GSM Форум - GSMForum.SU - Показать сообщение отдельно - Если Ваш компьютер инфицирован Trojan.Winlock

**Major999** · 28.02.2011, 11:01

При подготовке использовались эта статья и ветка этого форума.

Диспозиция. Система win xp pro sp3. При загрузке вылезает блокиратор. На ctrl+shift+del и ctrl+shift+esc вылезает калькулятор. Точки восстановления системы потёрты. Самый простой варриант — это если есть возможность скачать нижеперечисленные проги с другого компа или иметь их на флешке.Анлокер от веба, анлокер от каспера и антивирусная утилита avz. Качаем один из анлокеров и avz, записываем их на флешку. Открываем калькулятор (ctrl+shift+del) справка->о программе->лицензионного соглашения. Вылезет блокнот. В блокноте файл->открыть. Вставляем флешку. В блокнотовском окошке "открыть" открываем флешку и запускаем анлокер через правую кнопку мыши. Он должен найти и удалить блокировщик. Если не находит, то можно найти вирус вручную, для этого так же через правую кнопку открываем любую папку и запускаем меню поиска. Ищем файл по маске *.exe по дате изменения на тот день когда поймали блокиратор. Часто он висит в папке cache браузера. В моём случае он назывался "video_4623.exe". Удаляем его. После запускаем AVZ. В меню AVZ "Файл/Восстановление системы" отмечаем позиции "9. Удаление отладчиков системных процессов" и "16. Восстановление ключа запуска Explorer", после чего нажимаем "Выполнить отмеченные операции". После перезагрузки видим нормальный вид windows.

Если нет возможности скачать программы, то тоже не беда. Для начала надо запустить командную строку. Можно запустить по алгоритму из первого пункта, через калькулятор (путь по умолчанию C:\WINDOWS\system32\cmd.exe). А можно запустить безопасный режим с поддержкой командной строки (во время зарузки системы жмём F8 и выбираем нужный режим). Далее в командной строке вбиваем regedit, запускается редактор реестра, идем в ветку HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\winlogon находим там переменную shell, запоминаем ее содержимое
(это нам понадобиться чтобы найти и вручную удалить блокировщик) и меняем это содержимое на explorer.exe. Далее возвращаемся в начало ресстра и запускаем поиск по строке — той, которую запомнили. В зависимости от ситуации, либо меняем в найденных строках значение на explorer.exe (это если переменная — shell), либо просто убиваем строчки. Восстанавливаем запуск диспечера задач, а то калькулятор в его качестве, как-то не очень. Для этого в редакторе реестра, идем в куст HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Image File Execution Options и удаляем в нем ветку taskmgr.exe. Закрываем редактор реестра. Теперь нам нужно выйти из системы так, чтобы изменения в реестре сохранились. Для этого в командной строке вбиваем explorer — запустится оболочка windows. Теперь никто не помешает нажать Пуск->перезагрузка. После перезагрузки видим нормальный вид windows.

28.02.2011, 11:01	#23
Major999 Администратор Регистрация: 10.04.2006 Адрес: Токио-2 Сообщений: 3,642 Поблагодарил: 2,388 Поблагодарили 9,559 раз за 2,358 сообщений Репа: 2017	Освежил При подготовке использовались эта статья и ветка этого форума. Диспозиция. Система win xp pro sp3. При загрузке вылезает блокиратор. На ctrl+shift+del и ctrl+shift+esc вылезает калькулятор. Точки восстановления системы потёрты. Самый простой варриант — это если есть возможность скачать нижеперечисленные проги с другого компа или иметь их на флешке.Анлокер от веба, анлокер от каспера и антивирусная утилита avz. Качаем один из анлокеров и avz, записываем их на флешку. Открываем калькулятор (ctrl+shift+del) справка->о программе->лицензионного соглашения. Вылезет блокнот. В блокноте файл->открыть. Вставляем флешку. В блокнотовском окошке "открыть" открываем флешку и запускаем анлокер через правую кнопку мыши. Он должен найти и удалить блокировщик. Если не находит, то можно найти вирус вручную, для этого так же через правую кнопку открываем любую папку и запускаем меню поиска. Ищем файл по маске .exe по дате изменения на тот день когда поймали блокиратор. Часто он висит в папке cache браузера. В моём случае он назывался "video_4623.exe". Удаляем его. После запускаем AVZ. В меню AVZ "Файл/Восстановление системы" отмечаем позиции "9. Удаление отладчиков системных процессов" и "16. Восстановление ключа запуска Explorer", после чего нажимаем "Выполнить отмеченные операции". После перезагрузки видим нормальный вид windows. Если нет возможности скачать программы, то тоже не беда. Для начала надо запустить командную строку. Можно запустить по алгоритму из первого пункта, через калькулятор (путь по умолчанию C:\WINDOWS\system32\cmd.exe). А можно запустить безопасный режим с поддержкой командной строки (во время зарузки системы жмём F8 и выбираем нужный режим). Далее в командной строке вбиваем regedit, запускается редактор реестра, идем в ветку HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\winlogon* находим там переменную shell, запоминаем ее содержимое (это нам понадобиться чтобы найти и вручную удалить блокировщик) и меняем это содержимое на explorer.exe. Далее возвращаемся в начало ресстра и запускаем поиск по строке — той, которую запомнили. В зависимости от ситуации, либо меняем в найденных строках значение на explorer.exe (это если переменная — shell), либо просто убиваем строчки. Восстанавливаем запуск диспечера задач, а то калькулятор в его качестве, как-то не очень. Для этого в редакторе реестра, идем в куст HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Image File Execution Options и удаляем в нем ветку taskmgr.exe. Закрываем редактор реестра. Теперь нам нужно выйти из системы так, чтобы изменения в реестре сохранились. Для этого в командной строке вбиваем explorer — запустится оболочка windows. Теперь никто не помешает нажать Пуск->перезагрузка. После перезагрузки видим нормальный вид windows.