53 вирус убить своими руками и
�вку компьютера

 

В последнее время очень распространился вирус, который после загрузки компьютера блокирует запуск программ Windows c выдачей на весь экран порно баннера (banner)..
Задача вируса - заставить вас отправить сообщение на номер 8353, с тем, чтобы вы расплатились за разблокировку компьютера, которая установлена, как сообщается, на определённый срок.
Как можно разблокировать компьютер своими руками?
Здесь есть несколько путей, которые зависят от ваших предварительных действий.
1.Самое простое – сделать откат системы на предыдущую точку восстановления( если вы её устанавливали). Есть удобная утилита для работы с настройками системы – msconfig.exe. Её можно запустить через Пуск - выполнить. Во вкладке «Сервис» вы найдете пункт «Восстановление системы» где можно, как создать новую точку (Если вы уверены, что система в порядке), так и вернуть настройки, откатив её на предыдущую точку.
2. Если вы раньше не создали ни одной точки восстановления , тогда попробуйте следующее: зайдите на компьютер в безопасном режиме с командной строкой. Для этого при загрузке компьютера нажимайте F8. После загрузки в командной строке введите:
>cd\
>cd windows\pchealth\helpctr\binaries
>regedit.exe
Откроется редактор реестра. Выбирайте HKEY_LOCAL_MACHINE
Далее Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Найдите справа в списке параметр Shell щелкните по нему дважды
Отредактируйте значение параметра так, чтобы осталось только Explorer.exe, как на
картинке ниже и нажмите кнопку «ОК». Перед этим посмотрите и спишите на листик программу, которая может стоять рядом или была до этого (это и будет программа запуска вируса 8353, потом найдете её в проводнике и удалите)

Проверьте, нет ли ещё рядом одной ветки Winlogon c одним этим параметром. Если есть, то удалите её.
Закройте окно Редактора реестра.
Запустите в командном окне настройщик системы MSCONFIG
>msconfig.exe
Перейдите на вкладку «Автозагрузка» и снимите галочки со всех программ. Нажмите на кнопку «принять». Затем перейдите во вкладку «Службы», найдите и снимите галочку со службы «Планировщик заданий». Нажмите на кнопки «Принять» и «ОК». После этого выйдет сообщение – нажмите на «Перезагрузку».

Теперь можно загрузиться в обычном режиме и приступать к удалению программ Троянов.
Это могут быть файлы с разными названиями и в разных папках диска.. Встречаются: plagin.exe, md.exe, user32.exe, services.exe.
Выявить эти программы можно через кнопку «Пуск» – «Поиск», где ввести маску: *.exe в окошке для имени файла и зная дату, когда появился вирус 8353. Ниже выбрать, когда были произведены последние изменения «Указать диапазон» установить «создан». Провести поиск по всем основным дискам (C: - обязательно и где стоит Windows). Тут вам может и найтись файл, упомянутый в строке Shell (рядом с EXPLORER.exe) в настройках проводника (это вирус) , в списке автозагрузки или в Планировщике заданий Windows ( «Пуск» - «Все программы» - «Стандартные» - «Служебные» - «Назначенные задания» ) ,
Проанализируйте, что вы в этот день качали, устанавливали или планировали и поймете, какие из них файлы вирусов. Удалите их.
Проверьте свои USB флэш накопители – там также мог остаться вирус.
Если на жестких дисках или флешках есть файлы autorun.inf (автозапуск с устройства) – удалите их.
Ну и дальше вам надо принимать меры по устранению последствий действия вируса (если они есть).

При перепечатке используйте ссылку на http://softnest.narod.ru

9.04.2010

Еще один пример борьбы с вирусами блокираторами описан здесь. Это попытка исправить ситуацию, которая не увенчалась успехом.