- 18, Jan 2014
- #1
Уже многие столкнулись с данными СМСблокером:
Скрытая информация :: Авторизуйтесь для просмотра »
----------------------:::----------------------
Этот вирус подменяет Explorer.exe в реестре и не дает нормально загрузиться ОС.
К сожалению средства удаления СМСблокеров от лаборатории Касперского, и DrWeb на момент написание данной статьи (09.09.10) бессильны, по крайней мере, в тех случаях, которые мне попадались.Для восстановления работоспособности ОС необходимо Expoler поставить на место, для этого:1. Подключаем диск с зараженной системой к другой машине, либо загружаемся с LiveCD
2. Открываем regedit (Пуск -> Выполнить –> Regedit)
3. Становимся на HKEY_LOCAL_MACHINE
4. Нажимаем "Файл" — "Загрузить куст"
5. Ищем каталог C:\WINDOWS\SYSTEM32\CONFIG на диске с зараженной ОС
6. Загружаем файл "software"
7. Набираем имя раздела old_reg (можно любое)
8. Переходим old_reg\HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
9. Ищем и изменяем параметр Shell на Explorer.exe
10. По окончанию редактирования нажимаем "Файл" — "Выгрузить куст"
11. Перезагружаем ПКТакже некоторые модификации подобного СМСблокера, могут находиться в:
old_reg\HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\currentVersion\ winlogon
Ищем параметр Userinit, должно быть C:\Windows\system32\userinit.exe,
Если после запятой что-то прописано, то с большей долей вероятности, это и есть ваш "мучитель", удаляем все после запятой.
Скрытая информация :: Авторизуйтесь для просмотра »
----------------------:::----------------------
Этот вирус подменяет Explorer.exe в реестре и не дает нормально загрузиться ОС.
К сожалению средства удаления СМСблокеров от лаборатории Касперского, и DrWeb на момент написание данной статьи (09.09.10) бессильны, по крайней мере, в тех случаях, которые мне попадались.Для восстановления работоспособности ОС необходимо Expoler поставить на место, для этого:1. Подключаем диск с зараженной системой к другой машине, либо загружаемся с LiveCD
2. Открываем regedit (Пуск -> Выполнить –> Regedit)
3. Становимся на HKEY_LOCAL_MACHINE
4. Нажимаем "Файл" — "Загрузить куст"
5. Ищем каталог C:\WINDOWS\SYSTEM32\CONFIG на диске с зараженной ОС
6. Загружаем файл "software"
7. Набираем имя раздела old_reg (можно любое)
8. Переходим old_reg\HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
9. Ищем и изменяем параметр Shell на Explorer.exe
10. По окончанию редактирования нажимаем "Файл" — "Выгрузить куст"
11. Перезагружаем ПКТакже некоторые модификации подобного СМСблокера, могут находиться в:
old_reg\HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\currentVersion\ winlogon
Ищем параметр Userinit, должно быть C:\Windows\system32\userinit.exe,
Если после запятой что-то прописано, то с большей долей вероятности, это и есть ваш "мучитель", удаляем все после запятой.