Удаляем правильно и без последствий Winlock.4128
Если Вам «посчастливилось» получить порнобанер с таким содержанием,
то вернуть контроль над компьютером можно следуя данной инструкцией.
Если с компьютером Вы на вы, то будет лучше пригласить специалиста, который удалит зловреда без переустановки винды. Если же Вы знаете что такое HKLM, то можно читать дальше.
Лирическое отступление
При лечении от этой заразы стандартными методами, которые написаны на каждом углу интернета, есть даже автоматические корректоры реестра AntiWinLockerLiveCD. Можно получить такую проблему, при попытке войти в систему сеанс завершается едва начавшись, т.е. дальше экрана приветствия мы пройти не можем.
Если с компьютером Вы на вы, то будет лучше пригласить специалиста, который удалит зловреда без переустановки винды. Если же Вы знаете что такое HKLM, то можно читать дальше.
Лирическое отступление
При лечении от этой заразы стандартными методами, которые написаны на каждом углу интернета, есть даже автоматические корректоры реестра AntiWinLockerLiveCD. Можно получить такую проблему, при попытке войти в систему сеанс завершается едва начавшись, т.е. дальше экрана приветствия мы пройти не можем.
Trojan.Winlock очень часто любит прописываться в следующие разделы реестра:
В [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Cмотрим параметры:
Userinit → в значении должно быть только: C:\WINDOWS\SYSTEM32\Userinit.exe,
Shell → в значении должно быть только: explorer.exe
Заменяем значения которые у вас в этих параметрах на эти.
(*примечание: у вас папка WINDOWS может называться по-другому (если второй Windows) или не на диске C:\ ,а на другом диске)
Правильная последовательность действий:
1. Скачиваем, если нет под руками LiveCd
2. Скачиваем свежий бесплатный антивирус доктор «Вебер» или «Каспер»
3. Загружаемся с LiveCD (если с БИОСом проблемы, можно методом научного тыка подобрать функциональную клавишу, которая предоставляет возможность выбора с какого устройства грузиться, чаще это F8, F10 или F12)
4. Запускаем великий и ужасный regedit
5. Наш подозреваемый добавляет новые ключи в реестре
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
s5ch0st=%WINDIR%\temp\as.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Debugger=%WINDIR%\temp\as.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
s5ch0st=%WINDIR%\temp\as.exe
6. Копирует себя в указанную папку:
%WINDIR%\temp\as.exe, хотя имя файла может меняться, поэтому нужно сканировать антивирусом весь системный диск. Я находил его во временных файлах IE, %user%\ Application Data
7. Системные файлы в Windows XP и 7: не затрагивает
8. Номер телефона меняет
Если всё сделали правильно, то после перезагрузки у вас будет полностью рабочая винда.
В [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Cмотрим параметры:
Userinit → в значении должно быть только: C:\WINDOWS\SYSTEM32\Userinit.exe,
Shell → в значении должно быть только: explorer.exe
Заменяем значения которые у вас в этих параметрах на эти.
(*примечание: у вас папка WINDOWS может называться по-другому (если второй Windows) или не на диске C:\ ,а на другом диске)
Правильная последовательность действий:
1. Скачиваем, если нет под руками LiveCd
2. Скачиваем свежий бесплатный антивирус доктор «Вебер» или «Каспер»
3. Загружаемся с LiveCD (если с БИОСом проблемы, можно методом научного тыка подобрать функциональную клавишу, которая предоставляет возможность выбора с какого устройства грузиться, чаще это F8, F10 или F12)
4. Запускаем великий и ужасный regedit
5. Наш подозреваемый добавляет новые ключи в реестре
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
s5ch0st=%WINDIR%\temp\as.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Debugger=%WINDIR%\temp\as.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
s5ch0st=%WINDIR%\temp\as.exe
6. Копирует себя в указанную папку:
%WINDIR%\temp\as.exe, хотя имя файла может меняться, поэтому нужно сканировать антивирусом весь системный диск. Я находил его во временных файлах IE, %user%\ Application Data
7. Системные файлы в Windows XP и 7: не затрагивает
8. Номер телефона меняет
Если всё сделали правильно, то после перезагрузки у вас будет полностью рабочая винда.