Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса
Метод простой ручной чистки компьютера, зараженного SMS-блокером или лечение смс-вируса
(рассматривается самый «жесткий» вариант - никаких программ запустить невозможно, в безопасный режим не заходит, удаление вирусного тела антивирусом не помогает, так как он самовосстанавливается и так далее)
Внимание: метод экспериментальный, все операции проводятся на свой страх и риск! Работоспособность компьютера не гарантированна!
Для начала нам надо загрузиться с Live CD. Вставляем диск в дисковод, заходим в БИОС, выставляем загрузку с CD-ROM, и загружаемся.
1. Работа с реестром
Первым делом подключаем в ERD Commandere реестр зараженной машины и смотрим значение параметра «Userinit» по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Там должно быть указано значение «C:\windows\system32\usrinit.exe,»* (без кавычек, но с запятой). Если там ссылка на другой файл - мы его находим, удаляем, а потом заменяем ссылку на нормальную.
По этому же адресу возможно есть ключ с названием «Userint». Там проделываем то же самое.
Потом смотрим там же значение ключа «Shell». Должно быть «explorer.exe». Если вместо этого там ссылка на ехешный файл - находим его, убиваем и переписываем ссылку как должно быть.
Далее проверяем другие разделы загрузки:
HKEY_USERS\Admin\Software\Microsoft\Windows\CurrentVersion\Run +
HKEY_USERS\Admin\Software\Microsoft\Windows\CurrentVersion\RunOnce +
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run +
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Если там есть незнакомые вам ключи, в значениях которых указана ссылка на ехешный файл с абракадаброй в названии - мочим сперва этот файл, потом и сам параметр.
2. Работа с файлами
Проверяем, нет ли ехешников с названиями абракадаброй в следующих папках:
С:\Documents and Settings\
С:\Documents and Settings\Admin\**
С:\Documents and Settings\Admin\Application Data
С:\Documents and Settings\Default User\
С:\Documents and Settings\NetworkService\
С:\Documents and Settings\All Users\Application Data
Если есть - удаляем.
3. Зачистка
Чистим все темповские папки, в которых часто прячутся вирусы:
С:\WINDOWS\Temp
С:\Documents and Settings\Admin\Local Settings\Temp
С:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5 (оставив файлы index.dat и desktop.ini)
С:\Documents and Settings\Default User\Local Settings\Temp
С:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5 (оставив файлы index.dat и desktop.ini)
С:\Documents and Settings\NetworkService\Local Settings\Temp
С:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5 (оставив файлы index.dat и desktop.ini)
4. Проверка целостности и замена системных файлов
Идем в каталог С:\WINDOWS\system32 и меряем размер файла «userinit.exe». Норма - 26,0 КБ (26 624 байт). Если другой - заходим на диск с LiveCD в папку I386 и находим там файл «userinit.ex_». Rarом или 7ZIPом распаковываем его, получаем «userinit.exe» и заменяем им тот файл, что у нас был в папке system32.
Добавлю еще, что годный userinit может быть в папке С:\WINDOWS\system32\dllcache, но новые модификации вирусов уже могут и его заменять, так что с диска надежнее. В будущем, скорее всего, даже размер подгонят, так что лучше менять даже если размер с виду нормальный.
Рекомендуют заменять также файл taskgmr.exe в этой же папке и explorer.exe в WINDOWS.
Сокращенную инструкцию и дополнения буду выкладывать в комментариях. Там же - адреса официальных унлокеров и прочие ссылки по теме борьбы с вирусами.
Если вам все это не помогло, то я рекомендую скачать Dr.Web LiveCD и просканировать компьютер с его помощью. Найденных зверьков - уничтожить.
Если и это не помогло - добро пожаловать на сайт, там лечат даже самые запущенные случаи, причем бесплатно. Создавайте тему с просьбой о помощи согласно вот этим правилам.
* - здесь и далее букву диска С можно заменить на другую, если у вас Windows стоит на другом диске
** - здесь и далее admin можно заменить на другое имя пользователя, если есть другие учетки
Эта методика пока в стадии тестирования. Опробовал на виртуальном свежезараженном компе - сработало. Замечания, упрощения и доработки принимаются.
