Удаление трояна Trojan.Winlock.3300
Столкнулся на днях с Trojan.Winlock.3300. Кодов на этот блокировщик как и на Trojan.Winlock.3278 не предусмотрено создателем. Разблокировать данный троян можно только вручную. Разблокировка схожа с Trojan.Winlock.3278.
Что делает этот троян
Троян, как правило, на место C:\Windows\System32\userinit.exe помещает свою копию. Так как userinit.exe всегда грузиться при старте ОС Windows - заражение обеспечено. Троян также подменяет своей копией C:\Windows\System32\taskmgr.exe.
Копирует себя в каталог C:\Documents and Settings\All Users\Application Data\22CC6C32.exe.
В каталоге C:\Documents and Settings\All Users\Application Data возможна еще одна копия этого файла, но уже с другим именем, например, lvFPZ9jtDNX.exe или yyyy21.exe.
Прописывается в следующей ветке реестра:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Подготовка к удалению
Нам потребуется:
- два файла (под вашу операционную систему) - taskmgr.exe и userinit.exe. Их можно скачать из Интернета или взять с другой машины;
- LiveCD или загрузочная USB-флешка.
Удаление трояна
Загрузитесь с LiveCD или загрузочной USB-флешки. Загрузившись, скопируйте с заменой файлы taskmgr.exe и userinit.exe в следующие каталоги:
C:\Windows\System32\
C:\Windows\System32\dllcache\
Далее в каталоге
C:\Documents and Settings\All Users\Application Data\
удалите вирус 22CC6C32.exe. Если есть ещё один похожий exe-файл рядом с этим вирусом - его тоже удаляем.
Отредактируйте ветку реестра
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
заменив значение с
Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"
на
Shell="Explorer.exe"
Перезагрузите компьютер.
После перезагрузки рекомендую скачать лечащую утилиту CureIt! и проверить всю систему на наличие вирусов.