Удаление трояна Trojan.Winlock.3278
Кодов на этот блокировщик не предусмотрено создателем. Разблокировать данный троян можно только вручную.
Что делает этот троян
Троян, как правило, переименовывает файл C:\Windows\System32\userinit.exe в 03014D3F.exe или вообще его удаляет. Далее на место userinit.exe троян помещает свою копию, а так как userinit.exe всегда грузиться при старте ОС Windows - заражение обеспечено. Троян также подменяет следующие файлы:
C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\dllcache\userinit.exe
C:\Windows\System32\taskmgr.exe
Копирует себя в каталог C:\Documents and Settings\All Users\Application Data\22CC6C32.exe.
В каталоге C:\Documents and Settings\All Users\Application Data возможна еще одна копия этого файла, но уже с другим именем, например, lvFPZ9jtDNX.exe или yyyy21.exe.
Прописывается в следующей ветке реестра:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Подготовка
Нам потребуется:
- два файла (под вашу операционную систему) - taskmgr.exe и userinit.exe. Их можно скачать из Интернета или взять с другой машины;
- LiveCD или загрузочная USB-флешка.
Удаление
Загрузитесь с LiveCD или загрузочной USB-флешки. Загрузившись, скопируйте с заменой файлы taskmgr.exe и userinit.exe в следующие каталоги:
C:\Windows\System32\
C:\Windows\System32\dllcache\
Далее в каталоге
C:\Documents and Settings\All Users\Application Data\
удалите вирус 22CC6C32.exe. Если есть ещё один похожий exe-файл рядом с этим вирусом - его тоже удаляем.
Отредактируйте ветку реестра
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
заменив значение с
Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"
на
Shell="Explorer.exe"
Перезагрузите компьютер.
После перезагрузки рекомендую скачать лечащую утилиту CureIt! и проверить всю систему на наличие вирусов.