04.04.12
Дорогая «ПОРНУХА» от интернет-мошенников
источник: Газета СОБЫТИЯ

На прошлой неделе поднялся шквал блокировки персональных компьютеров по причине «просмотра порнографических сайтов». Конечно же, необязательно лазить по порносайтам, чтобы подхватить вирус. Попавшихся на его удочку в одном только Артемовске перевалило за сотню пользователей. Такая заставка (см. фото) появилась и на одном из компьютеров редакции.
Естественно, нашему программисту не составило особого труда удалить вирус, проникший в системные файлы. Но повозиться пришлось. Причем таких программ много, и нужно напрячь мозг, изгоняя Интернет-мошенников из недр своего компьютера.

На следующий день в редакцию стали поступать звонки. Оказалось, что на удочку мошенников, которые для разблокировки компьютера требуют оплатить 460 грн. на электронный кошелек, попадались люди, и близко не подходившие к порносайтам. Некоторые пострадавшие даже пошли платить, правда, безрезультатно.

Сейчас мы попытаемся помочь оживить компьютер тем, кто хоть чуточку разбирается в компьютерном «железе».

Для доступа к системе придется использовать загрузочный диск, вручную править реестр и удалять ненужные файлы.

1. Загрузиться с любого загрузочного диска. Например, Live CD dr.Web.

2. Проверить, нет ли на рабочем столе файла test.exe или 22CC6C32.exe. Если есть – удалить!

3. Зайти Documents and SettingsAll UsersApplication Data и удалить файл 22CC6C32.exe.

4. Зайти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon и значение параметра Shell исправить на значение explorer.exe.

5. Значение параметра Userinit исправить на значение WINDOWSsystem32userinit.exe, (не забудьте про запятую в конце строки). В реестре через поиск найти упоминание файла названием 22CC6C32.exe – удалить эти строки.

Данный вирус Trojan.Winlock.3252 переименовывает и заменяет системный файл userinit.exe в папке WINDOWSsystem32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:

Копируем файл userinit.exe из папки WINDOWSsystem32 в любое другое место (делаем резервную копию). Затем удаляем файл userinit.exe из папки WINDOWSsystem32.

Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe. Перезагружаем компьютер.

После всего этого тщательно проверить АНТИВИРУСНИКОМ и удалить зараженные файлы.

----------------------------------------------
Первоисточник: Дорогая «ПОРНУХА» от интернет-мошенников, где Вы можете написать свой комментарий.