Показано с 1 по 10 из 42
Комбинированный просмотр
-
24.08.2010, 10:02 #1
- Регистрация
- 05.02.2010
- Сообщений
- 1
- Сказал(а) спасибо
- 1
- Поблагодарили 0 раз(а) в 0 сообщениях
Лечим Trojan.Winlock.2194.
Симптомы: черный экран, злобное сообщение о блокировке Виндовс в результате якобы пиратского использования ПО, требуется отправить 400 рублей на некий телефон оператора БИЛАЙН. Я излечил данный недуг с помощью BartPE, можно также использовать и LiveCD и любую другую приблуду, загружающую операционку с CD, лишь бы до реестра добраться. Грузим операционку с CD, Пуск - Выполнить вводим команду regedit(редактирование реестра), появляется редактор реестра, но не тот что нам нужен. Нам нужен реестр того пользователя из-под которого работает вирус. Для этого в открывшемся редакторе реестра выбираем ветку HKEY_USERS, открываем её. Выбираем меню Файл - Загрузить куст. В появившемся окне ишем папку с нужным нам пользователем. Обычно это C:\Documents and Settings\нужный пользователь\ В этой папочке находим файл ntuser.dat выбираем его и жмем Открыть. В следующем окне вводим имя ветки HKEY_CURRENT_USER жмем ОК. Во вновь загруженной ветке находим раздел RUN он располагается по такому пути:HKEY_USERS\HKEY_CURRENT_USER\Software\Mic rosoft\Windows\CurrentVersion\Run. Вот здесь мы и найдем первую половину камня преткновения. У меня это был параметр PC Health Status со значением C:\Documents and Settings\user\Application Data\iqjeqdpg.exe Сразу видно белиберда какая то. Безжалостно мочим этот параметр. А вместе с ним и файл, расположенный по этому пути. Смотрим мож еще чего нить там заблудилось неправильного на ваш взгляд с подобной белибердой. Но аккуратненько, можно и лишнего замочить. В общем в этой ветке дело сделано. Снова выбираем ветку HKEY_USERS, там выделяем нашу загруженную HKEY_CURRENT_USER и жмем Файл - Выгрузить куст. Далее загружаем куст HKEY_LOCAL_MACHINE. Для этого вновь Файл - Загрузить куст, идем по следующему пути c:\Windows\System32\config, там выбираем куст под наименованием software, загружаем его в окне с именем раздела пишем тоже software. В данной ветке идем по пути HKEY_USERS\SOFTWARE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run Здесь также удаляем тот же самый параметр PC Health Status У вас может быть и что то другое, так же смотрим на наличие неких посторонних параметров, их тоже удаляем. Далее обязательно идем по ветке HKEY_USERS\SOFTWARE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ищем параметр Shell, его значение должно быть только explorer.exe, если оно иное, запоминаем путь до вредоносного файла, прописанного в данном параметре и удаляем этот файл, изменяем параметр на explorer.exe. После всего этого пробуем перезагрузиться уже с нормальной операционкой а не с CD
Похожие темы
-
проблема после удаления вируса W32.Neshuta
от Jandok в разделе Microsoft WindowsОтветов: 8Последнее сообщение: 16.04.2010, 02:21 -
Защита от шпионских программ
от репин в разделе БезопасностьОтветов: 5Последнее сообщение: 03.05.2009, 00:06 -
Список программ от безделия
от Cozaar в разделе СОФТ (SOFT)Ответов: 0Последнее сообщение: 03.04.2009, 05:18 -
Как восстановить после вирусаИ Помогите срочно!!
от Женя777 в разделе Microsoft WindowsОтветов: 4Последнее сообщение: 23.02.2009, 16:50
Социальные закладки