четверг, 27 июня 2013 г.

Как удалить блокировщик компьютера.

Как удалить блокировщик компьютера.

Наверное большинство хоть раз да сталкивались с ситуацией, когда полазив в Интернете, после выключения или перезагрузки компьютера на весь экран появляется окно, что так и так вы смотрели запрещенное видео и теперь необходимо перечислить деньги на такой-то счет, чтобы разблокировать ваш компьютер. В этой статье я расскажу, что делать в таких ситуациях.
Изначально у вас есть два варианта, если не хотите заморачиваться или не очень хорошо владеете компьютером то лучше отнести в мастерскую, но если вы все же решили сами удалить то используйте инструкции ниже.
Итак теперь в зависимости от ситуации у вас есть несколько вариантов как удалить эту гадость.

Внимание: здесь я использую путь к профилям пользователя C:\Documents and  Settings\имя_пользователя, в Windows 7 - это будет C:\Users\имя_пользователя или
C:\Пользователи\имя_пользователя.

1) Если заставка появляется после входа пользователя в систему, и у вас есть второй пользователь, либо ПК находится в домене. То можно зайти под вторым пользователем и сделать следующее:
  • Открыть редактор реестра "Пуск"-"Выполнить" - набрать "regedit" и перейти по пути HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\
    Run     Теперь справа смотрим, что у нас загружается. Обычно нормальные программы лежат в C:\Program Files. Далее интуитивно смотрим что может подгружаться нехорошее. Обычно эти программы блокировщики запускаются из C:\Documents and Settings\fine\Local Settings\Application Data\Temp, C:\Documents and Settings\fine\Local Settings\Temp, C:\Documents and Settings\fine\Local Settings\Temporary Internet Files. А также из всевозможных кэшей браузеров Opera, Mozzila C:\Documents and Settings\fine\Local Settings\Application Data\Opera\Opera\cache, C:\Documents and Settings\fine\Local Settings\Application Data\Mozilla\Firefox\Mozilla Firefox. Если вы видете такие пути в парвой части, то поудаляйте их.
  • Также желательно посмотреть и в msconfig что запускается "Пуск" - "Выполнить" - набрать "msconfig". Далее переходим на вкладку Автозагрузка и удалем все подозрительное
  •  
  • Также желательно посмотреть ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 
  • Смотрим чтобы в параметре userinit (справа) было приписано только C:\WINDOWS\system32\userinit.exe, если что то еще дописанно, то удаляем все после запятой.
  • Теперь заглянем в HKEY_USERS там хранятся разделы пользователей вида HKEY_USERS\S-1-5-21-4018674825-1258533506-2672092813-1191 теперь также полазим по этим профилям в разделы    
HKEY_USERS\S-1-5-21-4018674825-1258533506-2672092813-1191\Software\Microsoft\Windows\CurrentVersion\Run

 HKEY_USERS\S-1-5-21-4018674825-1258533506-2672092813-1191\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. И как я выше описал также из Run поудаляем все ненужное. И посмотрим чтобы в Winlogon справа вообще не было параметра userinit.
S-1-5-21-4018674825-1258533506-2672092813-1191 - эта строка отличается на каждом компьютере, поэтому у вас она может назваться по другому.

  • Теперь вспомним когда мы могли заразиться и поищем в C:\Documents and Settings\ всякие подозрительные файлы. Для этого заходим в
    C:\Documents and Settings\  и нажимаем поиск далее в меню выбираем "Когда были произведены последние изменения?" и выбираем интервал когда предположительно мы заразились











 Далее смотрим чтобы не было всяких програм и выполняемы файлов по седующим путям C:\Documents and Settings\fine\Local Settings\Application Data\Temp, 
 C:\Documents and Settings\fine\Local Settings\Temp, 
C:\Documents and Settings\fine\Local Settings\Temporary Internet Files.
А также из всевозможных кэшей браузеров Opera, Mozzila
C:\Documents and Settings\fine\Local Settings\Application Data\Opera\Opera\cache, C:\Documents and Settings\fine\Local Settings\Application Data\Mozilla\Firefox\Mozilla Firefox
Если есть удаляем, также полностью почистите папки
C:\Documents and Settings\fine\Local Settings\Temporary Internet Files  во всех профилях пользователей, где fine - это имя вашего пользователя.



2) Теперь для тех у кого нет второго пользователя.

Я пользовался таким вариантом. Итак идем на http://www.hirensbootcd.org/download/ и скачиваем бесплатный загрузочный диск HirensBoot CD.
В Bios выставляем загрузку с CD-ROM (DVD-ROM) и в меню выбираем Mini Windows XP. Когда загрузимся тут у нас будет только один вариант установить дату заражения и как я писал выше поиском найти созданные файлы в этот период. Заходим C:\Documents and Settings\  и нажимаем поиск далее в меню выбираем "Когда были произведены последние изменения?" и выбираем интервал когда предположительно мы заразились. И также как я выше описал удаляем подозрительные файлы в указанных выше папках. И не забываем
полностью почистить папки
C:\Documents and Settings\fine\Local Settings\Temporary Internet Files  во всех профилях пользователей, где fine - это имя вашего пользователя.
на

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)