Среда, 22 Ноябрь 2017, 04:17
Программы, исходники, статьи
Приветствую Вас Гость | RSS
Главная ПоискРегистрация Вход Баннеры
Меню раздела
Изменение внешнего вида [1]
Удаление вирусов [14]
Система [36]
Раскрутка и продвижение сайта [1]
Заработок в интернете [5]
Софт [0]

Google

Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0

Главная » » Статьи » Удаление вирусов

Удаление вируса Trojan.Winlock
Самые распространенные каталоги, куда копируется наш троян, это:

в Windows XP

C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Application Data
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temp
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temporary Internet Files

в Windows Vista/Windows 7

C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Roaming
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Temp
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Microsoft\Windows\Temporary Internet Files

В корне 1-го пути ищем незнакомые нам exe, tmp файлы. Далее переходим к самым обитаемым местам вируса – 2 и 3-й пути. В папке Temp выделяем все файлы и папки и удаляем. Этот так, чтоб наверняка. В папке Temporary Internet Files выделяем все файлы и удаляем. Если там будут папки, то удаляйте файлы внутри этих папок. Так же можно просмотреть пути C:\, C:\Program Files, C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Cookies, C:\WINDOWS (часто в C:\WINDOWS бывает вредоносный файл cmon.exe, удалите его), но обычно хватает чистки 2-го и 3-его пути. Если на компьютере несколько пользователей, то произведите для профилактики такие же действия и с их учетными записями. Всё, чистка завершена. Теперь перезагружаемся, вытаскиваем загрузочный диск и ждём момента «Х» Вот экран приветствия, начинает грузиться Рабочий стол и всё, окно вируса не появилось. Вы все сделали правильно. Ну а если появилось, значит плохо чистили, загрузите опять загрузочный диск, и пройдитесь опять по всем путям, может что-то пропустили. Для тех, у кого «пропал» троян: сами файлы мы удалили, но вирус мог оставить записи в реестре. Нам нужно дочистить систему. Входим в Пуск -> Выполнить (WIN + R) и набираем команду regedit а затем жмем Enter. Если выводится сообщение «Редактирование реестра запрещено администратором системы«, то смотрите раздел статьи «Запреты». Если все нормально, то перейдите к ключу HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. В этом разделе хранятся записи автозагружаемых программ текущего пользователя. Эти записи отображаются справа. Конечно, все имена программ и системных файлов вы не можете знать, поэтому, я советую вам обратить внимание на пути к этим файлам, которые отображаются в поле «Значение». Вы сможете понять что это вирус по пути, он может вести к папке Temp или Temporary Internet Files, а так же к Application Data. По имени файла в пути то же можно понять что это вирус. Файл может называться так: ~DFFE93.tmp или так 16A8.exe. Сама запись может называться как угодно. Очень часто её называют Microsoft Audio Driver или что-то вроде этого. Главное не название, а путь и имя файла, запомните это. Итак, допустим, что мы здесь ничего подозрительного не нашли. Теперь переходим к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Здесь, обычно побольше записей. Проверяем раздел на наличие записей вирусов. И проверьте еще 3 пути (они все рядом):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Далее переходим к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Здесь есть несколько значений, куда троян мог прописаться: Userinit, UIHost и Shell. Сейчас я приведу примеры, как эти записи должны выглядеть по умолчанию:

Userinit = C:\WINDOWS\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe

Сверьте мои и ваши записи. Если что – исправляем. Ну вот и всё. Если всё сделали правильно, то вирус удалён с компьютера. Но, помните одно – разновидностей Trojan.Winlock очень много. Я привёл пример того, как и куда прописывается и копируется большинство этих троянов, но различия могут быть. Да, и проверьте свой интернет, если работает – значит хорошо, если нет (что делают последние версии этого трояна), значит читаем соответствующий пункт статьи «Не работает интернет», но перспективы не хорошие…
Категория: Удаление вирусов | Добавил: daimon (22 Октябрь 2010)
Просмотров: 848 | Комментарии: 2 | Рейтинг: 2.8/4
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Топ популярных статей
Файл hosts. Или куда теряются пароли (5086 просмотров)
praetorian.exe - вирус или нет? (3606 просмотров)
Заработок. Создание кроссвордов (1727 просмотров)
Вирус systemhost.exe. Методика удаления (1366 просмотров)
Ошибка CMOS checksum error - Defaults loaded (1242 просмотров)
Системные процессы Windows XP (1099 просмотров)
Скрытие значков дисков в окне Мой компьютер и Проводник (1069 просмотров)
Скачали торрент-файл, но он не открывается... (1000 просмотров)
Изменение параметров входа в Windows XP с помощью Редактора Рееестра (980 просмотров)
Удаление стрелок с ярлыков (929 просмотров)


KLERON © 2017 Ссылка на сайт <a href='http://kleron.ucoz.ru'>Программы, исходники, статьи</a>