Удаление трояна Trojan.Winlock.3300

Назад    Вниз

Столкнулся на днях с Trojan.Winlock.3300. Кодов на этот блокировщик как и на Trojan.Winlock.3278 не предусмотрено создателем. Разблокировать данный троян можно только вручную. Разблокировка схожа с Trojan.Winlock.3278.










Что делает этот троян

Троян, как правило, на место C:\Windows\System32\userinit.exe помещает свою копию. Так как userinit.exe всегда грузиться при старте ОС Windows - заражение обеспечено. Троян также подменяет своей копией C:\Windows\System32\taskmgr.exe.

Копирует себя в каталог C:\Documents and Settings\All Users\Application Data\22CC6C32.exe.

В каталоге C:\Documents and Settings\All Users\Application Data возможна еще одна копия этого файла, но уже с другим именем, например, lvFPZ9jtDNX.exe или yyyy21.exe.

Прописывается в следующей ветке реестра:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Подготовка к удалению

Нам потребуется:

  • два файла (под вашу операционную систему) - taskmgr.exe и userinit.exe. Их можно скачать из Интернета или взять с другой машины;
  • LiveCD или загрузочная USB-флешка.

Удаление трояна

Загрузитесь с LiveCD или загрузочной USB-флешки. Загрузившись, скопируйте с заменой файлы taskmgr.exe и userinit.exe в следующие каталоги:

C:\Windows\System32\
C:\Windows\System32\dllcache\

Далее в каталоге

C:\Documents and Settings\All Users\Application Data\

удалите вирус 22CC6C32.exe. Если есть ещё один похожий exe-файл рядом с этим вирусом - его тоже удаляем.

Отредактируйте ветку реестра

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

заменив значение с

Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"

на

Shell="Explorer.exe"









Перезагрузите компьютер.

После перезагрузки рекомендую скачать лечащую утилиту CureIt! и проверить всю систему на наличие вирусов.


Назад    Вверх