Троянец заблокировал Windows ?
Многие уже встречались с таким троянцем,
который блокирует Windows и показывает такое сообщение:
Windows заблокирован
Для разблокировки необходимо отправить SMS с текстом ********* на номер **** .
Windows заблокирован
Для разблокировки необходимо отправить SMS с текстом ********* на номер **** .
При запуске компьютера троянец предлагает ввести регистрационный код, якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.
Есть несколько путей решения этой проблемы.
1. Специалисты компании «Доктор Веб» и лаборатории «Касперского» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.
Генератор «Доктор Веб»
Деблокиратор и генератор ответных SMS на сайте Касперского
2. Переводите в BIOSе часы на день вперёд, вирус должен перестать проявляться (срабатывает не для всех версий трояна).
3. Вмешательство в систему
можно сделать так:
1) Загружаемся с LiveCD
2) Удаляем файлы blocker.exe и blocker.bin из директории C:\Documents and Settings\All Users\Application Data
3) Запускаем редактор реестра (regedit), в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon меняем значение параметра "Userinit" с C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ ALLUSE~1\APPL IC~1\blocker.exe на C:\WINDOWS\system32\userinit.exe так же проверяем, чтобы параметр "Shell" выглядел так Shell=Explorer.exe
Немного информации для тех, кому интересно:
Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Её модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.
Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска.
Как ведёт себя троян?
Копирует себя в директорию %windir%\system32\drivers с именем winlogon.exe, затем прописывается в реестр Windows\CurrentVersion\Run, а после первой же (неизбежной!) перезагрузки еще и используется как оболочка HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell.
Не поддавайтесь на уловки вирусописателей, отправляя им запрашиваемые SMS.
После удаления окна троянца обязательно проверьте компьютер антивирусной программой.
