Обсуждение рецептов против sms-вымогателей
- Автор темы Alex56
- Дата начала
- Сообщения
- 14,053
- Решения
- 1
- Реакции
- 5,745
пишу в расчете на эту тему
https://safezone.cc/forum/showthread.php?t=3019
Итак,мы заразились баннером.
Это разновидность винлокера ,который подменяет в параметрах реестра вместо системной оболочки загрузку своей.
Снимем его легко и быстро.
Перезагружаем компьютер -можно кнопкой на системнике,далее удерживаем клавишу f8 после чего должно появиться меню выбора дополнительных параметров загрузки:
Мы должны выбрать вариант загрузки с поддержкой командной строки.
Почему?
Потому что система загрузится в консольном режиме без загрузки оболочки и мы сможем удалить вирус.
Сделаем это.
Загрузившись в режиме командной строки мы видим такую картинку:
Вот теперь убьем винлокер!
Для начала давайте посмотрим куда он прописан в автозагрузку.
Введем команду
и в открывшемся окне выберем вкладку автозагрузка.
Там мы увидим элементы автозагрузки.
В нашем случае подозрение вызывает запись shell.exe.
Внимательно посмотрев место ,откуда запускается фаил и путь в реестре где этот файл прописан вызываем диспетчер задач командой
В появившемся окне нажимаем файл -новая задача.
Не забываем ставить галочку создать задачу с правами администратора!
И вводим в поле поиска путь к вирусу,который мы посмотрели ранее в окне автозагрузки msconfig.
Нажимаем ОК и попадаем прямо в папку с вирусом,далее просто удаляем его.
Если не получается удалить -меняем на название вируса на название расширением .тхт (например вирь.тхт) а потом удаляем.
Дальше вызываем редактор реестра командой
И переходим в раздел,название которого мы посмотрим так же во вкладке автозагрузка вызвав утилиту msconfig.
В нашем случае это
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
И удаляем все записи автозагрузки вируса.
Вот и все!
Вирус убит,все сделали своими руками не имея никаких вспомогательных инструментов.
В следующий раз будем убивать винлок посложнее -mbr.
Наш результат:
Далее запускаем утилиту очитска диска и удаляем временные файлы,кэш и так далее.
Надеюсь кому нибудь пригодится!
https://safezone.cc/forum/showthread.php?t=3019
Итак,мы заразились баннером.
Это разновидность винлокера ,который подменяет в параметрах реестра вместо системной оболочки загрузку своей.
Снимем его легко и быстро.
Перезагружаем компьютер -можно кнопкой на системнике,далее удерживаем клавишу f8 после чего должно появиться меню выбора дополнительных параметров загрузки:
Мы должны выбрать вариант загрузки с поддержкой командной строки.
Почему?
Потому что система загрузится в консольном режиме без загрузки оболочки и мы сможем удалить вирус.
Сделаем это.
Загрузившись в режиме командной строки мы видим такую картинку:
Вот теперь убьем винлокер!
Для начала давайте посмотрим куда он прописан в автозагрузку.
Введем команду
Код:
msconfigТам мы увидим элементы автозагрузки.
В нашем случае подозрение вызывает запись shell.exe.
Внимательно посмотрев место ,откуда запускается фаил и путь в реестре где этот файл прописан вызываем диспетчер задач командой
Код:
taskmgrНе забываем ставить галочку создать задачу с правами администратора!
И вводим в поле поиска путь к вирусу,который мы посмотрели ранее в окне автозагрузки msconfig.
Нажимаем ОК и попадаем прямо в папку с вирусом,далее просто удаляем его.
Если не получается удалить -меняем на название вируса на название расширением .тхт (например вирь.тхт) а потом удаляем.
Дальше вызываем редактор реестра командой
Код:
regeditВ нашем случае это
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
И удаляем все записи автозагрузки вируса.
Вот и все!
Вирус убит,все сделали своими руками не имея никаких вспомогательных инструментов.
В следующий раз будем убивать винлок посложнее -mbr.
Наш результат:
Далее запускаем утилиту очитска диска и удаляем временные файлы,кэш и так далее.
Надеюсь кому нибудь пригодится!
Последнее редактирование:
