Заметки, документация, мануалы.

Как побороть более сложный SMS-вымогатель

В инете появились более новые и хитрые смс-вымогатели, блокирующие компьютор и требованием отправить смс с кодом или перечислить деньги на какой-то номер. Вот один из более-менее популярных таких усовершенствованных вирусов. Номер может отличатся, но текст останется тот же. Как победить обычный SMS-вымогатель и как они работают расписано в другой статье — Вирус «Отправте SMS на номер…», а тут мы поговорим о новой версии этого вируса.

Вот так выглядит это окно.
Для чистки компьютора от этого вируса нам понадобится:

  • любой LiveCD с Windows на борту
  • оригинальные файлы taskmgr.exe и userinit.exe

Ну-с, начнем…

  1. Запускаем Windows с LiveCD
  2. Пуск — Выполнить (Win + R) — regedit
  3. В открывшейся программе выбираем HKEY_LOCAL_MACHINE
  4. Нажимаем Файл -> Загрузить куст. И выбираем файл, который мы хотим открыть Х:\WINDOWS\system32\config\software
    На запрос как назвать ветку пишем Soft
  5. Открываем ветку реестра HKEY_LOCAL_MACHINE\Soft\Microsoft\Windows NT\CurrentVersion\Windows находим параметр AppInit_DLLs – его значение должно быть пустое. Если там что-то написано – необходимо открыть этот ключ и почистить.
  6. Открываем ветку реестра HKEY_LOCAL_MACHINE\Soft\Microsoft\Windows NT\CurrentVersion\Winlogon находим параметр Userinit должно быть нечто похожее на C:\WINDOWS\system32\userinit.exe и больше ничего. Также смотрим на параметр Shell, в котором должно быть прописан только explorer.exe. Должна быть такая картина:
    Shell => explorer.exe
    Userinit => C:\WINDOWS\system32\userinit.exe
  7. Все, с реестром закончили. Нажимаем на раздел Soft, потом Файл -> Выгрузить куст.
  8. Открываем фаловый менеджер (проводник или что-то другое) и удаляем такие файлы:
    Х:\Documents and Settings\All Users\Application Data\22CC6C32.exe
    Х:\WINDOWS\System32\userinit.exe
    Х:\WINDOWS\System32\taskmgr.exe
    Х:\WINDOWS\System32\03014D3F.exe
    Х:\WINDOWS\System32\dllcache\userinit.exe
    Х:\WINDOWS\System32\dllcache\taskmgr.exe
  9. Теперь можно смело закинуть подготовленные нами оригинальные файлы userinit.exe и taskmgr.exe в такие папки:
    Х:\WINDOWS\System32\userinit.exe
    Х:\WINDOWS\System32\taskmgr.exe
    Х:\WINDOWS\System32\dllcache\userinit.exe
    Х:\WINDOWS\System32\dllcache\taskmgr.exe
  10. Перезагрузите компьютор и разботайте спокойно дальше 🙂

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.