Удаляем смс вирус Trojan.Winlock.3252


Внимание! Если, после прочтения данной статьи у вас возникли какие-либо вопросы — создавайте тему на моем форуме и я проконсультирую Вас пошагово абсолютно бесплатно! Если потребуется платный выезд мастера по Москве — звоните по телефону 8926 10 65432.
Вчера, 25 апреля 2011 года мне на ремонт принесли ноутбук, зараженный смс вирусом (смс баннером) Trojan.Winlock.3252. Вирус требовал перевести на телефонный номер мтс 8911-757-25-04 сумму в размере 400 рублей. Так как это 100% обман, я принялся удалять данный вирус, но на этот раз все оказалось немного сложнее. О том как самому разблокировать компьютер и удалить смс баннер и пойдет речь в данной статье.

Заявленная неисправность

При включении компьютерна появляется смс баннер с надписью — Ваш компьютер заблокирован за просмотр копирование и тиражирование материалов… Для снятия блокировки вам необходимо оплатить штраф в размере 400 рублей на номер телефона МТС 8911-757-25-04.

Описание и пути решения проблемы

Это еще одна свежая модификация смс вируса. Ни в коем случае не переводите деньги на указанный номер телефона, так как вы попадетесь «на удочку мошенникам». Это вирус и нужно удалять.

Порядок действий при удалении смс баннера:

Загрузка в безопасном режиме нам не помогает, так как компьютер полностью блокируется. Поэтому для физического доступа к системе придется испльзовать загрузочный диск, вручную править реестр и удалять ненужные файлы.

  • загрузиться с любого загрузочного диска. Как записать образ на диск читаем здесь.
  • проверить нет ли на рабочем столе файла test.exe Если есть — удалить
  • зайти по указанному пути X:\Documents and Settings\All Users\Application Data и удалить файл с названием 22CC6C32.exe
  • зайти в раздел реестра (команда regedit) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  • значение параметра Shell исправить на значение explorer.exe
  • значение параметра Userinit исправить на значение C:\WINDOWS\system32\userinit.exe, (не забудьте про запятую в конце строки)
  • в реестре через поиск найти упоминание файла названием 22CC6C32.exe — удалить эти строки
компьютер заболкирован
Данный вирус переименовывает и заменяет системый файл userinit.exe в папке WINDOWS\system32 на файл вируса с таким же именем. Поэтому нужно проделать следующее:
  • Копируем файл userinit.exe из папки X:\WINDOWS\system32 в любое другое место(делаем резервную копию)
  • Затем удаляем файл userinit.exe из папки X:\WINDOWS\system32
  • Находим в этой же папке файл 03014D3F.exe и переименовываем его в userinit.exe
  • Перезагружаем компьютер

Данный способ проверен лично мной при ремонте компьютера клиента, вирус был успешно удален. Также этот метод может сработать при удалении смс вирусов со следующими телефонными номерам:

  • 8-987-907-21-98
  • 8-911-728-24-49
  • 8-911-757-18-97
  • 8-911-273-64-38
  • 8-911-757-25-04
  • 8-911-757-19-95

Если Вы столкнулись с проблемой, когда появляется сообщение о том, что «компьютер заблокирован» — данная статья поможет Вам ее решить. Также у меня Вы можете заказать услугу удаление смс баннеров с выездом на дом и ознакомиться с полным спектром услуг компьютерной помощи.
http://www.evgeniystepanov.ru/komputer-zablokirovan.php