Баннеры с смс (вирус Winlock)

Материал из Каталог Инструкций Релант
Перейти к: навигация, поиск

Trojan.Winlock

Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

Решение проблемы

Заходим сюда или сюда а лучше пробуем и там и там, вводим текст предполагаемого sms-сообщения и полученный код разблокировки вводим в сам баннер. Баннер должен исчезнуть, после его исчезновения прогоняем компьютер на вирусы (желательно DrWeb CureIt или AVP_Tool). Также можно воспользоваться программой SpybotS&D(предварительно обновив). Самые простые версии этого вируса легко обнаруживаются в Автозагрузке (посмотреть что загружается автоматически можно выполнив команду msconfig).

Лечение Trojan.Winlocker вручную

1) Перегружаем компьютер в безопасном режиме с поддержкой командной строки (клавиша F8). В этом режиме не происходит загрузки оболочки системы, т.е. вирус не загружается.

2) В командной строке желательно выйти на Total Commander (так удобнее, но можно и проводником). cd "c:\Program Files\Total Commander\totalcmd"

3) В командной строке запускаем редактор реестра: regedit

4) Ищем параметр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Там наверняка будет значение %SYSTEM_ROOT%\Windows\System32\user32.exe

Меняем значение параметра на Explorer.exe

5) Удаляем два файла, один из которых был прописан как значение параметра, т.е.

C:\Wndows\System32\user32.exe

C:\Windows\System32\user32.dll

Удалятся они, скорее всего, не захотят, так что убиваем их любыми доступными средствами (Unlocker, всяческие утилиты и т.д)

6) Так же СО ВСЕХ дисков нужно удалить пару файлов: md.exe и autorun.inf

На диске C:\ этой пары, скорее всего, не будет, зато она будет на всех остальных дисках, без исключения. Все эти пары удаляем.

7) Перегружаем компьютер в обычном режиме

Если какие-то места автозагрузки были пропущены, можно так же в безопасном режиме с поддержкой командной строки сделать замену зловредного user32 на explorer.exe (c:\windows) с сохранением имени. Т.е. будет грузится подмененная оболочка, которую мы тоже подменили на стандартную. Но это плохо. Это костыль.