Как бързо и лесно да премахнете ключалката от компютъра
Публикувано на 24 март 2013 г
БАНЕРИ - ИЗНУДВАЧ
Най-новата модификация на този вирус, нареченатроянски кон. Winlock е изпратен в лабораторията на Doctor Web и е идентифициран като троянски кон.Winlock 3266, но не е публикувано решение за дезактивирането му на уебсайта на компанията към момента на писане. При сканиране на заразени твърди дискове помощните програми за лечение Dr.Web CureIt и Kaspersky Rescue от най-новите модификации не успяха да открият вируса.
1. Влизаме в BIOS при зареждане (Del, F2, по-рядко друг) и променяме реда на зареждане от дискове. Поставяме основния DVD-ROM или Flash USB, както желаете.
2. Зареждаме от всеки LiveCD, защото антивирусите така или иначе не ни помагат. Основната цел е достъп до файловете на заразен твърд диск. Hirens Boot CD, който включва Mini Windows XP, е много добър в това отношение. Зарежда бързо и без спирачки.
4. Вървим по пътяC:\WINDOWS\system32 \ и разглеждаме файла userinit.exe
Именно той реактивира вируса при изтегляне, при условие че самият файл е заразен.Как да го разпознаете?
- при задържане на мишката върху него се появява прозорец с описание и името на организацията, която го е създала. Е, разбира се, трябва да е Microsoft. Вместо описание и организация, заразеният файл съдържа различни безсмислици. Нечисти хора работят, слава Богу.
- размерът на файла надвишава стандарта с 1 KB. В случая на Windows XP размерът на стандартния е 26 Kb, размерът на заразения е 27 Kb.
- датата на създаване се различава от датата на другите системни файлове, намиращи се в тази папка. Заразеният файл има дата на създаване, когато вашият компютър е бил заразен. Чрез този параметър, сортиран по дата, можете да откриете други записани подозрителни файловев папка този ден.
- иконата на заразения файл не е стандартна.
След като се уверите, че файлътuserinit.exe е заразен, той трябва да бъде унищожен. Вашият собствен файл е преименуван(03014D3F.exe в моя случай) и е в същата папка. Преименуваме го и след това го копираме в папкатаC:\WINDOWS\system32\dllcache\, заменяйки тази, която се намира там (между другото, тя също е заразена).
5. В някои случаи тези мерки бяха достатъчни за премахване на заключването, но има варианти на вируса, които неочаквано се реинициализират при извикване на диспечера на задачите. Затова допълнително проверяваме и изпълняваме стъпките в точка 4 за файлаtaskmgr.exe в същата системна папка. Ако внезапно собствените файлове не бъдат намерени на вашия компютър, те могат да бъдат взети назаем от приятел със същата операционна система, а чистите файловеuserinit.exe иtaskmgr.exe (валидни за Windows XP) също са включени в архива.
6.Рестартирайте от твърдия диск, проверете и почистете съвестта с антивирусна програма иCCleaner.