Лечим Windows от Винлокера (Trojan.Winlock)

Сегодня поймал винлокер на свой компьютер похоже из семейства Trojan.Winlock.6412 При запуске Windows XP блокировались explorer.exe, Program Manager, Connections Tray, taskkill.exe и так далее просил положить на номер телефона 2000 рублей выглядел он так:

Самый простой способ избавиться от него это воспользоваться универсальными паролями разблокировки которые бесплатно можно найти на таких сайтах как Dr. Web и Лаборатория Касперского. К сожалению это не помогло. Но, есть и другие способы. Вот, что сделал я:

    1. Перезагрузить компьютер, во время перезагрузки нажать клавишу F8 или F12 на разных компьютерах по разному.
    2. В появившемся меню загрузки выбрать «Безопасный режим с поддержкой командной строки»
    3. После загрузки Windows откроется командная строка в которой нужно набрать «regedit» (редактор реестра Windows)
    4. В редакторе реестра найти и проверить следующие ключи :
      • [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] ‘Userinit’ = ‘<Полный путь к вирусу>’
      • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] ‘explorer’ = ‘<Полный путь к вирусу>’
      • [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] ‘Shell’ = ‘<Полный путь к вирусу>’
      • [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] ‘UIHost’ = ‘<Полный путь к вирусу>’

      В оригинале ключи должны содержать следующие параметры:

  • ‘Userinit’ = ‘C:\WINDOWS\system32\userinit.exe,’
  • ‘Shell’ = ‘explorer.exe’

Не забудьте запомнить «Полный путь к вирусу»!

  1. В командной строке набираем «explorer»
  2. Удалить сам вирус. У меня он находился в C:\Documents and Settings\User\0.3444234234355.exe Так же можно проверить корневую папку Windows на наличие файла svchost.exe там его не должно быть, если нашли смело удаляем.
  3. Перезагрузить компьютер в нормальном режиме.

Если вам не удалось совершить выше указанные действия в «Безопасный режим с поддержкой командной строки» или же ключи реестра содержат именно те параметры, что и должны быть читайте вторую часть статьи


Эта статья оказалась полезна для вас?
Результаты

 

Лечим Windows от Винлокера (Trojan.Winlock): 15 комментариев

  1. V

    Таки помогло, спасибо автору. Хочу только добавить тем, кто этим воспользуется, чтобы не забыли со всей яростью пройтись антивирусным ПО по всей системе. ЦЕЛУЮ!

    1. Ильнур

      да точно за 5 минут избавился от вируса, тоже был ms.exe

      автору респект и уважуха

  2. Дмитрий

    Спасибо, кажись помогло.Зашифровался под целую папку Windows, где было 2 файла, Sl, и explorer.exe.Удалил — избавился от вируса.

  3. Паша

    а как удалять вин локер если он даже не дает запустить виндовс и нетльзя ввести даже пароль если можно плиз ответ на маил

  4. Антон

    СПАСИБО ОГРОМНОЕ!!! удалил нахрен этот вирус за несколько минут!!! СПАСИБО АВТОРУ!!!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *