Удаляем смс вирус Trojan.Winlock.3252

Внимание! Если, после прочтения данной статьи у вас возникли какие-либо вопросы - оставляйте комментарии в конце статьи и я постараюсь вам помочь! Если потребуется платный выезд мастера по Москве - звоните по телефону 8926 10 65432.

Вчера, 25 апреля 2012 года мне на ремонт принесли ноутбук, зараженный смс вирусом (смс баннером) Trojan.Winlock.3252. Вирус требовал перевести на телефонный номер мтс 8911-757-25-04 сумму в размере 400 рублей. Так как это 100% обман, я принялся удалять данный вирус, но на этот раз все оказалось немного сложнее. О том как самому разблокировать компьютер и удалить смс баннер и пойдет речь в данной статье.

Заявленная неисправность

При включении компьютера появляется смс баннер с надписью - Ваш компьютер заблокирован за просмотр копирование и тиражирование материалов... Для снятия блокировки вам необходимо оплатить штраф в размере 400 рублей на номер телефона МТС 8911-757-25-04.

Описание и пути решения проблемы

Это еще одна свежая модификация смс вируса. Ни в коем случае не переводите деньги на указанный номер телефона, так как вы попадетесь "на удочку мошенникам". Это вирус и нужно удалять.

Порядок действий при удалении смс баннера:

Загрузка в безопасном режиме нам не помогает, так как компьютер полностью блокируется. Поэтому для физического доступа к системе придется испльзовать загрузочный диск, вручную править реестр и удалять ненужные файлы.

  • загрузиться с любого загрузочного диска. Как записать образ на диск читаем здесь.
  • проверить нет ли на рабочем столе файла test.exe Если есть - удалить
  • зайти по указанному пути X:\Documents and Settings\All Users\Application Data и удалить файл с названием 22CC6C32.exe
  • зайти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • значение параметра Shell исправить на значение explorer.exe
  • значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки)
  • в реестре через поиск найти упоминание файла названием 22CC6C32.exe - удалить эти строки
компьютер заболкирован

Данный вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:

  • Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место(делаем резервную копию)
  • Затем удаляем файл userinit.exe из папки X:\WINDOWS\system32
  • Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe
  • Перезагружаем компьютер

Данный способ проверен лично мной при ремонте компьютера клиента, вирус был успешно удален. Также этот метод может сработать при удалении смс вирусов со следующими телефонными номерам:

  • 8-987-907-21-98
  • 8-911-728-24-49
  • 8-911-757-18-97
  • 8-911-273-64-38
  • 8-911-757-25-04
  • 8-911-757-19-95

Если Вы столкнулись с проблемой, когда появляется сообщение о том, что "компьютер заблокирован" - данная статья поможет Вам ее решить. Также у меня Вы можете заказать услугу удаление смс баннеров с выездом на дом и ознакомиться с полным спектром услуг компьютерной помощи.

Помогла статья? Поделись с друзьями! Кликай на кнопку ниже! Помоги развитию проекта!
Нравится

   

Яндекс цитирования
Rambler's Top100 Яндекс.Метрика
компьютерный мастер