Удаляем Trojan.Winlock.n ручками с помощью ERD Commander

Какой то бич. Уже не один знакомый обращается с просьбой помочь починить компьютер, как они выражаются. Меньше надо лазить по варезным сайтам 🙁 Опишука я простое средство избавления от Trojan.Winlock.n ручками.

Trojan.Winlock прибивается очень легко. Самое верное это регулярно бэкапиться или снимать образы системного раздела. Я использую последнее и Acronis TrueImage. Еще можно попробовать поискать код разблокировки тут или тут. Но если ничего не помогло: нет здорового образа системы, код разблокировки не найден, а компьютер уже не грузится, то самое верное и простое — ERD Commander.

Где искать LiveCD образ ERD Commander я рассказывать не буду, это легко 🙂 Скачав, прожигаем образ на болванку. После того как мы записали ERD COMMANDER, нам необходимо назначить Boot Device в BIOS -> CMOS Setup Utility зараженного компьютера загрузки с CD-ROM. Сохраняемся, перезагружаемся, пошла загрузка с СD:

загрузка ERD COMANDER

Далее перед нами окно выбора системы. Выбираем стрелочками на клавиатуре свою операционную систему, ХР, Виста или 7 и жмем Угу(Enter).

ERD Commander выбор системы

Какое то время экран будет черный, так как ERD COMMANDER пытается определить вашу систему, потом появиться окно подключения локальной сети.

ERD Commander окно подключения локальной сети

Нажимаем Skip или просто ждем, так как сеть нам не понадобится. Высветит – следующее окно:

ERD Commander выбор системы

Выбираем то, что я пометил стрелочками (верхняя) и затем нажимаем ОК (стрелочка внизу) и Voilà, перед вами рабочий стол:

ERD Commander рабочий стол

Жмем кнопку Start и знакомимся с главным меню ERD Commander. Закончили? Приступаем к работе.
На рабочем столе дважды клацаем на значок My Computer. В окне ERD Commander Explorer раскрываем диск, на котором установлена ОС (как правило это диск C:\)

ERD Commander Explorer

Далее удаляем временные файлы:
— X:\Documents and Settings\<Имя пользователя>\Local Settings\Temp
— X:\Documents and Settings\<Имя пользователя>\Local Settings\Temporary Internet Files, (кроме файла index.dat)
— Х:\Windows\Prefetch
— Х:\Windows\Temp
— X:\Temp — если папка присутствует, удалить ее содержимое
Самое главное: удаляем содержимое папки, куда ваш браузер загрузил зловреда (исполняемый файл вируса).
Браузер Firefox, по умолчанию, загружает в: C\Documents and Settings\<Имя пользователя>\Мои документы\Загрузки, файл называется, что-то типа, vip_porno_65987.avi.exe (цифры могут быть другие) или e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe
X — раздел жесткого диска, на котором установлена операционная система ( чаще всего диск С:, но в экзотических случаях может быть и на D: или F:)
Профиль пользователя — зависит от количества пользователей на компьютере их может быть несколько (не забудьте также проверить папки NetworkService, Default User).
Если вы приверженец браузера Opera проверьте наличие зловреда по этому пути Х:\Documents and Settings\<Имя пользователя>\Local Settings\Application Data\Opera\Opera\temporary_downloads\

Если не нашли сам файл вируса не отчаивайтесь, в значении параметра Shell мы увидим где он прячется.
Далее закрываем окно ERD Commander Explorer и открываем редактор реестра, делаем это так: Нажмите Start –> Administrative Tools –> Registry Editor.

ERD Commander Registry Editor

В окне ERD Commander Registry Editor находим ветку реестра:
Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon

ERD Commander Hkey_local_machine

Исправляем значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, т.е удаляем всё что написано после запятой, (если система установлена на диске C:\,
Если на другом диске, то Х:\Windows\system32\userinit.exe, где X — раздел жесткого диска, на котором установлена операционная система.

ERD Commander правим ветку реестра Winlogon

Жмем OK (см. картинку).

Далее в этой же ветке реестра исправляем значение строкового REG_SZ-параметра Shell на explorer.exe (Здесь в значении Shell можно посмотреть где квартируется зловред, записать путь и потом убить его по этому адресу, если Вы его не нашли до этого)

ERD Commander правим строковый параметр Shell

Жмем OK. Далее закрываем окно ERD Commander Registry Editor.
Затем, клацаем кнопку Start затем Log off. Далее в окне выбираем Restart -> OK, перезагружаемся.
В начальном окне загрузки Bios нажмите Delete для входа в CMOS Setup Utility: назначаем в Boot Device загрузку ПК с винчестера (HDD), жамкаем F10, принимаем сделанные изменения, идет перезагрузка и загрузка Windows в обычном режиме.

После того как мы прибили Winlock и Windows удачно загрузилась, обязательно просканируйте систему антивирусом со свежими базами.

Tweet