Путеводитель по сайту

Устраняем последствия вирусной атаки: ПК не грузится

English version Распечатать

***

***

 

***

Устраняем последствия вирусной атаки: ПК не грузится

И сказал вирусописатель вирусам: «Плодитесь и размножайтесь!..».

(Компьютерные байки)

 

 

Симптомы заражения: компьютер загрузить не удается – каждый раз дело доходит до «приветствия», и ПК «уходит» на перезагрузку, – и так – по кругу.

При попытке загрузить ПК в Безопасном Режиме (Safe Mode) оказывается, что все учётные записи, доступные в Безопасном Режиме (в том числе, встроенная учётная запись Администратора), «запаролены» вирусом.

 

 

Как лечить

Можно снять винчестер и подключить к другому ПК с надёжным антивирусом. Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, так как останутся записи вируса в Реестре Windows.

 

Поэтому воспользуемся загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите свою ОС –> OK;

– когда загрузится Рабочий Стол, дважды щёлкните значок My Computer;

– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);

 

– найдите и удалите следующие файлы (как правило, имеют атрибуты Скрытый, Системный, Только чтение):

• файл PwdServ.exe в папке \WINDOWS\System32\ (Антивирус Касперского идентифицирует этого зловреда, как not-a-virus:PSWTool.Win32.RAS). Именно этот файл блокирует загрузку ПК в Безопасном Режиме, устанавливая свои пароли;

• файл ie_updates3r.exe (вариант – ie_updater.exe; 3,04КБ) в папке \Documents and Settings\<имя_пользователя>\. Panda Antivirus 2008 идентифицирует ie_updates3r.exe, как Trj/Downloader.UBQ, Антивирус КасперскогоTrojan-Downloader.Win32.Tiny.aff;

• файл ntos.exe в папке \WINDOWS\System32\;

• все файлы hhxw***.exe в папке \WINDOWS\system32\ (например, hhxw265.exe);

• файл winlogon.exe (42,0КБ) в папке \WINDOWS\. Антивирус Касперского идентифицирует этот вирус, как Trojan.Win32.Pakes.jmb. Этот лже-winlogon.exe грузится вместо настоящего файла winlogon.exe (Программа входа в систему Windows; 507КБ), расположенного в папке \WINDOWS\system32\;

– закройте окно ERD Commander Explorer;

 

– нажмите Start –> Administrative Tools –> Autoruns;

– в окне ERD Commander Computer Management раскройте (слева) Autoruns (System, <имя_пользователя>, Администратор);

– удалите (если таковые имеются) записи следующих файлов, стартующих вместе с ОС: WINDOWS\winlogon.exe; \WINDOWS\system32\hhxw265.exe; \WINDOWS\System32\ntos.exe; \WINDOWS\System32\PwdServ.exe. Для удаления выделяйте их щелчком правой кнопки мыши (в правой части окна), из контекстного меню выбирайте Delete;

– закройте окно ERD Commander Computer Management;

 

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (вирус устанавливает значение этого параметра, например, C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,);

– найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– исправьте значение строкового REG_SZ-параметра Shell на Explorer.exe (вирус устанавливает значение этого параметра, например, Explorer.exe,C:\WINDOWS\winlogon.exe);

– закройте окно ERD Commander Registry Editor;

 

– нажмите Start –> Log Off –> Restart –> OK;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– загрузите Windows в обычном режиме.

 

 

Как правило, попытка заражения этими вирусами происходит при посещении варезных порталов и порносайтов.

Отсюда – выводы: предохраняйтесь!!!

Хотя некоторые пользователи умудряются подцепить «цифровой триппер» даже при установленном (и настроенном!) брандмауэре и антивирусе (со свежими базами!)…

 

Валерий Сидоров

 

 

***

Раскрывая тайны Windows…

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

Путеводитель по сайту

18+

© 2016. All rights reserved.

Авторство всех материалов сайта https://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт https://netler.ru.