Вышел новый вирус- блокиратор Windows где грозно написано МВС України и баннер следующего содержания:
"Microsoft Secutity Essential виявив перегляд матеріалів, що містять елементи педофілії та насильства над дітьми. Такі дії є порушенням ліцензії і тягнуть за собою відмову в обслуговуванні, а також адміністративну ( на підставі ст. 145 КУпАП) і кримінальну відповідальність в порядку ст. 303 КПК України. Для розблокування Вам необхідно протягом 12 годин сплатити адміністративний штраф у розмірі 255 гривень на гаманець Qiwi +38o97o821725. Оплату Ви можете здійснити у будь-якому терміналі QIWI по всій території України в меню електронні гроші, після чого на чеку буде надрукований 16-ти значний код розблокування, який Вам необхідно ввести нижче. У разі відмови від сплати штрафу або спробі перевстановити ОС – на підставі ч. 2 ст. 41 КАС України та приписів до ст. 301 КПК України – матеріали справи будуть передані в прокуратуру для прийняття рішення стосовно порушення кримінальної справи за фактом скоєння злочину передбаченого ст. 303 КПК України. А всі данні на Вашому ПК, в тому числі BIOS будуть неминуче знищені!” Что делать? (И кто виноват?) Делать следующее. Как показывает практика Live CD от Доктор Веб пока не справляются с задачей (по состоянию на июль 2012 г.), но просканировать этим средством компьютер лишним не будет, почти всегда что-то да находит. Поэтому нужно копаться в реестре Виндовс и заразу удалять вручную. Значит так. Берем диск ERD Commander 5.0 ( download скачиваем образ с интернета и записываем на CD). ERDcomander 5.0 Далее загружаемся с этого диска и делаем такие процедуры:
Заходим в редактор реестра Start > Administrative tools > Registry Editor и чистим реестр.
Для Windows XP
Проверяем значение параметра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion
\Winlogon\shell #должен быть explorer.exe
В параметре Userinit должен быть именно userinit.exe по пути
c:\Windows\system32\userinit.exe
Не забудте проверить его наличие в папке c:\Windows\system32 и если вирус его случайно:) удалил, то его необходимо туда скопировать. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion
\Winlogon\Userinit # i:\system32\userinit.exe
Достаем лист бумаги и ручку, записываем все пути по которым расположен вирус, для последующего удаления.
Обязательно проверяем этот ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion
\Winlogon\ParseAutoexec # он должен быть равен 1
Появился ещё один вид троянов которые прописываются в эту ветку реестра, для очистки ветку в реестре необходтмо удалить. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Иногда баннер прописывается в таком ключе реестра, значение этого ключа по умолчанию пустое либо там сидит антивирус. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion
\Windows\AppInit_DLLs # должно быть пусто
Далее нужно проверить ключи реестра отвечающие за АВТОЗАГРУЗКУ ПРОГРАММ, в них не должно быть ничего подозрительного: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run И автозапуск сервисов Windows: HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce
Если после удаления вируса диспетчер задач оказывается:) блокирован администратором, необходимо открыть этот ключ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System # и удалить DisableTaskMgr
В Windows 7 немного по другому.
Параметр Shell представляет собой строку с именем программы, которая будет использоваться в качестве оболочки при входе пользователя в систему. Обычно в разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно - HKCU) параметр Shell отсутствует и используется значение из раздела реестра для всех пользователей (HKEY_LOCAL_MACHINE\ или в сокращенном виде - HKLM) Для внесения изменений в раздел для всех пользователей (HKLM. . . ) требуется наличие административных привилегий, поэтому вирусные программы, как правило модифицируют параметры раздела реестра текущего пользователя (HKCU). Поэтому вирус чаще всего добавляется в именно в этот раздел реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon # параметр shell И если добавленный строковый параметр Shell принимает например значение "cmd.exe", то при следующем входе текущего пользователя в систему вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно командной строки, ну вобщем почти, как в Linux:) Поэтому, если Вы обнаружите в данном разделе реестра параметр shell, то можете смело его удалять, например в коммандной строке:
REG delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell И если это произошло, а в последний раз у меня было именно так, то необходимо еще и удалить куст HKEY_CURRENT_USER\SYSTEM # не путать с HKEY_LOCAL_MACHINE Будте внимательны, иначе Windows больше не запустится! После лечения может возникнуть такая ошибка: C:\DOCUME~1\9335~1\5D29~\4A66~1\60C2~1\igfxtray.ex e
Процессор NTVDM обнаружил недопустимую инструкцию.
CS:0743 IP:0231 OP:63 6b 67 72 6f
файл igfxtray.exe находится по адресу: "C:\Documents and Settings:\Администратор:\Главное меню:\Программы:\Автозагрузка В данном случае файл с именем igfxtray.exe есть причиной ошибки. Загружаемся с того же ERD Commander`а и удаляем файл "igfxtray.exe" вручную. Также в редакторе реестра удаляем все ссылки на этот файл.
После всех процедур компьютер должен запуститься. После запуска установите, а если установлена то обновите антивирусную программу и просканируйте жесткие диски компьютера.
| 
