Позбавляємося від вірусу блокуючого систему

Прогрес не стоїть на місці, а з ним в перед рухаються і розробники вірусів смс-блокерів. З методом видалення і лікування одного нового вірусу блокуючого комп'ютер ви зможете ознайомитися в даній статті.

Дії нового вірусу блокуючого систему

Новий вірус блокує комп'ютер діє за тим же принципом що і його побратими, тобто зберігає свій файл на жорсткий диск і перезаписує параметр реєстру shell в гілці HKEY \ LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ на цьому схожість зі старими смс-блокерами закінчується.

Зіткнувшись з таким вірусом, я почистив реєстр, прописавши в параметрі shell рідне значення explorer.exe, видалив вірусний файл (як це зробити можна подивитися в статті Видаляємо вірус заблокував комп'ютер ) І був дуже здивований, коли при перезавантаженні комп'ютера, з ново з'явилося вікно блокуючого вірусу.

Новий вірус блокує систему

Перевіривши реєстр я виявив що змінений мною параметр shell знову вказує на вірусний файл, а сам файл що не вчем не бувало, знаходиться в директорії з якої він був недавно був знищений.

Довелося поламати голову над тим як це відбувається. І ось що я з'ясував.

Новий смс-блокер змінює параметри реєстру, тільки про людське око. Основна дія вірусу це підміна файлу userinit.exe знаходиться на системному диску в каталозі Windows \ System32 \

Відновлюємо систему після роботи нового смс-блокера.

Відновлення системи після рекламного вірусу

Для відновлення працездатності системи порежонной даними смс-блокером необхідний викликати диспетчер задач комбінацією клавіш (Ctrl + Shift + Esc) в списку процесів знайти процес з назвою userinit.exe і завершити його, натиснувши кнопку завершити процес. Після цього заражений файл userinit.exe, розташований в каталозі C: \ Windows \ System32 \ необхідно замінити файлом з нормальної системи, після цього відновити параметр реєстру Shell

Для тих у кого немає під рукою робочої системи викладаю свій файлик:

userinit.rar (WinXP SP3)

Читайте також: