В инете появились более новые и хитрые смс-вымогатели, блокирующие компьютор и требованием отправить смс с кодом или перечислить деньги на какой-то номер. Вот один из более-менее популярных таких усовершенствованных вирусов. Номер может отличатся, но текст останется тот же. Как победить обычный SMS-вымогатель и как они работают расписано в другой статье — Вирус «Отправте SMS на номер…», а тут мы поговорим о новой версии этого вируса.
Вот так выглядит это окно.
Для чистки компьютора от этого вируса нам понадобится:
- любой LiveCD с Windows на борту
- оригинальные файлы taskmgr.exe и userinit.exe
Ну-с, начнем…
- Запускаем Windows с LiveCD
- Пуск — Выполнить (Win + R) — regedit
- В открывшейся программе выбираем HKEY_LOCAL_MACHINE
- Нажимаем Файл -> Загрузить куст. И выбираем файл, который мы хотим открыть Х:\WINDOWS\system32\config\software
На запрос как назвать ветку пишем Soft - Открываем ветку реестра HKEY_LOCAL_MACHINE\Soft\Microsoft\Windows NT\CurrentVersion\Windows находим параметр AppInit_DLLs – его значение должно быть пустое. Если там что-то написано – необходимо открыть этот ключ и почистить.
- Открываем ветку реестра HKEY_LOCAL_MACHINE\Soft\Microsoft\Windows NT\CurrentVersion\Winlogon находим параметр Userinit должно быть нечто похожее на C:\WINDOWS\system32\userinit.exe и больше ничего. Также смотрим на параметр Shell, в котором должно быть прописан только explorer.exe. Должна быть такая картина:
Shell => explorer.exe
Userinit => C:\WINDOWS\system32\userinit.exe - Все, с реестром закончили. Нажимаем на раздел Soft, потом Файл -> Выгрузить куст.
- Открываем фаловый менеджер (проводник или что-то другое) и удаляем такие файлы:
Х:\Documents and Settings\All Users\Application Data\22CC6C32.exe
Х:\WINDOWS\System32\userinit.exe
Х:\WINDOWS\System32\taskmgr.exe
Х:\WINDOWS\System32\03014D3F.exe
Х:\WINDOWS\System32\dllcache\userinit.exe
Х:\WINDOWS\System32\dllcache\taskmgr.exe - Теперь можно смело закинуть подготовленные нами оригинальные файлы userinit.exe и taskmgr.exe в такие папки:
Х:\WINDOWS\System32\userinit.exe
Х:\WINDOWS\System32\taskmgr.exe
Х:\WINDOWS\System32\dllcache\userinit.exe
Х:\WINDOWS\System32\dllcache\taskmgr.exe - Перезагрузите компьютор и разботайте спокойно дальше 🙂
24 сентября, 2012
18 сентября, 2013 at 10:46 дп
>> Пуск — Выполнить (Win + R) — regedit
то есть с liveCD откроется реестр той винды, что на винте?
Насколько я знаю, нужна специализированная утилита на liveCD, которая сможет открыть реестр по указанному пути.
Если честно, до этого поста за последние лет 5 я почистил много таких скрин-локов. И только один раз не смог, видимо был случай как в вашем посте. Все остальные случаи лечились удалением из автозапуска непонятных *.exe и удалением их с винта.
18 сентября, 2013 at 10:48 дп
Ааа. Понял. Я не дочитал. С кустами так не заморачивался.
19 сентября, 2013 at 1:24 дп
🙂