Главная Ча.Во. (FAQ) Общее Убиваем смс-попрошаек блокирующих компьютер

Убиваем смс-попрошаек блокирующих компьютер

blokirator-sms

Примерно год назад появились первые версии блокираторов. Они были практически безвредными. После нескольких перезагрузок сами «исчезали», лечились элементарной проверкой cureit.

Сейчас они обросли защитными и вредоносными функциями, бороться стало сложнее. Запускаются даже в безопасном режиме, повреждают запись в реестре отвечающие за запуск exe файлов, отключают диспетчер задач, запрещают заходить на антивирусные сайты..

Попробуем рассмотреть общие рекомендации по борьбе с вредителями.

Как удалить троян(вирус) блокирующий компьютер и требующий отправить смс

Внимание! Статья расчитана на пользователя с определенным уровнем знаний. Если вас пугают слова редактор реестра и LiveCD, воспользуйтесь чьей-либо помощью.

1. Смс отправлять не надо, стоит она далеко не 10 рублей.

2. Попробуйте воспользоваться сервисом деактивации вымогателей-блокеров

Если код активации подошёл, все равно необходимо проверить компьютер антивирусными утилитами cureit и avptool.

Если код не подошёл, идем дальше :)

3. Загружаемся с LiveCD, (любую сборку, которая вам по душе, я пользуюсь Alkid, он определяет флешки подключенные после загрузки)

4. Удаляем временные файлы из следующих папок:

  • C:\WINDOWS\Temp
  • C:\Documents and Settings\ВашаУчетнаяЗапись\Local Settings\Temporary Internet Files
  • C:\Documents and Settings\ВашаУчетнаяЗапись\Local Settings\Temp
  • C:\RECYCLER

5. Проверяем антивирусными утилитами cureit и avptool папки:

  • C:\WINDOWS\system32
  • C:\Documents and Settings
  • корневой раздел C:\

Если вопрос времени не стоит, делаем полную проверку всех дисков.

6. Самое сложно и интересное. Открываем редактор реестра. Переходим в раздел HKEY_LOCAL_MACHINE, выбираем в меню загрузить куст. Загружаем по очереди разделы реестра пораженной операционной системы.

Нас интересуют файлы

  • C:\Documents and Settings\ВашаУчетнаяЗапись\NTUSER.DAT
  • C:\WINDOWS\system32\config\default
  • C:\WINDOWS\system32\config\SAM
  • C:\WINDOWS\system32\config\SECURITY
  • C:\WINDOWS\system32\config\software
  • C:\WINDOWS\system32\config\system
  • C:\WINDOWS\system32\config\userdiff

Для восстановления запуска exe файлов в ветках реестра

  • HKEY_CLASSES_ROOT\exefile\shell\open\command
  • HKEY_CLASSES_ROOT\exefile\shell\runas\command

текстовый параметр должен иметь значение ?%1″ %*

Убираем зловреда из автозагрузки

а) Удаляем лишнее из папок

  • C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка
  • C:\Documents and Settings\ВашаУчетнаяЗапись\Главное меню\Программы\Автозагрузка

б) Убираем все что вызывает подозрение в разделах реестра

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

в) Проверяем соответствие и убераем лишнее в разделе реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  • Парметр Userinit – значение C:\WINDOWS\system32\userinit.exe,
  • Параметр Shell – значение Explorer.exe

7. Загружаемся и устраняем последствия

  • Запускаем AVZ, выполняем восстановление системы.
  • Проверяем систему TrojanRemover.
  • Переустанавливаем антивирус.
  • Обновляем операционную систему всеми критическими обновлениями.
  • Убираем у пользователя права администратора.

8. Избегаем посещения сайтов с сомнительным содержанием.