Как удалить sms-вирус или вирус-вымогатель загрузившись с Live CD
Очень часто возникают ситуации, что удалить вирус-вымогатель и загрузить зараженную операционную систему не удается. Все способы разблокировки Windows бессильны, коды получения доступа не работают. В таком случае удалить sms-вирус можно с помощью программы RegEdit загрузив компьютер с Live CD.
Наши действия при таком раскладе событий будут следующие — ищем с другого компьютера и скачиваем образ любого Live CD, например ERD Commander 2005, благо на сегодняшний день в интернете доступно большое множество образов таких дисков и записываем образ на CD/DVD диск или на флешку. Инструкции как правильно записать образ и сделать Live CD так же можно поискать на сайте с которого вы скачали образ. Перезагружаем компьютер и если в BIOS компьютера правильно выставлена загрузка с CD/DVD или USB (в случае если вы сделали LiveCD на флешке) загружаемся с Live CD.
Загрузив компьютер с LiveCD, нам необходимо запустить стандартное средство Windows для редактирования реестра — программу regedit.exe (в некоторых версиях диска ERD Commander вместо regedit.exe при появлении ошибки «Regedit.exe and Regedt32.exe have been configured to not run under MSDaRT.Please use ErdRegedit.exe instead» запускайте ErdRegedit.exe) и отредактировать ключи реестра измененные вирусами-вымогателями. Для этого нажимаем кнопку «Пуск» -> Выбираем пункт меню «Выполнить» -> В окне «Запуск программы» набираем с клавиатуры regedit -> нажимаем кнопку «Ок».
Так как нам необходимо отредактировать реестр Вашего компьютера, а не диска LiveCD, в левой части окна Редактора реестра выделяем ветку HKEY_USERS. Находим меню «Файл» -> «Загрузить куст…»
В открывшемся окне «Загрузить куст» переходим в директорию C:\Windows\System32\Config\, где C: — буква диска, на который у вас установлена Windows. В зависимости от того какая ветвь реестра нуждается в редактировании выбираем в папке Config соответствующий куст. Например, если необходимо редактировать ветвь HKLM\SOFTWARE, выбераем в папке Config куст SOFTWARE и нажиаем «Открыть», но имейте ввиду, что куст может быть и любой другой (DEFAULT, SAM, SECURITY или SYSTEM).
Далее, вводим любое имя для загружаемого раздела и работаем с появившейся в HKEY_USERS веткой, это и есть куст SOFTWARE зараженного компьютера.
Как правило, вирусы-блокеры изменяют несколько параметров реестра, что мешает нормальной загрузке Windows. Поэтому удаление вирусов сводится к восстановлению ключей реестра и физическому удалению исполняемых файлов вируса которые прописаны в измененном параметре.
Найдите в реестре ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр:
userinit
Значение параметра должно быть:
с:\windows\system32\userinit.exe
где, «c:\» диск на который установлена Windows. Если значение параметра после буквы диска отличается, исправляем на вышеуказанный.
Параметр:
shell
Значение параметра должно быть:
Explorer.exe
Если значение параметра отличается, тоже исправляем.
После того, как закончите редактирование реестра, обязательно следует выгрузить куст, для этого нужно выделить ветку которую Вы создали, затем — меню Файл > «Выгрузить куст».
Перезагружаем компьютер в обычном режиме.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
Оставьте Ваш Отзыв:
Отзывов (33) на “Как удалить sms-вирус или вирус-вымогатель загрузившись с Live CD”Я убил его так. Просто перезагрузился в безопасном режиме, через Выполнить команду msconfig. Во вкладке Автозапуск убрал галочки с подозрительных объектов, перезагрузился уже в нормальном режиме. блокировщик не загружается. Потом опять через ту же команду смотрим где он находится и удаляем, ну как угодно дальше, через regedit можно удалить этот созданный вирусом путь если он раздражает))))
Помог больше чем каспер и др веб вместевзятые))
Все СМС Трояны удаляются очень легко, на примере (Windows 7):
1.Перезагружаем компьютер в Безопасном режиме с командной строкой
2.Вылезает черное окошко, в котором набираем Regedit
3.Далее набираем функцию Explorer ( появляется рабочий стол)
4.Заходим в Мой Компьютер=> Диск С=> Пользователи=>выбираем свою учетную запись которой пользуетесь (у меня она Сергей) и ищите там файл что то вроде этого 0.03536666533344 (вот это и есть вирус)…удаляете его !!!
