При заражении системы троянские программы такого типа извлекают из себя вредоносные файлы и подменяют ими системные файлы:
С:\Windows\System32\taskmgr.exe — диспетчер задач,
C:\Windows\System32\userinit.exe — файл, отвечающий за параметры загрузки Windows,
C:\Windows\System32\dllcache\taskmgr.exe — резервная копия диспетчера задач,
C:\Windows\System32\dllcache\userinit.exe — резервная копия загрузчика.
Оригинальные файлы в большинстве случаев удаляются из системы. Как правило, троянские программы этого типа не предполагают разблокировки (реакция на ввод верного кода разблокировки вообще отсутствует в коде вредоносной программы), однако есть исключения — в этом случае оригинальные файлы могут сохраняться в директории
C:\Windows\System32 со случайным именем, зачастую это
22CC6C32.exe.
Затем две копии троянца размещаются в папке
C:\Documents and Settings\All Users\Application Data\. Чаще всего, это два файла, один из которых называется userinit.exe, а второй 22CC6C32.exe (для
Trojan.Winlock.3278 файлы userinit.exe и yyyy21.exe или lvFPZ9jtDNX.exe).
Также троянец модифицирует ключ реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, задавая в параметр
Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe".
Лечение:
Совсем плохо дело, когда оригиналы файлов
taskmgr.exe и
userinit.exe удалены с компьютера. Для восстановления работоспособности системы необходимо выполнить следующие действия:
- Загрузите зараженный ПК с Dr.Web LiveUSB. Для загрузки с USB-Flash/USB-HDD необходимо при загрузке кoмпьютера выбрать в меню загрузки соответствующий носитель. Это можно сделать либо в BiOS, либо в меню Quick Boot /вызывается в момент инициализации BiOS, обычно по клавишам Esc, F11, F12, F8 - смотрите подсказку или инструкцию/. USB-Flash часто в Quick Boot спрятано в подменю HDD (загрузочная флешка воспринимается как загрузочный винт). Если есть несколько вариантов загрузки с флешки (USB-FDD, USB-ZipDrive, USB-HDD) - выбираем USB-HDD.
- Проверьте ПК на вирусы с помощью сканера Dr.Web.
Если сканер обнаружил вредоносные файлы, к ним необходимо применить действие
Удалить.
Если это были файлы
userinit.exe и
taskmgr.exe, с помощью Midnight Commander восстановите их с загрузочного USB-накопителя. Для этого скопируйте (клавиша
F5) файлы
userinit.exe и
taskmgr.exe с USB-накопителя в папку:
C/Windows/System32/.
Все! После всех треволнений и проделанных манипуляций, ваша система должна ожить.
Хочу заметить, что вылечить систему можно не используя сканер
Dr.Web, для начала достаточно восстановить системные файлы и в ручную удалить заразу из пользовательской папки, а так же корня системы, тем более места расположения и примерные расширения вирусных файлов вам известны.
Смею тихо надеяться, что кому то да пригодятся способы расписанные в этой статье , если вы знаете другие методы борьбы с заразой такого рода, пишите в комментариях, так сказать делитесь опытом, пострадавшие оценят, тут уж точно - "к бабке не ходи.."
Интернет для меломанов уже давно стал райским уголком, источником огромного количества музыки на любой вкус. Музыкальные сайты, предлагающие прослушать и скачать музыку в формате mp3, растут как грибы. Забив по полной на правообладателей и другие юридические тонкости, мы с легкостью можем найти, прослушать и скачать как единичный трек так, и целый музыкальный альбом любого исполнителя.
Друзья, вы не заметили, как в последнее время, в один миг возрос спрос на использование "облачных" сервисов для хранения и синхронизации данных. А раз есть спрос, значит и предложения не заставят себя ждать. Так и произошло, облачные хранилища стали расти и плодиться как грибы. В тему подключились такие монстры как «Яндекс», Google и вездесущие ребята из Microsoft, все они представили свои новые сервисы по аналогии с уже известными Dropbox и SugarSync. Когда все это действо и суматошная гонка в борьбе за пользователя набрали обороты, не замечать и игнорировать "Облака" стало уже практически нереально.
