Answer Computer помощь для вашего ПК

Рассмотрим разблокировку компьютера от двух СМС попрашаек: 8-911-291-76-49, 8-967-147-39-53 (и без тире).

Номер 8-911-291-76-49: Данный вирус не только выдаёт свой баннер с именем "22CC6C32.exe" по пути C:\Documents and Settings\All Users\Application Data\, но и изменяет файл "userinit.exe", который находится по пути C:\WINDOWS\system32\, причём изменяет его так, что он запускает другой файл такой же "userinit.exe", только который является резервным для восстановления системы и лежит по пути C:\WINDOWS\system32\dllcache\, а он, в свою очередь генерирует файл "22CC6C32.exe" по указанному выше пути. Продуманно .

Хочу отметить то, что есть одна небольшая "оплошность" у файла "userinit.exe", который лежит по пути C:\WINDOWS\system32\dllcache\ - у него не стандартная иконка, квадрат серого цвета, что выдаёт его важность.

В общем итоговое решение для тех кто готов:

Загружаемся через Live-CD, "уничтожаем" файл C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Заменяем инфицированные файлы C:\WINDOWS\system32\userinit.exe и C:\WINDOWS\system32\dllcache\userinit.exe на здоровый файл "userinit.exe" (найдёте в конце статьи)

Заходим в реестр Вашей системы и меняем значение параметра Shell на Explorer.exe, который находится в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (до этого было "C:\Documents and Settings\All Users\Application Data\22CC6C32.exe")

После всего проделанного перезагружаемся!

Файлы к статье: Userinit.exe.

Номер 8-967-147-39-53: Для начала работы нам необходим софт, например: LIVE-CD ZVER DVD. В программе есть возможность "Восстановление MBR", запускаете её, выбираете жёсткий диск (если один, то Drive 0), выставляете операционную систему (например, Windows XP) и нажимаете "Старт".

Если Вы используете Windows 7, то Вам необходимо проделать следующее:

1) Загружаетесь с Live - CD (ERD или любой другой под оболочкой Win32)

2) Запускаете утилиту Dr.Web CureIt!, останавливаете быструю проверку и выбираете раздел 100 mb, обычно создаваемый при установке Windows 7 / Vista для загрузочной области, там данная утилита сразу же найдёт "вредность" и удалит. Для тех, у кого не была выделена загрузочная область в 100 mb, выбирайте локальный диск "C" (тот, на котором установлена Windows, как правило) в любом случае он будет первым разделом вашего жёсткого диска и на нём уже утилита так же найдёт эту "гадость" и удалит.

3) После проверки утилитой Dr.Web CureIt! в целях профилактики, рекомендуем проверять разделы автозапуска в реестре, а так же автозагрузку в главном меню (к примеру у меня путь такой: C:\Users\RAGE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\)