5. Далее стрелочкой назад возвращаетесь в предыдущее меню, ищите файл ОБЩИЕ=> мои док-ты и удаляете там тоже этот файл если он есть !!!!
Далее очищаете корзину и перезагружаете компьютер!!
Все работатет
НЕ помогло. типа удаляет , но через пару сек снова блокирует,где еще может сидеть копия?
Огромное спасибо за мануал! Пришлось поменть только шелл с ms.exe на explorer.exe. Загрузка с Hiren’s Booot CD и запуск Small Windows XP.
Это конечно очень весело, но хочу спросить, а переустановка винды в этом деле не поможет?
Поможет.
Добрый день! Господа, при загрузке куста выдает, что фаил софтвар используется другим процессом. Что делать?, пжл помогите!
Все дело в том, что таких вирусов бывает 3 типа и от каждого своё лечение.
1-ых тип.Обратите внимание на время возникновения окна.. Если оно возникает сразу после пот-скрин (самотестирование компьютера на наличие необходимых для запуска компонентов) вирус в загрузочном секторе..
2-ой тип Окно вируса возникает после появления окна виндоус(на заднем фоне как правило всплывают окна — обнаружено новое устройство) Этот вирус прописан в загрузчик оси.
3-й тип (самый коварный) при попытке загрузится с какого-либо live cd компьютер не видит винчестера.
Чаще всего вирусы и правда находятся в папке временных файлов из интернета temp. На практике лучший способ скачать HBCD, загрузить с него мини windows xp, в нем есть инструмент regedit, стоит только указать имя диска, с которого необходимо загрузить реестр. Как правило имя таких вирусов примерно 0.45345.exe или 0.exe, если не шарите в реестре можно в мини виндоус просто открыть проводник-поиск и вбить *.*exe — вам поисковик найдет все экзешные файлы, среди которых можно по имени вычислить вирус. Если в загрузочном секторе fixmbr вам в помощь..))
«1-ых тип.Обратите внимание на время возникновения окна.. Если оно возникает сразу после пост-скрин (самотестирование компьютера на наличие необходимых для запуска компонентов) вирус в загрузочном секторе..»
Я избавился от этого типа вируса следующем образом:
C LiveBootCD загрузил ДискЕдитор — в MBR секторе (Редактор-Физические секторы… Сектор 0, Цилиндр 0, Головка 0, Сектор 1… ТОЛЬКО НИЧЕГО НЕ ПРАВЬТЕ И НЕ СОХРАНЯЙТЕ ЭТО!!! если не разбираетесь… Просто посмотрите 1-й сектор..) Там есть код, который требуется ввести. В моем случае это был 00949848… Вирусяка сам переписал нормальный MBR на место. Винда грузится…
пробовал с помощью ERD Commander 2005 сделать откат системы — пишет нет точек отката… в реестре посмотрел тоже вроде все нормально… никаких кракозябр нету… только вот одно, он просит не через SMS пополнить счет, а на кошелек WEBmoney вот сижу голову ломаю… полазил по форумам — не помогло пока ничего!
Большое спасибо !!!!!
Большое спасибо за советы!!! Всплыла такая же проблема у знакомого на компе. Телефон МТС 89107646892.
Долго перезаписывала файлы и редактировала реестр, но ничего не помогало. Не удавалось просечь, на каком этапе вирус прописывается обратно в реестр загрузку cmd.exe с ключом /k вместо explorer.exe . Ни Касперский ни DR’WEB ничего не находил. Нашла AntiWinLockerLiveCD, позволяет чистить temp каталоги, в нем то и висел исполняемый файл с достаточно издевательским названием 0314.exe
У меня у друга выскочил такой вирус он меня попросил ему помочь… Я взял его жесткий диск и поставил себе в комп. Как мне зайти через реестр на его диск, у меня все время открывается только мой . А если я его ставлю как главный диск то у меня тоже вылаит этот вирус. Что делать?
Когда загружаете куст реестра для редактирования — выбирайте X:\Windows\System32\Config\, где X: — буква диска, подключенного винта с заблокированной Windows.
