Банер требующий денег на номер 89112962166
Попросили меня помочь удалить вирус, который просил отправить 400 рублей на номер 89112962166, система Windows 7, взяв с собой установочный диск с windows 7 (там же есть восстановление системы) я пошел справляться с этой нечистью вручную…
Ожидал, что все исправлю минут за 10, но получилось все 50. Хочу поделиться с Вами опытом решения данной неприятности. Первым делом загружаемся с установочного диска и выбираем восстановление системы (кнопочка снизу маленьким шрифтом под большой кнопкой Установить). Далее я узнал что на моем пациенте не было точек восстановления, что мне всегда не нравилось, поэтому сразу выбираем командную строку.
пишем regedit и запускаем enter’ом, и встаем на HkeyLocalMachine, в меню сверху выбираем подгрузить куст и выбираем путь из нашего windows (C:\Windows\System32\config) файл software — обзываем как нить, и переходим там в Microsoft, потом Windows NT, затем CurrentVersion и тут уже Winlogon. Вот тут стоить заострить внимание на параметре shell, который как раз запускает вместо привычного рабочего стола вирус, нам нужно поменять значение на explorer.exe, при этом очень желательно запомнить полный путь к самому вирусу, чтобы сразу удалить его. И последний момент при работе с реестром, щелкаем правой кнопкой на winlogon папке и в разрешениях удаляем все права, чтобы никто не мог изменить там ничего (даже Вы сами, хотя это легко вернуть обратно).
Ну а далее закрываем реестр, и в консоли удаляем сам вирус на всякий пожарный (мой был по пути c:\ProgramData\CC22чототам.exe) командой del c:\ProgramData\CC22чототам.exe
перезагружаемся и радуемся жизни.
Этот вирус модифицирует taskmgr.exe и userinit.exe
хм странно, но в моем случае все работало дальше нормально, а как он модифицирует taskmgr.exe и userinit.exe??? может просто другая модификация вируса?