В предыдущей статье я рассказал как избавиться от нового вируса-вымогателя, блокирующего компьютер на Windows XP. Буквально сегодня принесли ноутбук с таким-же вирусом, правда у этого аппетиты скромнее - просит не 500, а 400 рублей так называемых "штрафов".
Собственно, под Windows 7 действие вируса немного проще. По всей видимости в семерке переписать файл в системной папке C:\Windows\system32 ему не под силу. В результате алгоритм лечения немного изменился.
Сам вирус, вместе со своей копией сидит тут:
C:/program data/22CC6C32.exe
C:/program data/rHXcsHXdsIX.exe
Без особых церемоний удаляйте эти файлы. