Что делать в случае заражения Trojan.Winlock: различия между версиями

Содержимое удалено Содержимое добавлено
Строка 10:
*В некоторых случаях помогает перестановка даты в BIOS на пару лет назад.
*При полной блокировке можно загрузиться в систему с помощью LiveCD и попытаться удалить трояна при помощи антивирусов.
* О
* Открыть диспетчер задач (если это возможно). Посмотреть процессы на предмет подозрительных. Попробовать завершить процесс. Скорее всего, процесс перезапустится. Перезагрузиться в безопасном режиме и удалить программу вручную.
* Если троян блокирует обычный безопасный режим, то при нажатии клавиши F8 необходимо выбрать безопасный режим с поддержкой командной строки. На данный момент времени большинство Винлокеров не способны его заблокировать. После загрузки надо запустить редактор реестра при помощи команды regedit и искать там подозрительные записи. В первую очередь, необходимо проверить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в частности в параметре Shell должно быть написано explorer.exe, а в параметре Userinit - C:\WINDOWS\System32\userinit.exe, (обязательно с запятой). Если там всё в порядке, необходимо проверить этот же путь, но в ветке HKEY_CURRENT_USER. Также желательно проверить ветки, в которых прописаны автозагружаемые программы, например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В случае обнаружения подозрительных записей их необходимо заменить на стандартные значения (в случае с автозагрузкой удалить). После перезагрузки и входа в систему троян можно удалить вручную по уже известному пути. Этот способ хоть и эффективен, но подходит только для опытных пользователей.
* Кроме того, некоторые трояны заменяют собой один из файлов userinit.exe, winlogon.exe и explorer.exe в соответствующих каталогах. Рекомендуется восстановить их из дистрибутива или каталога C:\WINDOWS\System32\DLLCACHE.
* Троян может создавать раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe, где прописывает вызов своего исполняемого файла (чаще всего debug.exe), а для возобновления работы системы необходимо удалить данный раздел<ref>[http://exesoft.net/article/158-udalenie-trojan-winlock.html Семь способов удаления Trojan Winlock]</ref>.
* Одна из последних версий трояна не делает ничего из вышеперечисленного, а создает файл с именем по типу 0.5887702400506266.exe в корневой папке профиля пользователя и прописывает в реестре по адресу любой ветки, откуда может производиться автозапуск (например, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options) раздел с непонятным именем. Если на компьютере есть второй профиль администратора, то его легко вычистить, зайдя из под другого профиля, просто удалив файл и ветку реестра. Однако было замечено, что бесплатные и платные антивирусы не реагируют на файл. Также можно найти и удалить этот файл, войдя в Windows через безопасный режим.
 
== Примечания ==