Компьютерный форум


  Closed TopicStart new topicStart Poll

> удаляем баннер смс вымогатель ! Faq!, FAQ!! Читать!!
Eternity
Отправлено: Ноя 13 2013, 23:57
Quote Post


Администратор
Group Icon

Группа: Администраторы
Сообщений: 1092
Из: Бескрайние просторы сетей
Пользователь №: 202
Регистрация: 20-Августа 13

Member Offline

Репутация: 19




Участились случаи заражения компьютеров вирусами вымогателями, с надписью "windows заблокирован пополнить номер абонента мтс на сумму 'энное кол-во рублей" Номера телефонов могут быть любыми и постоянно меняются. Удалить баннер можно вручную, используя загрузочный диск или через безопасный режим.

удаляем так:
При включении компьютера нажимайте клавишу F8 и выбирайте пункт меню Безопасный режим, можно еще через пункт меню Безопасный режим с поддержкой командной строки. Появится консоль (черный экран и курсор). Вводим команду msconfig и попадаем в меню автозагрузки. Там внимательно смотрим, какие файлы и откуда подгружаются. Наиболее распространенное название файла смс вируса: 32.exe.

на картинке во вложении вирусные файлы подчеркнуты красной линией, отключаем их в автозагрузке, затем пройти по указанному пути и удалить эти файлы!!!!
затем проверить нет ли на рабочем столе файла test.exe Если есть - удалить

далее
зайти по указанному пути с:\Documents and Settings\All Users\Application Data и удалить файл с названием 22CC6C32.exe, если таковой имеется .

далее Зайдите в C:\Program data и посмотрите нет ли там файла 22cc2***.exe. Если есть - удалите.!

далее
зайти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
значение параметра Shell исправить на значение explorer.exe

значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки)
в реестре через поиск найти упоминание файла названием 22CC6C32.exe - удалить эти строки


Данный вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:

удаляем файл userinit.exe из папки с:\WINDOWS\system32

Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe
Перезагружаем компьютер

Присоединённые изображения
Присоединённое изображение


--------------------
user posted image
Понравился наш форум? Порекомендуйте его своим друзьям!
user posted image
PMEmail PosterUsers Website
Top
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Topic Options Closed TopicStart new topicStart Poll

 


Текстовая версия