Trojan. Winlock - поганенький вирус который блокирует винду и доступ ко всему что можно и просит для разблокировки либо послать СМС за оч крупную сумму (хотя пишут 10-30 рублей) либо в последнее время просят положить на счет билайна (видимо потому что с билайна можно обналичить денежки). Недавно я сам столкнулся с этой проблемой...в итоге помогла лишь такая последовательность действий: -на сайте Dr.Web в поле "номер" ввел тот на который просили положить денег (так как по картинке пароль не подошел) -из списка путем подбора нашел нужный пароль и окно баннера убралось -скачал сразу же Dr.Web CureIt (правда сейчас нет просто скачивания,теперь перед скачиванием необходимо ввести свои некоторые данные...видимо для статистики) -сканируете комп на предмет вирусов (лучше всего перезагрузиться и войти в безопасном режиме, для этого при загрузке компьютера держите F8 (по умолчанию) или у некоторых F2 и выберете из всего списка "безопасный режим") Итак мы нашли все что было вредного и опасного на вашей машинке но нужно еще и устранить последствия этого вируса. Например у меня после Trojan. Winlock2741 перестал заходить на сайты антивирусов и не обновлялись базы антивирусов если я пытался их установить.
Для устранения последствий после Trojan. Winlock нужно:
-Обязательно проверить файл host на наличие изменений! Можно так: Откройте меню Пуск, выберите пункт Выполнить, введите команду %SystemRoot%\system32\drivers\etc\hosts или вставить команду прямо в адресную строку проводника и открыть файл блокнотом, содержимое файла должно выглядеть так (все лишнее - удалить!):
ДЛЯ Win XP: # © Корпорация Майкрософт (Microsoft Corp.), 1993-1999 # # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows. # # Этот файл содержит сопоставления IP-адресов именам узлов. # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен # находиться в первом столбце, за ним должно следовать соответствующее имя. # IP-адрес и имя узла должны разделяться хотя бы одним пробелом. # # Кроме того, в некоторых строках могут быть вставлены комментарии # (такие, как эта строка), они должны следовать за именем узла и отделяться # от него символом '#'. # # Например: # # 102.54.94.97 rhino.acme.com # исходный сервер # 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
ДЛЯ Win 7:
# Copyright © 1993-2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself. # 127.0.0.1 localhost # ::1 localhost
Вредонос может изменить расположение файла hosts - проверьте ключ реестра (чтобы зайти в реестр нажмите"Пуск"->"Выполнить" и введите там regedit) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath ДОЛЖНО быть значение %SystemRoot%\System32\drivers\etc
- Если в host чисто, но на сайты НЕ заходит - нужно проверить статические маршруты: В консоли (с правами админа!) route print >C:\log.txt Файл log.txt сохранится в корне диска С Удалить все статические маршруты - команда в консоли route -f Может потребоваться перезагрузка!
Вызов консоли: Пуск>Выполнить>cmd или %SystemRoot%\system32\cmd.exe - из адресной строки проводника. Для запуска с правами Админа нужно НАЙТИ файл cmd.exe и запустить его от имени Администратора.
- Откройте планировщик заданий и удалите неизвестные и/или подозрительные задания! Для 7, например, -> Панель управления \ Все элементы панели управления \ Администрирование \ Планировщик заданий или %windir%\system32\taskschd.msc - из адресной строки проводника. Для WinXP -> Панель управления \ Назначенные задания или %windir%\tasks - из адресной строки проводника.
Проверьте в настройках IE (Internet Explorer): Свойства обозревателя->Подключения->Настройка и Настройка сети: возможно присутствие "левых" прокси-серверов! Удалите.
Как удалить вирус вручную с помощью ERD Commander
скачать ERD Commander
Загрузите Windows в так называемой «чистой среде», например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:
– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;
– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;
– внизу появится строка состояния Starting Winternals ERD Commander;
– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;
– в окне Welcome to ERD Commander выберите свою ОС –> OK;
– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;
– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);
– удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows – %Temp%\<rnd>.tmp (может иметь атрибуты Скрытый, Системный, Только чтение);
– закройте окно ERD Commander Explorer;
– нажмите Start –> Administrative Tools –> RegEdit;
– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\<rnd>.tmp;
– в этом же разделе исправьте (при необходимости) значение строковогоREG_SZ-параметра Shell на Explorer.exe;
– закройте окно ERD Commander Registry Editor;
– нажмите Start –> Log Off –> Restart –> OK;
– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;
– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;
– загрузите Windows в обычном режиме;
– проверьте систему антивирусом со свежими базами.
Купить ссылку здесь за руб.Поставить к себе на сайт Купить ссылку здесь за руб.Поставить к себе на сайт
Источник: http://forum.drweb.com/index.php?showtopic=287460 |