Участились случаи заражения компьютера вирусами вымогателями, которые блокируют Windows и требуют для разблокировки послать SMS на платный номер. Стандартными средствами (средствами заблокированной Windows) избавиться от SMS вируса невозможно. Вирус прописывается в реестр, при этом удаляя или изменяя конфигурацию загрузки системы.
Для того чтоб избавиться от злобного вируса, необходимо выполнить некоторые манипуляции с Windows. А именно вычистить из реестра все записи о вирусе и удалить файлы вируса. Для выполнения такой задачи необходимо иметь минимальные навыки работы с реестром Windows и ясное понимание того, что Вы делаете. В противном случае – переустановка Windows.
Самый простой способ уничтожить СМС вирус, это загрузиться с другой системы (с другой Windows). Для этого существуют так называемые Live CD. Live CD – это загрузочный диск Windows (не путать с установочным). Это почти полноценная операционная система. Диск можно скачать в Интернете (придется найти другой компьютер). Скачиваем образ любого Live CD, например ERD Commander 2005 и записываем образ на CD/DVD диск или на флешку. Инструкции как правильно записать образ Live CD в Интернете тоже есть.
Загрузившись с Live CD, необходимо запустить программу редактирования реестра regedit.exe (в некоторых версиях диска ERD Commander вместо regedit.exe при появлении ошибки «Regedit.exe and Regedt32.exe have been configured to not run under MSDaRT.Please use ErdRegedit.exe instead» запускайте ErdRegedit.exe).
В открывшемся окне «Загрузить куст» переходим в директорию C:\Windows\System32\Config\, где C: – буква диска, на который у вас установлена Windows. В зависимости от того какая ветвь реестра нуждается в редактировании выбираем в папке Config соответствующий куст. Например, если необходимо редактировать ветвь HKLM\SOFTWARE, выбираем в папке Config куст SOFTWARE и нажимаем «Открыть.
Далее, вводим любое имя для загружаемого раздела и работаем с появившейся в HKEY_USERS веткой, это и есть куст SOFTWARE зараженного компьютера.
Обычно СМС-вирусы изменяют несколько параметров реестра, что мешает нормальной загрузке Windows. Поэтому удаление вирусов сводится к восстановлению ключей реестра и физическому удалению файлов вируса которые прописаны в измененном параметре.
Необходимо в реестре найти ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр:
userinit
Значение параметра должно быть:
с:\windows\system32\userinit.exe,
где, «c:\» диск на который установлена Windows. Если значение параметра после буквы диска отличается, исправляем на вышеуказанный. Обязательно необходимо проверить наличие запятой после «userinit.exe,»
Параметр:
shell
Значение параметра должно быть:
Explorer.exe
После редактирования реестра, обязательно следует выгрузить куст, для этого необходимо выделить ветку, которую создали, затем – меню Файл > «Выгрузить куст».
Перезагружаем компьютер в обычном режиме.
Коментарі