В сети появилась очередная модификация вируса блокиратора, действие стандартное – блокировка Windows на старте. Требует оплатить 500 рублей по номеру 89645318084. ( 8-964-531-80-84 ) Билайн.
Скриншот:
Скриншот:
Коды, генерируемые сервисами drweb, касперского и им подобным не подошли. Посему вам придётся удалять его своими силами.
Как удалить вирус:
Блокиратор не даёт загрузиться системе во всех режимах загрузки Windows, поэтому
вам придётся либо использовать загрузочный диск типа Zver10 live (можно использовать любую другую сборку с возможностью запуска операционной системы с компакт диска), либо подключать жесткий диск с зараженной системой к другому компьютеру.
Я использовал загрузочный диск Zver10 live, выставляем в БИОСе загрузку с привода оптических дисков, выбираем в меню загрузку windows с компакт диска в режиме live.
Далее пуск – служебные – администрирование реестра, появится окно с выбором диска с
установленной виндоус для импорта реестра. Выбираем диск с установленной виндоус на
которой «весит» блокиратор, откроется окно с редактора реестра. Далее проверяем ветки
реестра отвечающие за запуск программ на старте системы -HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Я нашел тело вируса в папке C:\ Program Files\Opera\ null0_5694591511515197.exe
Также вирус изменил в реестре значение shell с стандартной HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\Explorer.exe на \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\ null0_5694591511515197.exe.Т.е удалил из реестра запуск Explorer.exe и заменил на файл вируса, поэтому после удаления вируса вам придётся восстановить в реестре запуск Explorer.exe вручную, либо можно сделать восстановление системы на дату когда вируса не было. Стандартное значение такое HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell\Explorer.exe (путь запуска с:\windows\explorer.exe)
Как удалить вирус:
Блокиратор не даёт загрузиться системе во всех режимах загрузки Windows, поэтому
вам придётся либо использовать загрузочный диск типа Zver10 live (можно использовать любую другую сборку с возможностью запуска операционной системы с компакт диска), либо подключать жесткий диск с зараженной системой к другому компьютеру.
Я использовал загрузочный диск Zver10 live, выставляем в БИОСе загрузку с привода оптических дисков, выбираем в меню загрузку windows с компакт диска в режиме live.
Далее пуск – служебные – администрирование реестра, появится окно с выбором диска с
установленной виндоус для импорта реестра. Выбираем диск с установленной виндоус на
которой «весит» блокиратор, откроется окно с редактора реестра. Далее проверяем ветки
реестра отвечающие за запуск программ на старте системы -HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Я нашел тело вируса в папке C:\ Program Files\Opera\ null0_5694591511515197.exe
Также вирус изменил в реестре значение shell с стандартной HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\Explorer.exe на \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\ null0_5694591511515197.exe.Т.е удалил из реестра запуск Explorer.exe и заменил на файл вируса, поэтому после удаления вируса вам придётся восстановить в реестре запуск Explorer.exe вручную, либо можно сделать восстановление системы на дату когда вируса не было. Стандартное значение такое HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell\Explorer.exe (путь запуска с:\windows\explorer.exe)
скрин тела вируса :
В общем удаляем тело вируса с жесткого диска, восстанавливаем значение Shell в реестре и радуемся )
Если загрузочного диска нет и вы подсоединили винчестер к другому компьютеру то для импорта реестра понабиться эти программы : RUNSCANNER.EXE и REGEDIT.EXE
Запускаем regedit.exe,далее выбираем диск с установленной системой и указываем папку, в которую установлена Windows. Запустится редактор реестра, в нём проверяем ветки HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell и HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ищем «лишние» файлы и удаляем их.
Вот собственно и всё, удачи!
Если загрузочного диска нет и вы подсоединили винчестер к другому компьютеру то для импорта реестра понабиться эти программы : RUNSCANNER.EXE и REGEDIT.EXE
Запускаем regedit.exe,далее выбираем диск с установленной системой и указываем папку, в которую установлена Windows. Запустится редактор реестра, в нём проверяем ветки HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell и HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ищем «лишние» файлы и удаляем их.
Вот собственно и всё, удачи!
Комментариев нет:
Отправить комментарий