Записки начинающего пауэрлифтера

Как удалить баннер вымогатель Trojan Winlock

Запись в дневнике разместил пользователь BuDeNy, 8 ноя 2012.

В последнее время баннеры — это самая распространенная зараза на компьютерах пользователей, подцепить его очень легко, достаточно щелкнуть по какой-нибудь подозрительной ссылке и ваш компьютер после перезагрузки или следующего включения засияет вот таким вот окном или ему подобным.
[IMG]

Клавиатура вашего компьютера будет скорей всего заблокирована, поэтому комбинации горячих клавиш ctrl+alt+del,alt+tab работать не будут, поэтому сразу переходим к действиям.
1. Перезагружаем компьютер, при загрузке нажимаем клавишу F8.
Появляется окно с выбором метода загрузки, выбираем пункт меню Безопасный режим с поддержкой командной строки и нажимаем кнопку Enter на клавиатуре.
[IMG]

2. Откроется окно с командной строкой в нем вводим regedit.exe
[IMG]

3. В открывшемся окне редактора реестра находим ветку HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ищем ключ Shell в нем скорей всего будет прописан какой-нибудь статический адрес.
[IMG]

В нашем случае это C:\Documents and Settings\admin\Мои документы\downloads\viidsti.exe. Вот как раз таки этот файл viidsti.exe и есть этот злобный баннер.
4. Правой кнопкой мыши щелкаем по ключу Shell и в выпадающем меню выбираем изменить.
[IMG]

Выделяем имя файла viidsti.exe и копируем его в буфер обмена, в моем случае это viidsti.exe в вашем может быть абсолютно другой. Советую записать имя файла на бумажку, так как из буфера обмена вы можете случайно потерять имя, забыв про то что у вас там что-то хранится. Путь к файлу трояна тоже рекомендую записать, но можно и просто запомнить.
5. Удаляем ключ Shell, щелкаем правой кнопкой мыши и нажимаем удалить в контекстном меню.
[IMG]

6. Переходим в ветку реестра HKEY_USERS и нажимаем F3 или же выбираем в меню Правка—>Найти, вставляем имя нашего троянца в поле поиска и нажимаем кнопку найти далее.
[IMG]

7. Удаляем все найденные ключи
[IMG]

[IMG]

Поиск продолжаем до тех пор пока не появится надпись Поиск в реестре завершен
[IMG]

8. Закрываем редактор реестра и в командной строке вводим explorer.exe
[IMG]

9. Далее переходим в Пуск—>Панель управления—>Свойства папки
[IMG]

Во вновь открывшемся окне переходим из вкладки Общие во вкладку Вид и убираем галочку с пункта Скрывать расширения для зарегистрированных типов файлов и обязательно переставить точку на Показывать скрытые файлы и папки
[IMG]

Нажимаем OK.
10. Теперь поиском Windows или через Проводник ищем нашего троянца, если из буфера обмена имя пропало, вводим вручную с бумажки.
[IMG]

Найденный файл удаляем, перезагружаем компьютер и наслаждаемся прежней работой компьютера.
После удаления трояна настоятельно рекомендую сделать полную проверку компьютера на вирусы лечащей утилитой Cureit от Dr.Web http://www.freedrweb.com/cureit

Обсудить на форуме: