Удаление вируса bloker.exe «Windows заблокирован!!!…»

Вторник, 18, января, 2011

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам.         Недавно я столкнулся с очередной программой, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе.



style="display:inline-block;width:580px;height:400px"
data-ad-client="ca-pub-4420784113687006"
data-ad-slot="4236668964">


Хочу сразу сказать, что  при первом столкновеннии с данным вирусом я  просто переустановил систему (на ноутбуке это просто). Но вот во второй раз решил побороться и победил.

Немного о вирусе, цитата из «Доктор Веб» « Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. (Начет этого существуют разные мнения. Прим. автора) Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.» Тоже подозрительно. Уж не их ли это работа?

Продолжим. Где  подцепил этот вирус я так и не понял. При загрузке

Оперы вылетело это окно и отключились все функции. Работала только кнопка ввода кода. Перезагрузка ничего не дала. Но я заметил интересную вещь, принажатии кнопки выключения компьютера, на несколько секунд появлялся  рабочий стол и появлялось окошко завершения процесса.
При следующей перезагрузке  дождавшись полной   загрузки  и появления окна попрошайки я нажал Ctr+Alt+Del, через несколько минут нажал кнопку выключения. появился рабочий стол и на нем окошко завершения процесса, быстро нажав отмену завершения процесса я получил работоспособный компьютер.
В диспечере задач подозрительных процессов не было (по видимому он уже выгрузился при завершении работы). В автозагрузке нашелся подозрительный файл bloker.exe — убрал его.
После детального изучения «злачных мест», в каталоге c:\docume~1\All Users\Application Data\ были обнаружен файл bloker.exe со временем создания, совпадающим со временем возникновения проблемы, для нахождения использовался обычный поиск файлов.
Далее «Пуск» «Выполнить» «regedit» в открывшемся редакторе реестра «Поиск» вводим bloker.exe и находим следующее значение в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon меняем значение параметра «Userinit» с «C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPL
IC~1\\blocker.exe» на «C:\\WINDOWS\\system32\\userinit.exe»
Все вирус убит. После посещения форумов  в интернете я нашел несколько способов лечения этой гадости, которые и приведу ниже.
I.
1. Грузимся с любого лайф CD, видящего файловую систему.
2. Заходим c:/documents and settings/all users/application data/
3. Убиваем оттуда два файла: blocker.exe и blocker.bin
4. Перегружаемся в нормальную систему.
5. Сканимся антивирем.

Этих модификаций сотни. И имена могут быть разными.

II.
1) Загрузить свежий CureIt
2) Загрузить зараженную машину с диска Windows PE (или ЛайфСД)
3) Проверить все диски КуреИтом.
КуреИт может грохнуть экзешник, а файл blocker.bin,  КуреИт не удаляет. Его нужно вручную  грохнуть  из папки Documents and settings\AllUsers
4) Загрузиться в безопасном режиме. Просмотреть реестр.
5)Вирус прописался в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в строчке «Userinit» C:\WINDOWS\system32\userinit.exe, «вирус»
6) Грохнуть его оттуда оставив только: C:\WINDOWS\system32\userinit.exe,
7) Проверить сам файл userinit.exe.
Если он оказался странного вида, без подписи Микрософта. Перепишите с другой машины файл userinit.exe на флешку и  загрузившись снова с диска СД — замените им существующий.
Существующий userinit.exe был явно изменен вирусом. Причем антивирусы на него не реагируют, как на вирус.
Вот пожалуй и все. Удачи.
Поделиться в соц. сетях

Видео
  • Установка Windows 8
  • Установка Windows 7 32 bit Полная установка OS
  • Установка Windows 10. Активация. Тест. Обновление с Windows 7/8/8.1 до Windows 10
  • Установка Windows 7 на флешку|USB

Оставьте свой комментарий к статье



Читайте нас в социальных сетях: VK, Facebook, Twitter, OK, Google+