Недавно попался мне от клиента нетбук в котором был вирус блокирующий использование компьютера сопровождающийся примерно таким текстом
«Ваш компьютер заблокирован за просмотр копирование и тиражирование видеоматериалов ... »
Блокировщик просил отправить смс на номер мтс, при чем судя по поиску такой проблемы в сети, мошенники используют только номера оператора мтс, то ли у мтс выгодные условия для мошенников, то ли мтс с ними сотрудничает не ясно
Как удалить вирус
Чтобы вирус удалить нам необходим доступ к системе, но как быть, если система заблокирована? Для этого необходимо загрузиться с другой операционной системы, но так как на нашем компьютере система всего одна, то загружаться будем с флешки (так как CD и DVD приводов на нетбуке как правило нет и так же к слову флешка удобнее), или же можно воспользоваться live cd. Загружаемся в windows с флешки и первым делом необходимо проверить ветку реестра, которая отвечает за загрузку оболочки, для этого откроем сам реестр
Загружаемся в windows с флешки и первым делом необходимо проверить ветку реестра, которая отвечает за загрузку оболочки, для этого откроем сам реестр
Пуск → Выполнить → regedit (пишем в окошке). Открылся реестр но этот реестр той системы, которую мы используем для удаления вируса, а нам надо отредактировать реестр зараженной системы. Для этого необходимо подгрузить часть реестра другой системы для этого мышкой выделяем раздел реестра HKEY_Local_MACHINE и сверху в навигации нажимаем File → Загрузить куст
Далее выбираем кусок реестра, который и будем править. Если система установлена на диск C:\ то путь до реестра будет C:\WINDOWS\system32\config в папке config выбираем файл software, выскакивает окошко в котором предлагается ввести имя, оно может быть произвольное и необходимо только для нас (например, «rsoft».
После открываем ветку реестра:
rsoft (Имя раздела которое вы присвоили) → Microsoft → Windows NT → CurrentVersion → Winlogon
Нас интересует 3 ключа - в первую очередь Shell и UIHost, Userinit
Правильные значения ключей!!!!
Shell → Explorer.exe
UIHost → logonui.exe
Userinit → C:\WINDOWS\system32\userinit.exe,
Если ключи содержат что-то иное, а они содержат не то что надо, то по каждому ключу кликаем мышкой и редактируем. В моем случае ключ Shell содержал путь до вирусного файла 22CC6C32.exe
После редактирования реестра необходимо точно так же выделить загруженную ветку реестра и в меню выбрать выгрузить куст, чтобы изменения в реестре были в заблокированном windows
Иногда той операции, что была описана достаточно для того, чтобы разблокировать windows, но я решил заглянуть в системные файлы «C:\WINDOWS\system32» и так сказать навскидку посмотреть, были ли какие из файлов изменены в примерно тоже время, что и был подцеплен вирус и моя интуиция меня не подвела, 2 файлы были модифицированы userinit.exe и taskmgr.exe которые я скопировал из схожей системы, как позже я выяснил опытным путем, если не заменить файл userinit.exe, то после перезагрузки значения реестра вернуться обратно и вирус дальше продолжит требовать с нас денег
Дальше остается удалить вирус уже загрузившись в операционную систему с HDD и удалить файлы вируса, в моем случае основной файл имел название 22CC6C32.exe и находился в «Documents and Settings\All Users\Application Data\» так же имеет смысл заглянуть в системную папку dllcache
Пуск → Выполнить → %windir%\system32\dllcache на предмет проверки модифицированных файлов операционной системы
После восстановления контроля над windows желательно проверить антивирусом исполняемые файлы, а лучше и не одним антивирусом. Так же замечу, что выполнять требования мошенников и отправлять смс с надеждой получить код разблокировки не имеет ни какого смысла во первых вы тем самым стимулируете и спонсируете написание новых более изощренных вирусов, а во вторую, что последние модификации подобных вирусов не разблокируются отправкой смс, вообще, хоть и содержат поле для ввода ключа.