(рассматривается самый «жесткий» вариант - никаких программ запустить невозможно, в безопасный режим не заходит, удаление вирусного тела антивирусом не помогает, так как он самовосстанавливается и так далее)
Внимание: метод экспериментальный, все операции проводятся на свой страх и риск! Работоспособность компьютера не гарантированна!
Для начала нам надо загрузиться с Live CD. Вставляем диск в дисковод, заходим в БИОС, выставляем загрузку с CD-ROM, и загружаемся.
1. Работа с реестром
Первым делом подключаем в ERD Commandere реестр зараженной машины и смотрим значение параметра «Userinit» по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Там должно быть указано значение «C:\windows\system32\usrinit.exe,»* (без кавычек, но с запятой). Если там ссылка на другой файл - мы его находим, удаляем, а потом заменяем ссылку на нормальную.
По этому же адресу возможно есть ключ с названием «Userint». Там проделываем то же самое.
Потом смотрим там же значение ключа «Shell». Должно быть «explorer.exe». Если вместо этого там ссылка на ехешный файл - находим его, убиваем и переписываем ссылку как должно быть.
Далее проверяем другие разделы загрузки:
HKEY_USERS\Admin\Software\Microsoft\Windows\CurrentVersion\Run +
HKEY_USERS\Admin\Software\Microsoft\Windows\CurrentVersion\RunOnce +
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run +
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Если там есть незнакомые вам ключи, в значениях которых указана ссылка на ехешный файл с абракадаброй в названии - мочим сперва этот файл, потом и сам параметр.
2. Работа с файлами
Проверяем, нет ли ехешников с названиями абракадаброй в следующих папках:
С:\Documents and Settings\
С:\Documents and Settings\Admin\**
С:\Documents and Settings\Admin\Application Data
С:\Documents and Settings\Default User\
С:\Documents and Settings\NetworkService\
С:\Documents and Settings\All Users\Application Data
Если есть - удаляем.
3. Зачистка
Чистим все темповские папки, в которых часто прячутся вирусы:
С:\WINDOWS\Temp
С:\Documents and Settings\Admin\Local Settings\Temp
С:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5 (оставив файлы index.dat и desktop.ini)
С:\Documents and Settings\Default User\Local Settings\Temp
С:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5 (оставив файлы index.dat и desktop.ini)
С:\Documents and Settings\NetworkService\Local Settings\Temp
С:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5 (оставив файлы index.dat и desktop.ini)
4. Проверка целостности и замена системных файлов
Идем в каталог С:\WINDOWS\system32 и меряем размер файла «userinit.exe». Норма - 26,0 КБ (26 624 байт). Если другой - заходим на диск с LiveCD в папку I386 и находим там файл «userinit.ex_». Rarом или 7ZIPом распаковываем его, получаем «userinit.exe» и заменяем им тот файл, что у нас был в папке system32.
Добавлю еще, что годный userinit может быть в папке С:\WINDOWS\system32\dllcache, но новые модификации вирусов уже могут и его заменять, так что с диска надежнее. В будущем, скорее всего, даже размер подгонят, так что лучше менять даже если размер с виду нормальный.
Рекомендуют заменять также файл taskgmr.exe в этой же папке и explorer.exe в WINDOWS.
Сокращенную инструкцию и дополнения буду выкладывать в комментариях. Там же - адреса официальных унлокеров и прочие ссылки по теме борьбы с вирусами.
Если вам все это не помогло, то я рекомендую скачать Dr.Web LiveCD и просканировать компьютер с его помощью. Найденных зверьков - уничтожить.
Если и это не помогло - добро пожаловать на сайт, там лечат даже самые запущенные случаи, причем бесплатно. Создавайте тему с просьбой о помощи согласно вот этим правилам.
* - здесь и далее букву диска С можно заменить на другую, если у вас Windows стоит на другом диске
** - здесь и далее admin можно заменить на другое имя пользователя, если есть другие учетки
Эта методика пока в стадии тестирования. Опробовал на виртуальном свежезараженном компе - сработало. Замечания, упрощения и доработки принимаются.