопировал из чистой винды и все заработало.

  2. 6
    Andrey Says:

    А вообще спасибо за статью.. Сам этим занимаюсь.. :))

  3. 5
    Andrey Says:

    Здравствуйте!! Вчера намотал такую хрень.. Сделал так.. Просто загрузился с ближайшей точки восстановления и все.. После загрузки системы удалил вирус каспером.. Система Win7 Ultimate. ЛЮДИ!! НЕ ВЫКЛЮЧАЙТЕ ВОССТАНОВЛЕНИЕ СИСТЕМЫ!! :))

  4. 4
    Влад Says:

    Автору огромная благодарность. Много полезного подчеркнул для себя из данной статьи!

  5. 3
    bardak Says:

    К сожалению в данный момент антивирусы в основном ищут вирусы содержащиеся в антивирусных базах, а не пользуются поведенческим анализом. отсюда и извечное отставание антивирусного по от вирусного.
    Недавно удалял такого зловреда, требующего оплаты через платежные терминалы, на указанный счет, оказалось достаточно почистить темпы и Userinit.
    Вам для того чтобы убедится что все в порядке достаточно просканировать пк утилитами avptool и trojan remover.

  6. 2
    Vitbayk Says:

    А как быть с попрошайками требующими оплаты через платежные терминалы, на указанный счет.
    при всем этом программа блокирует окно просмотра запущенных приложений и процессов.
    Конечно обойти эту неприятность получилось, но почему не среагировал DrWeb и SpyWar Terminator.
    А после просмотра компа по Вашему алгоритму ничего подозрительного не нашлось. Как убедиться, что все нормально?
    Спасибо заранее!

  7. 1
    SKOFI Says:

    Огромное спасибо за ваш Труд! мне очень помогло.

Leave a Reply