Лікування зловреду своїми руками (вимагач), Огляд комп’ютерних ресурсів

лікування

Цей зловред блокує Windows, виводить на екран інформацію, що для розблокування потрібно перевести 2000 рублів на номер абонента МТС: +79170193973. При завантаженні через Безпечні режими Windows на екрані також з'являється банер і блокується комп'ютер. Саме тіло зловреда у тому місці, де було зроблено його запуск, тобто. він не копіює себе в певні папки, а додається до автозапуску за місцем його запуску користувачем.

Ця інструкція для лікування може використовуватися не тільки для лікування саме цього вірусу, вона допоможе видалити будь-який інший подібний шкідник своїми руками за кілька хвилин.

Для лікування комп'ютера будемо використовувати будь-який LiveCD та утиліту Universal Virus Sniffer (UVS).

Завантажтеся на зараженому комп'ютері з LiveCD, а потім запустіть програму UVS (файлstart.exe). Вкажіть програму папку зараженої Windows (швидше за все, C:\WINDOWS) , для цього натисніть кнопку “Вибрати каталогWindows …“.

своїми

Потім натисніть “Запустити під поточним користувачем“.

зловреду

Якщо щось не зрозуміло, то можете також почитати статтю “Лікування блокаторів-здирників за допомогою програми Universal Virus Sniffer” на сайті antivir.host22.com.

НатиснітьF4, щоб приховати чисті файли.Переконайтеся, що стоять галки на “Зрити перевірені” та “Приховати відомі“.

Утиліта UVS виділяє тіло вірусу у вкладку “Підоглядні та віруси“, що значно спрощує лікування комп'ютера.

зловреду

Т.к. лікуємо комп'ютер з LiveCD, тоне сліднатискати клавішуF6для зчитування цифрових підписів. Інакше утиліта UVS може присвоїти статут "підозрілий об'єкт"багатьом чистим системним файлам!

Для видалення вірусу цього типу, вищевказаних дій достатньо, і можна завантажуватися звичайним способом – вірус видалений. Але варто враховувати, що у вашому випадку може бути якась інша модифікація вірусу, тому раджу також виконати розділ "Після видалення вірусу/трояна" мануалу "Коротка інструкція з використання утиліти Universal Virus Sniffer".

– Інші проліковані здирники за даною інструкцією –

Т.к. лікування троянів-здирників одноманітно, то здирники, які піддаються лікуванню за допомогою інструкції вище, не будуть окремо обговорюватися, а будуть коротко розглянуті нижче:

W in L ock “Міністерство Внутрішніх Справ України”має приблизно такий фейс:

зловреду

Троян пропонує для розблокування Windows відправити250 грнна гаманецьQiwi+380665300919. Здирник влаштований подібно до здирника, який розглядається вище. Відрізняється лише малюнком банера.

Після лікування комп'ютера запустіть утилітуAVZ, у “Параметрах пошуку” поставте галку на “Автоматично виправити системні помилки” і натисніть “Пуск“. Буде убрано наслідок зараження (модифіковано ключ запуску провідника).

W in L ock “Windows заблоковано”на чорному тлі має приблизно такий фейс:

зловреду

Файл даної версії зловреда:C:\WINDOWS\Sound.exe, лікування вище описано. Псує налаштування завантаження вБезпечному режиміWindows, тому після видалення банера запустітьМайстер пошуку та усунення проблемAVZ.

W in L ock “WINDOWS ЗАБЛОКОВАНО!”, відомий антивірусам, якWin32:IRCBot-EPO [Trj](Avast) /BackDoor.IRC.Bot.1647(DrWeb) /Trojan.Win32.Buzus.liff , Trojan-Ransom.Win32.PornoAsset.tba(Kaspersky):

зловреду

Троян пропонує поповнити номер МТС (але може бути інший) на 500 рублів (але може бути будь-яка сума) для розблокування комп'ютера.

WinLockВиявлено піратську копіюWindows“ , відомий антивірусам, якTR/Agent.460288.12(AntiVir) /Win32/ LockScreen.ALT(ESET-NOD32) /Artemis!82D1A373327D/ McAfee:

зловреду

WinLockWINDOWS ЗАБЛОКОВАНО!“, відомий під іменами “a variant of Win32/Kryptik.ALVM” (ESET-NOD32 ), “Trojan-Ransom.Win32.PornoAsset.vqr” ( Trojan-Ransom.Win32.PornoAsset.vqr):

своїми

Пропонує відправити 2000 рублів на номер білайна 790 915 15 868 за розблокування комп'ютера. Після видалення трояна запустіть “Майстер пошуку та усунення проблем” AVZ .

WinLockWINDOWS заборкирвоан!“, відомий під іменами “Win32:Zbot-PNA [Trj]” (Avast ), “BackDoor.Andromeda.82” (DrWeb), “a variant of Win32/Injector.WQT” (ESET-NOD32):

лікування

Пропонує поповнити гаманець WebMoney номерU360036169040у сумі 300 грн. Лікувати цей здирник можна без LiveCD, т.к.Безпечний режим Windows з підтримкою командного рядкане блокується: зайдіть через нього, введіть у командному рядкуexplorerі натиснітьEnter– завантажиться Провідник.

своїми

Пропонує надіслати СМС з текстом “14121516 дякую” на номер5373(Україна) або на номер2404(Україна). Універсальна інструкція з лікування, яка розглянута вище, без проблем видаляє цей банер. Після завантаження звичайним способом слід запустити “Майстер пошуку та усунення проблем” AVZ для відновленняБезпечного режимуWindows. До речі, мені вдалося згорнути вікно банера здопомога клавіш [win]+[d], так що його можна видалити і без LiveCD. Інформація про цю зловредність: файл:C:\Windows\Help.exe(прихований), реєстр:HKLM\ software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Run\Help

Якщо ви нагадуєте про error, highlight it and pressShift + Enter абоclick here to inform us.