Удаляем Trojan.Winlock.n ручками с помощью ERD Commander
Какой то бич. Уже не один знакомый обращается с просьбой помочь починить компьютер, как они выражаются. Меньше надо лазить по варезным сайтам 🙁 Опишука я простое средство избавления от Trojan.Winlock.n ручками.
Trojan.Winlock прибивается очень легко. Самое верное это регулярно бэкапиться или снимать образы системного раздела. Я использую последнее и Acronis TrueImage. Еще можно попробовать поискать код разблокировки тут или тут. Но если ничего не помогло: нет здорового образа системы, код разблокировки не найден, а компьютер уже не грузится, то самое верное и простое — ERD Commander.
Где искать LiveCD образ ERD Commander я рассказывать не буду, это легко 🙂 Скачав, прожигаем образ на болванку. После того как мы записали ERD COMMANDER, нам необходимо назначить Boot Device в BIOS -> CMOS Setup Utility зараженного компьютера загрузки с CD-ROM. Сохраняемся, перезагружаемся, пошла загрузка с СD:
Далее перед нами окно выбора системы. Выбираем стрелочками на клавиатуре свою операционную систему, ХР, Виста или 7 и жмем Угу(Enter).
Какое то время экран будет черный, так как ERD COMMANDER пытается определить вашу систему, потом появиться окно подключения локальной сети.
Нажимаем Skip или просто ждем, так как сеть нам не понадобится. Высветит – следующее окно:
Выбираем то, что я пометил стрелочками (верхняя) и затем нажимаем ОК (стрелочка внизу) и Voilà, перед вами рабочий стол:
Жмем кнопку Start и знакомимся с главным меню ERD Commander. Закончили? Приступаем к работе.
На рабочем столе дважды клацаем на значок My Computer. В окне ERD Commander Explorer раскрываем диск, на котором установлена ОС (как правило это диск C:\)
Далее удаляем временные файлы:
— X:\Documents and Settings\<Имя пользователя>\Local Settings\Temp
— X:\Documents and Settings\<Имя пользователя>\Local Settings\Temporary Internet Files, (кроме файла index.dat)
— Х:\Windows\Prefetch
— Х:\Windows\Temp
— X:\Temp — если папка присутствует, удалить ее содержимое
Самое главное: удаляем содержимое папки, куда ваш браузер загрузил зловреда (исполняемый файл вируса).
Браузер Firefox, по умолчанию, загружает в: C\Documents and Settings\<Имя пользователя>\Мои документы\Загрузки, файл называется, что-то типа, vip_porno_65987.avi.exe (цифры могут быть другие) или e413a81e36656b73c9a8b49fdb3696cf.avi[1].exe
X — раздел жесткого диска, на котором установлена операционная система ( чаще всего диск С:, но в экзотических случаях может быть и на D: или F:)
Профиль пользователя — зависит от количества пользователей на компьютере их может быть несколько (не забудьте также проверить папки NetworkService, Default User).
Если вы приверженец браузера Opera проверьте наличие зловреда по этому пути Х:\Documents and Settings\<Имя пользователя>\Local Settings\Application Data\Opera\Opera\temporary_downloads\
Если не нашли сам файл вируса не отчаивайтесь, в значении параметра Shell мы увидим где он прячется.
Далее закрываем окно ERD Commander Explorer и открываем редактор реестра, делаем это так: Нажмите Start –> Administrative Tools –> Registry Editor.
В окне ERD Commander Registry Editor находим ветку реестра:
Hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
Исправляем значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, т.е удаляем всё что написано после запятой, (если система установлена на диске C:\,
Если на другом диске, то Х:\Windows\system32\userinit.exe, где X — раздел жесткого диска, на котором установлена операционная система.
Жмем OK (см. картинку).
Далее в этой же ветке реестра исправляем значение строкового REG_SZ-параметра Shell на explorer.exe (Здесь в значении Shell можно посмотреть где квартируется зловред, записать путь и потом убить его по этому адресу, если Вы его не нашли до этого)
Жмем OK. Далее закрываем окно ERD Commander Registry Editor.
Затем, клацаем кнопку Start затем Log off. Далее в окне выбираем Restart -> OK, перезагружаемся.
В начальном окне загрузки Bios нажмите Delete для входа в CMOS Setup Utility: назначаем в Boot Device загрузку ПК с винчестера (HDD), жамкаем F10, принимаем сделанные изменения, идет перезагрузка и загрузка Windows в обычном режиме.
После того как мы прибили Winlock и Windows удачно загрузилась, обязательно просканируйте систему антивирусом со свежими базами.
Один комментарий на “Удаляем Trojan.Winlock.n ручками с помощью ERD Commander”
-
Paha Пишет:
ERD commander для windows7
turbobit.net/k5k29qvt2lxc.html