Жизнь это - мгновения, промежутки. Ночь ушла, солнце скоро взойдет. Сделайте эти промежутки настолько прекрасными насколько это возможно - наполненными молчанием, наполненными благодарностью к существованию, которое дало вам шанс, благодарностью по отношению ко всем тем, кто вам помог. И ждите.


5 июля 2011 г.

Удаляем смс вирус Trojan.Winlock.3252

Внимание! Если, после прочтения данной статьи у вас возникли какие-либо вопросы - создавайте тему на моем форуме и я проконсультирую Вас пошагово абсолютно бесплатно! Если потребуется платный выезд мастера по Москве - звоните по телефону 8926 10 65432.
Вчера, 25 апреля 2011 года мне на ремонт принесли ноутбук, зараженный смс вирусом (смс баннером) Trojan.Winlock.3252. Вирус требовал перевести на телефонный номер мтс 8911-757-25-04 сумму в размере 400 рублей. Так как это 100% обман, я принялся удалять данный вирус, но на этот раз все оказалось немного сложнее. О том как самому разблокировать компьютер и удалить смс баннер и пойдет речь в данной статье.

Заявленная неисправность

При включении компьютерна появляется смс баннер с надписью - Ваш компьютер заблокирован за просмотр копирование и тиражирование материалов... Для снятия блокировки вам необходимо оплатить штраф в размере 400 рублей на номер телефона МТС 8911-757-25-04.

Описание и пути решения проблемы

Это еще одна свежая модификация смс вируса. Ни в коем случае не переводите деньги на указанный номер телефона, так как вы попадетесь "на удочку мошенникам". Это вирус и нужно удалять.

Порядок действий при удалении смс баннера:

Загрузка в безопасном режиме нам не помогает, так как компьютер полностью блокируется. Поэтому для физического доступа к системе придется испльзовать загрузочный диск, вручную править реестр и удалять ненужные файлы.
  • загрузиться с любого загрузочного диска. Как записать образ на диск читаем здесь.
  • проверить нет ли на рабочем столе файла test.exe Если есть - удалить
  • зайти по указанному пути X:\Documents and Settings\All Users\Application Data и удалить файл с названием 22CC6C32.exe
  • зайти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • значение параметра Shell исправить на значение explorer.exe
  • значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки)
  • в реестре через поиск найти упоминание файла названием 22CC6C32.exe - удалить эти строки
компьютер заболкирован
Данный вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:
  • Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место(делаем резервную копию)
  • Затем удаляем файл userinit.exe из папки X:\WINDOWS\system32
  • Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe
  • Перезагружаем компьютер
Данный способ проверен лично мной при ремонте компьютера клиента, вирус был успешно удален. Также этот метод может сработать при удалении смс вирусов со следующими телефонными номерам:
  • 8-987-907-21-98
  • 8-911-728-24-49
  • 8-911-757-18-97
  • 8-911-273-64-38
  • 8-911-757-25-04
  • 8-911-757-19-95
Если Вы столкнулись с проблемой, когда появляется сообщение о том, что "компьютер заблокирован" - данная статья поможет Вам ее решить. Также у меня Вы можете заказать услугу удаление смс баннеров с выездом на дом и ознакомиться с полным спектром услуг компьютерной помощи.
http://www.evgeniystepanov.ru/komputer-zablokirovan.php
Автор: TomashBraun на 09:24
Ярлыки:

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)