Позбавляємося від вірусу блокуючого систему і замінює файл

Позбавляємося від вірусу блокуючого систему і замінює файл

Позбавляємося від вірусу блокуючого систему

Прогрес не стоїть на місці, а з ним в перед рухаються і розробники вірусів смс-блокерів. З методом видалення і лікування одного нового вірусу блокуючого комп'ютер ви зможете ознайомитися в даній статті.

Дії нового вірусу блокуючого систему

Новий вірус блокує комп'ютер діє за тим же принципом що і його побратими, тобто зберігає свій файл на жорсткий диск і перезаписує параметр реєстру shell в гілці HKEY \ LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ на цьому схожість зі старими смс-блокерами закінчується.

Зіткнувшись з таким вірусом, я почистив реєстр, прописавши в параметрі shell рідне значення explorer.exe. видалив вірусний файл (як це зробити можна подивитися в статті Видаляємо вірус заблокував комп'ютер) і був дуже здивований, коли при перезавантаженні комп'ютера, з ново з'явилося вікно блокуючого вірусу.

Позбавляємося від вірусу блокуючого систему і замінює файл

Новий вірус блокує систему

Перевіривши реєстр я виявив що змінений мною параметр shell знову вказує на вірусний файл, а сам файл що не вчем не бувало, знаходиться в директорії з якої він був недавно був знищений.

Довелося поламати голову над тим як це відбувається. І ось що я з'ясував.

Новий смс-блокер змінює параметри реєстру, тільки про людське око. Основна дія вірусу це підміна файлу userinit.exe знаходиться на системному диску в каталозі Windows \ System32 \

Відновлюємо систему після роботи нового смс-блокера.

Позбавляємося від вірусу блокуючого систему і замінює файл

Для відновлення працездатності системи порежонной даними смс-блокером необхідний викликати диспетчер задач комбінацією клавіш (Ctrl + Shift + Esc) в списку процесів знайти процес з назвою userinit.exe і завершити його. натиснувши кнопку завершити процес. Після цього заражений файл userinit.exe. розташований в каталозі C: ​​\ Windows \ System32 \ необхідно замінити файлом з нормальної системи, після цього відновити параметр реєстру Shell

Для тих у кого немає під рукою робочої системи викладаю свій файлик:

Читайте також:

Щас тільки схопила такий же (скрін схожий, тільки номер іншого). Намагалася диспетчер - не відкривається, зайшла під адміністратором, і там не відкривається, але банера немає і все начебто працює, перезавантажилась, зайшла знову під користувачем ... .нет банера. Поставила перевірку антивірусником, розумію що сенсу в цьому мало, але все ж чекаю щас. Звичайно, нічого не знайшов.
Тепер думаю, що далі робити .... а може і нічого не робити. Все працює.
Залишилося тільки інет підключити, може знову оживе?

Окремі віруси удаляють самі, після 2-х - 3-х годин простою комп'ютера, якісь живуть два дня ... якісь тільки в ручну

А userinit я з LiveCD копіюю, але все одно спасибі за інфу