Статьи, ЧАстозадаваемые ВОпросы faq купить в Москве |
62173072 it_giraffa | office@jraf.ru (958) 809-5302 |
|
Статьи, ЧАстозадаваемые ВОпросы |
У Вас заблокирован компьютер? Не спешите слать СМС безграмотным хакерам! |
Рассказ нашего сотрудника. В один прекрасный день, буквально недавно, на днях, я подошел к своему бесценному ПК и через 10 минут работы получил лицом об стол - экранчик поверх всех окон, говорящий мне о том, что я злостный педофил и меня могут привлечь и мне надо заплатить штраф 400 рэ на МТС-овский телефонный номер в течение 12 часов, иначе вся информация на винчестере уничтожится. Я конечно обделался в штаны, на 10 секунд, все-таки жалко, если пропадут все мои педофильские файлы, созданные непосильным трудом. Отточил на точилке ум и начал блуждать по цифровым дебрям. бла-бла-бла, короче! Начнем с того, что у меня WinXP 1. Берем любую внешнюю операционную систему (к примеру MiniPE) и грузимся с нее. 2. C:/Documents and Settings/All Users/Application Data/22CC6C32.exe это сам вирус. Не удаляйте его сразу. Закиньте туда к вирусу файл Explorer.exe из папки C:/Windows и переименуйте Explorer.exe в 22CC6C32.exe. Теперь у вас под именем вируса будет настоящая оболочка. Но мы еще пока ничего не сделали толком, так что продолжаем. 3. Идем в C:/Windows/System32/ и удаляем файлы taskmgr.exe и userinit.exe - дело в том, что козлина вирус снес реальные taskmgr.exe и userinit.exe и прописал вместо них под тем же именем хитрые программы, которые при удалении самого вируса 22CC6C32.exe по новой его создают на том же месте, где он и был - C:/Documents and Settings/All Users/Application Data/22CC6C32.exe - так что удалив просто вирус мы от него не избавимся, пока не удалим taskmgr.exe и userinit.exe . Идем в папку C:/Windows/System32/dllcache и там тоже удаляем эти же два файла taskmgr.exe и userinit.exe (резерные копии вируса) - они там продублированы на случай, если мы удалили taskmgr.exe и userinit.exe из папки C:/Windows/System32/ и решили, что на этом наши беды закончились. 4. C:/Documents and Settings/имя_вашего_компьютера/Application Data/netprotocol.exe - удаляем его - этот файл модернизирует реестр и все время прописывает вирнусные записи в соответствующие ветки реестра. Мы потом удалим записи в реестре и автозагрузку этого самого файла в реестре. 5. Теперь нам надо восстановить userinit.exe , иначе мы не сможем правильно грузануть винду. Поищите в папке C:/Windows/System32/ файл с именем 03014D3F.exe - это должен быть ваш настоящий userinit.exe, вирус ваш настоящий userinit.exe переименовывает в файл с бредовым названием, чтобы когда вы оплатите 400 рублей, вернуть вам вашу винду в рабочем виде. Переименовываем 03014D3F.exe в userinit.exe . 6. Делаем перезагрузку с винта. 7. Есть вероятность, что перед собой скорее всего увидите папку Мои Документы и больше ничего. Но это уже прекрасно! Надо вызвать редактор реестра (через файл-менеджер или сходив в папку C:/Windows и открыв regedit.exe). Лазим по реестру. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Winlogon меняем значение ключа Shell - должна быть запись "Explorer.exe" и значение ключа Userinit должно быть "c:\windows\system32\userinit.exe," (с запятой в конце!). Там же можно наблюдать ключ что-то типа usrinit - его можно вообще удалить, это запись вируса о переименованном вашем реальном userinit.exe с дурацким именем, причем это имя видимо является шифром, так как файла с таким именем в C:/Windows/System32/ нет! HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run удаляем ключ (не помню названия), который имеет значение C:/Documents and Settings/имя_вашего_компьютера/Application Data/netprotocol.exe - это автозапуск файла, который прописывает загрузку вируса в реестре. 8. Reset. 9. Все! Спасибо за внимание. P.S. - на самом деле не все - еще надо восстановить task manager (taskmgr.exe). Я пока не нашел во что его переименовал вирус, но он мне пока не горит, искать его руки не доходят. Можно его качнуть с другой системы, можно вообще забить на него, если он вам не особо нужен. Как найду его в переименованном виде, отпишусь тут. |
перейти на главную страницу | о компании | прием старого железа | комплектующие |
частозадаваемые вопросы | наши друзья | новости компьютерного рынка | распродажа (уценка) |
ООО "Джей энд Раф" | ИНН 7720503988 | КПП 772001001 | (958) 809-5302 | office@jraf.ru | 62173072 |
Юр.адрес: 111123, Москва, Электродный проезд 6, стр.1, оф. 24 | Skype: IT_Giraffa | 193201923 |
Когда мужчине плохо, он ищет женщину, а когда ему хорошо - он ищет другую |
карта сайта |
sites.html | карта сайта |
|
карта сайта 1
карта сайта 2 карта сайта 3 карта сайта 4 |