Читайте также:
|
|
Загрузитесь с ERD Commander, эта утилита имеет знакомый всем интерфейс Windows XP, и обладает широкими возможностями по восстановлению системы.
(подробный обзор возможностей ERD здесь)
Нам понадобится пункт меню под названием «Registry editor». Он представляет собой обычный редактор реестра, только показывает при этом реестр вашей операционной системы, зараженной смс-блокером.
Для начала с помощью этой утилиты сделайте полную копию реестра, сохраните ее на диск.
В меню поиска введите название блокера, записанное ранее и выданные значения реестра просто удалите (важные для загрузки ОС пункты реестра перед этим нам восстановила утилита от Касперского). Затем проведите поиск по реестру по маске «shell», и удалите встречающиеся в разделе Logon подозрительные значения. отличить их можно по расположению в таких каталогах как «Documents and Settings…», «Temporary Internet Files», «Application data», корневые директории загрузочных дисков.
Помимо всем известных ключей HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run\ и HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\ с их братьями для одноразового запуска RunOnce, существует еще множество всяких веток реестра, из которых может стартовать программа.
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\.
Еще есть
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\CurrentVersion\Winlogon\ Userinit\,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices\,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ Winlogon\Notify\.
Эти ветки реестра позволяют запустить разнообразные исполняемые файлы (обычные exe, программы, сервисы или dll).
Следует обратить внимание и на HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Имя_прогаммы\ — при запуске Имя_прогаммы будет запускаться софт, указанный в строковом параметре Debugger.
То есть, при запуске, например, txt-файла, будет стартовать сначала вредоносное ПО, которое уже потом будет запускать реальную программу, работающую с этим типом файлов. Также вирус может загрузиться в память компьютера с помощью групповых политик. За это отвечает ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies\Explorer\Run, в котором содержатся параметры с путями запускаемых программ.
После того, как будет проведен поиск в реестре, запустите пункт меню «Autorun», здесь тоже нужно будет удалить встречающиеся названия смс-блокера и подозрительных exe файлов из перечисленных каталогов.
И последний пункт, который обязательно нужно выполнить — откройте проводник в ERD, найдите папку Windows\system32, скопируйте оттуда во временную директорию (создайте например С:\temp) файл Userinit.exe и замените его в системной папке Виндоус таким же, но с рабочей машины и той же версией ОС.
Затем попробуйте перезапустить компьютер, корректно выйдя из утилиты, через кнопку Start, и, вынув загрузочный диск загрузиться в свою ОС.
Если блокер все же появляется — вам нужно обратиться к специлистам, если нет — поздравляем, вы самостоятельно излечили свой компьютер!
Мы рекомендуем после завершения вышеописанных операций переустановить антивирусную систему, очистить временные файлы интернет и провести еще раз полное сканирование компьютера вновь установленным обновленным антивирусом.
Дата добавления: 2015-12-08; просмотров: 77 | Нарушение авторских прав