июл
28
Удаление winlocker с помощью AVZ
Перед началом описания методики удаления вымогателя с компьтера стоит уделить внимание способу запуска самой утилиты AVZ. Здесь у нас может быть ровно два варианта:
- Мы имеем возможность загрузить зараженную машину либо в «Защищенный режим», либо в «Защищенный с поддрежкой комендной строки». В последнем случаем для запуска утилиты еще необходимо из командной строки запустить explorer
- Худший вариант, мы полностью потеряли контроль над зараженной машиной. Тогда загружаемся с чего-нибудь (Live CD, USB, да что угодно) и если в этом загрузочном комплекте вдруг не оказалось готовой утилиты, тогда запускаем AVZ через bat-файл командой RunScanner.exe /xs /y /t 0 Avz.exe, предварительно скачав и распаковав вот этот архив в папку с утилитой AVZ. В этом случае перед началом будет выдан запрос, от какого пользователя будем работать с реестром.

И так, утилита AVZ запущена, и уже настроена для работы с нужной нам копией реестра, начинам чистку:
- После того, как запустили утилиту AVZ, выбираем в меню «Файл» пункт «Восстановление системы».
В открытом в результате окошке ставим галочки везде, кроме нескольких пуктов:
Вoсстановление настроек загрузки SafeMode (нужен только при полной потере контроля над компьтером);
Автoматическое исправление настроек SPl/LSP;
Сбрoс настрoек SPI/LSP и TCP/IP (XP+);
Полнoе пересоздание настроек SPI;
Заменить DNS всех пoдключений на Google DNS; Жмем кнопочку с надписью «Выполнить отмеченные операции». - Теперь-же избавимся от лишнего автозапуска. Направляемся в меню «Сервис» пункт «Менеджер автозапуска».
Здесь алгоритм действий по Вашену усмотрению, следует только учесть что здесь, как и в других списках, утилита AVZ старается помочь,
выделяя цветом различные строчки.
- Зеленый - это скорее всего нужное и безопасное
- Черный - утилита AVZ похоже ничего не знает об этом объекте
- Красный - почти на 100% какая-то зараза
- Следующий на очереди меню «Сервис» и его пункт «Менеджер Active Setup». Здесь все просто: зеленое - не трогаем, черное - на Ваше усмотрение и красное - убираем галки.
- Меню «Сервис» с пунктом «Менеджер расширений проводника». Только зеленые оставляем галочки, остальные снимаем.
- В меню «Сервис» пункт «Менеджер расширений IE» вообще не церемонимся, убиваем всех, нажатием кнопочки с крестиком.
- Переходим к меню «Файл» пункту «Мастер пoиска и устранения прoблем». Здесь устанавливаем для «степени опасности» режим «Все проблемы». Затем поочередно выбираем каждый пункт из раздела «Категория проблемы», нажимаем кнопочку «Пуск» и проанализировав результат нажимаем кнопочку «Исправить отмеченные проблемы»
- Для зачистки реестра можно выполнить следующий скрипт, используя меню «Файл» пункт «Выполнить скрипт»:
begin
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
end.
Все. Перегружаемся и обязательно делаем проверку хорошим антивирусом.
P.S.
Еще немного о других «заразах», не компьютерных. Гонит – пакость вызывающая воспаление сустава в колене. Ох уж эти суставы…