Удаление winlocker с помощью AVZ

Перед началом описания методики удаления вымогателя с компьтера стоит уделить внимание способу запуска самой утилиты AVZ. Здесь у нас может быть ровно два варианта:

• Мы имеем возможность загрузить зараженную машину либо в «Защищенный режим», либо в «Защищенный с поддрежкой комендной строки». В последнем случаем для запуска утилиты еще необходимо из командной строки запустить explorer
• Худший вариант, мы полностью потеряли контроль над зараженной машиной. Тогда загружаемся с чего-нибудь (Live CD, USB, да что угодно) и если в этом загрузочном комплекте вдруг не оказалось готовой утилиты, тогда запускаем AVZ через bat-файл командой RunScanner.exe /xs /y /t 0 Avz.exe, предварительно скачав и распаковав вот этот архив в папку с утилитой AVZ. В этом случае перед началом будет выдан запрос, от какого пользователя будем работать с реестром.

И так, утилита AVZ запущена, и уже настроена для работы с нужной нам копией реестра, начинам чистку:

• После того, как запустили утилиту AVZ, выбираем в меню «Файл» пункт «Восстановление системы». В открытом в результате окошке ставим галочки везде, кроме нескольких пуктов: Вoсстановление настроек загрузки SafeMode (нужен только при полной потере контроля над компьтером);
  Автoматическое исправление настроек SPl/LSP;
  Сбрoс настрoек SPI/LSP и TCP/IP (XP+);
  Полнoе пересоздание настроек SPI;
  Заменить DNS всех пoдключений на Google DNS; Жмем кнопочку с надписью «Выполнить отмеченные операции».
• Теперь-же избавимся от лишнего автозапуска. Направляемся в меню «Сервис» пункт «Менеджер автозапуска». Здесь алгоритм действий по Вашену усмотрению, следует только учесть что здесь, как и в других списках, утилита AVZ старается помочь, выделяя цветом различные строчки.
  • Зеленый - это скорее всего нужное и безопасное
  • Черный - утилита AVZ похоже ничего не знает об этом объекте
  • Красный - почти на 100% какая-то зараза
  Не нужные объекты автозапуска можно либо полностью удалить, либо просто убрав галочку, исключить из автозапуска.
• Следующий на очереди меню «Сервис» и его пункт «Менеджер Active Setup». Здесь все просто: зеленое - не трогаем, черное - на Ваше усмотрение и красное - убираем галки.
• Меню «Сервис» с пунктом «Менеджер расширений проводника». Только зеленые оставляем галочки, остальные снимаем.
• В меню «Сервис» пункт «Менеджер расширений IE» вообще не церемонимся, убиваем всех, нажатием кнопочки с крестиком.
• Переходим к меню «Файл» пункту «Мастер пoиска и устранения прoблем». Здесь устанавливаем для «степени опасности» режим «Все проблемы». Затем поочередно выбираем каждый пункт из раздела «Категория проблемы», нажимаем кнопочку «Пуск» и проанализировав результат нажимаем кнопочку «Исправить отмеченные проблемы»
• Для зачистки реестра можно выполнить следующий скрипт, используя меню «Файл» пункт «Выполнить скрипт»: begin
  RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
  RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
  RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
  RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
  end.

Все. Перегружаемся и обязательно делаем проверку хорошим антивирусом.

P.S.
Еще немного о других «заразах», не компьютерных. Гонит – пакость вызывающая воспаление сустава в колене. Ох уж эти суставы…