Как удалить sms-вирус или вирус-вымогатель загрузившись с Live CD
Очень часто возникают ситуации, что удалить вирус-вымогатель и загрузить зараженную операционную систему не удается. Все способы разблокировки Windows бессильны, коды получения доступа не работают. В таком случае удалить sms-вирус можно с помощью программы RegEdit загрузив компьютер с Live CD.
Наши действия при таком раскладе событий будут следующие — ищем с другого компьютера и скачиваем образ любого Live CD, например ERD Commander 2005, благо на сегодняшний день в интернете доступно большое множество образов таких дисков и записываем образ на CD/DVD диск или на флешку. Инструкции как правильно записать образ и сделать Live CD так же можно поискать на сайте с которого вы скачали образ. Перезагружаем компьютер и если в BIOS компьютера правильно выставлена загрузка с CD/DVD или USB (в случае если вы сделали LiveCD на флешке) загружаемся с Live CD.
Загрузив компьютер с LiveCD, нам необходимо запустить стандартное средство Windows для редактирования реестра — программу regedit.exe (в некоторых версиях диска ERD Commander вместо regedit.exe при появлении ошибки «Regedit.exe and Regedt32.exe have been configured to not run under MSDaRT.Please use ErdRegedit.exe instead» запускайте ErdRegedit.exe) и отредактировать ключи реестра измененные вирусами-вымогателями. Для этого нажимаем кнопку «Пуск» -> Выбираем пункт меню «Выполнить» -> В окне «Запуск программы» набираем с клавиатуры regedit -> нажимаем кнопку «Ок».
Так как нам необходимо отредактировать реестр Вашего компьютера, а не диска LiveCD, в левой части окна Редактора реестра выделяем ветку HKEY_USERS. Находим меню «Файл» -> «Загрузить куст…»
В открывшемся окне «Загрузить куст» переходим в директорию C:\Windows\System32\Config\, где C: — буква диска, на который у вас установлена Windows. В зависимости от того какая ветвь реестра нуждается в редактировании выбираем в папке Config соответствующий куст. Например, если необходимо редактировать ветвь HKLM\SOFTWARE, выбераем в папке Config куст SOFTWARE и нажиаем «Открыть», но имейте ввиду, что куст может быть и любой другой (DEFAULT, SAM, SECURITY или SYSTEM).
Далее, вводим любое имя для загружаемого раздела и работаем с появившейся в HKEY_USERS веткой, это и есть куст SOFTWARE зараженного компьютера.
Как правило, вирусы-блокеры изменяют несколько параметров реестра, что мешает нормальной загрузке Windows. Поэтому удаление вирусов сводится к восстановлению ключей реестра и физическому удалению исполняемых файлов вируса которые прописаны в измененном параметре.
Найдите в реестре ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр:
userinit
Значение параметра должно быть:
с:\windows\system32\userinit.exe
где, «c:\» диск на который установлена Windows. Если значение параметра после буквы диска отличается, исправляем на вышеуказанный.
Параметр:
shell
Значение параметра должно быть:
Explorer.exe
Если значение параметра отличается, тоже исправляем.
После того, как закончите редактирование реестра, обязательно следует выгрузить куст, для этого нужно выделить ветку которую Вы создали, затем — меню Файл > «Выгрузить куст».
Перезагружаем компьютер в обычном режиме.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
Оставьте Ваш Отзыв:
Отзывов (33) на “Как удалить sms-вирус или вирус-вымогатель загрузившись с Live CD”Я убил его так. Просто перезагрузился в безопасном режиме, через Выполнить команду msconfig. Во вкладке Автозапуск убрал галочки с подозрительных объектов, перезагрузился уже в нормальном режиме. блокировщик не загружается. Потом опять через ту же команду смотрим где он находится и удаляем, ну как угодно дальше, через regedit можно удалить этот созданный вирусом путь если он раздражает))))
Помог больше чем каспер и др веб вместевзятые))
Все СМС Трояны удаляются очень легко, на примере (Windows 7):
1.Перезагружаем компьютер в Безопасном режиме с командной строкой
2.Вылезает черное окошко, в котором набираем Regedit
3.Далее набираем функцию Explorer ( появляется рабочий стол)
4.Заходим в Мой Компьютер=> Диск С=> Пользователи=>выбираем свою учетную запись которой пользуетесь (у меня она Сергей) и ищите там файл что то вроде этого 0.03536666533344 (вот это и есть вирус)…удаляете его !!!
5. Далее стрелочкой назад возвращаетесь в предыдущее меню, ищите файл ОБЩИЕ=> мои док-ты и удаляете там тоже этот файл если он есть !!!!
Далее очищаете корзину и перезагружаете компьютер!!
Все работатет
НЕ помогло. типа удаляет , но через пару сек снова блокирует,где еще может сидеть копия?
Огромное спасибо за мануал! Пришлось поменть только шелл с ms.exe на explorer.exe. Загрузка с Hiren’s Booot CD и запуск Small Windows XP.
Это конечно очень весело, но хочу спросить, а переустановка винды в этом деле не поможет?
Поможет.
Добрый день! Господа, при загрузке куста выдает, что фаил софтвар используется другим процессом. Что делать?, пжл помогите!
Все дело в том, что таких вирусов бывает 3 типа и от каждого своё лечение.
1-ых тип.Обратите внимание на время возникновения окна.. Если оно возникает сразу после пот-скрин (самотестирование компьютера на наличие необходимых для запуска компонентов) вирус в загрузочном секторе..
2-ой тип Окно вируса возникает после появления окна виндоус(на заднем фоне как правило всплывают окна — обнаружено новое устройство) Этот вирус прописан в загрузчик оси.
3-й тип (самый коварный) при попытке загрузится с какого-либо live cd компьютер не видит винчестера.
Чаще всего вирусы и правда находятся в папке временных файлов из интернета temp. На практике лучший способ скачать HBCD, загрузить с него мини windows xp, в нем есть инструмент regedit, стоит только указать имя диска, с которого необходимо загрузить реестр. Как правило имя таких вирусов примерно 0.45345.exe или 0.exe, если не шарите в реестре можно в мини виндоус просто открыть проводник-поиск и вбить *.*exe — вам поисковик найдет все экзешные файлы, среди которых можно по имени вычислить вирус. Если в загрузочном секторе fixmbr вам в помощь..))
«1-ых тип.Обратите внимание на время возникновения окна.. Если оно возникает сразу после пост-скрин (самотестирование компьютера на наличие необходимых для запуска компонентов) вирус в загрузочном секторе..»
Я избавился от этого типа вируса следующем образом:
C LiveBootCD загрузил ДискЕдитор — в MBR секторе (Редактор-Физические секторы… Сектор 0, Цилиндр 0, Головка 0, Сектор 1… ТОЛЬКО НИЧЕГО НЕ ПРАВЬТЕ И НЕ СОХРАНЯЙТЕ ЭТО!!! если не разбираетесь… Просто посмотрите 1-й сектор..) Там есть код, который требуется ввести. В моем случае это был 00949848… Вирусяка сам переписал нормальный MBR на место. Винда грузится…
View all comments