*** И сказал вирусописатель вирусам: «Плодитесь и размножайтесь!..».
Симптомы заражения: компьютер загрузить не удается – каждый раз дело доходит до «приветствия», и ПК «уходит» на перезагрузку, – и так – по кругу. При попытке загрузить ПК в Безопасном Режиме (Safe Mode) оказывается, что все учётные записи, доступные в Безопасном Режиме (в том числе, встроенная учётная запись Администратора), «запаролены» вирусом.
Как лечить Можно снять винчестер и подключить к другому ПК с надёжным антивирусом. Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи вируса в Реестре Windows.
Поэтому воспользуемся загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander: – вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК; – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка; – в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter; – внизу появится строка состояния Starting Winternals ERD Commander; – после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration; – в окне Welcome to ERD Commander выберите свою ОС –> OK; – когда загрузится Рабочий Стол, дважды щёлкните значок My Computer; – в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);
– найдите и удалите следующие файлы (как правило, имеют атрибуты Скрытый, Системный, Только чтение): • файл PwdServ.exe в папке \WINDOWS\System32\ (Антивирус Касперского идентифицирует этого зловреда, как not-a-virus:PSWTool.Win32.RAS). Именно этот файл блокирует загрузку ПК в Безопасном Режиме, устанавливая свои пароли; • файл ie_updates3r.exe (вариант – ie_updater.exe; 3,04КБ) в папке \Documents and Settings\<имя_пользователя>\. Panda Antivirus 2008 идентифицирует ie_updates3r.exe, как Trj/Downloader.UBQ, Антивирус Касперского – Trojan-Downloader.Win32.Tiny.aff; • файл ntos.exe в папке \WINDOWS\System32\; • все файлы hhxw***.exe в папке \WINDOWS\system32\ (например, hhxw265.exe); • файл winlogon.exe (42,0КБ) в папке \WINDOWS\. Антивирус Касперского идентифицирует этот вирус, как Trojan.Win32.Pakes.jmb. Этот лже-winlogon.exe грузится вместо настоящего файла winlogon.exe (Программа входа в систему Windows; 507КБ), расположенного в папке \WINDOWS\system32\; – закройте окно ERD Commander Explorer;
– нажмите Start –> Administrative Tools –> Autoruns; – в окне ERD Commander Computer Management раскройте (слева) Autoruns (System, <имя_пользователя>, Администратор); – удалите (если таковые имеются) записи следующих файлов, стартующих вместе с ОС: WINDOWS\winlogon.exe; \WINDOWS\system32\hhxw265.exe; \WINDOWS\System32\ntos.exe; \WINDOWS\System32\PwdServ.exe. Для удаления выделяйте их щелчком правой кнопки мыши (в правой части окна), из контекстного меню выбирайте Delete; – закройте окно ERD Commander Computer Management;
– нажмите Start –> Administrative Tools –> RegEdit; – в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]; – исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (вирус устанавливает значение этого параметра, например, C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,); – найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]; – исправьте значение строкового REG_SZ-параметра Shell на Explorer.exe (вирус устанавливает значение этого параметра, например, Explorer.exe,C:\WINDOWS\winlogon.exe); – закройте окно ERD Commander Registry Editor;
– нажмите Start –> Log Off –> Restart –> OK; – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка; – загрузите Windows в обычном режиме.
Как правило, попытка заражения этими вирусами происходит при посещении варезных порталов и порносайтов. Отсюда – выводы: предохраняйтесь!!! Хотя некоторые пользователи умудряются подцепить «цифровой триппер» даже при установленном (и настроенном!) брандмауэре и антивирусе (со свежими базами!)…
Валерий Сидоров
*** • Дело о… • Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + … • Apps for iPad, iPhone, iPod touch…
|
18+
© 2016. All rights reserved.
Авторство всех материалов сайта https://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт https://netler.ru.