Все сделал, все выгрузил — проблема не ушла. Я менял только параметр userinit, в shel было все нормально. Я даже нашел на другой странице совет поменять сам файл userinit.exe — поменял. Все равно не помогает. Когда опять смотрю редактор реестра — там параметр опять перескакивает назад. помогите, если можете, пожалуйста — не хочется винд переставлять (тем более реаниматор потерял)…
1) Есть большая вероятность того, что сам explorer.exe заражен.
Пользователи часто пишут о том что вирус в файлах:
\windows\system32\taskmgr.exe
\windows\system32\dllcache\taskmgr.exe
\windows\system32\userinit.exe
\windows\system32\dllcache\userinit.exe
\windows\explorer.exe
\windows\system32\dllcache\explorer.exe
Даже бывает что винлокер скрывается до поры до времени в кнопке «Свернуть все окна».
Вот ссылки на файлы для Windows XP SP3:
taskmgr.exe
userinit.exe
explorer.exe
2) Если замена этих трех файлов не помогает, то безотказный автоматический способ в инструкции Удаление смс-вируса с помощью AntiWinLocker LiveCD
Выделяю ветвь SOFTWARE, пытаюсь выгрузить, но мне пишет: не удается…отказано в доступе
Еще раз попорядку:
1) подключили куст, при подкючении куста укажите имя отличное от типовых названий кустов (а то легко можно перепутать что выгружать), например «123»;
2) производим в подключенной ветке необходимые действия;
3) по оканчании, в окне редактора реестра, справа, сверните все открытые папки, нажимая на «-«, найдите папку куста с именем «123», выделите ее мышкой и в меню Файл > «Выгрузить куст».
Тупой вопрос: а как выделить ветку, которую я создал…чтобы выгрузить куст
Заменил файлы, но проблема следующая: при заходе-сразу пишет завершение сеанса и выкидывает
Попробуйте добить вирус-блокер проделав все пункты в инструкции Удаление смс-вируса с помощью AntiWinLocker LiveCD
При попытке запустить regedit выдается ошибка Regedit.exe and Regedt32.exe have been configured to not run under MSDaRT.Please use ErdRegedit.exe instead.
В некоторых версиях диска ERD Commander при появлении вышеуказанной ошибки попробуйте в окошке «Выполнить» вместо regedit.exe запустить ErdRegedit.exe
что вписывать в key name когда загружаешь куст???
Произвольное имя, под этим именем куст будет подключен.
Всем доброго времени суток!
Не могу разобраться с некоторыми вещами.
1. После изменения параметровshell на explorer.exe и перезагрузки компьтера баннер не исчезает, а при повторном хаоде в реест параметр shell меняется на старые
2. Не могу сообразить как в папке config из DEFAULT, SAM, SECURITY,SOFTWARE и SYSTEM выбрать нужный куст для редактирования.
Спасибо
1. В Windows XP в некоторых случаях после исправления параметров реестра необходимо восстановить (заменить зараженные на заведомо «чистые») некоторые системные файлы — userinit.exe, реже — explorer.exe, taskmgr.exe.
2. Выбирайте куст SOFTWARE, параметры которые надо исправить именно в нем.
Еще есть сборник Zver DVD, там есть нечто подобное, все получается для ХР, за остальное очень благодарю!
нормально, но в образ надо добавить 3 системных файла
-userinit.exe
-explorer.exe
-taskmgr.exe
и онымы заменить такие же на жест. диске
и все будет хорошо
А с загрузочного диска Kасперского RescueCD, или DRWeb LiveUSB можно попасть в редактор реестра?
И как перебросить чистые файлы Userinit.exe и Taskmgr.exe через загрузочный диск на компьютер?
Спасибо
С DRWeb LiveUSB — работать не приходилось. Kaspersky Rescue Disk на линуксе, так что просто и быстро реестр Windows с него не отредактируешь. В KRD есть терминальная команда chntpw, которая позволяет подгрузить куст реестра. Лучше погуглить по этому вопросу подробнее. Так же в KRD есть возможность настроить сеть и доступ в инет, что позволит Вам скачать оригинальный файл userinit.exe (для Windows XP SP3).
Самый простой способ — использовать LiveCD ERD Commander 2005 для удаления вируса и редактирования реестра и флешку для переноса чистых файлов на зараженный компьютер.
Помогло! Большое спасибо создателям сайта!
View all comments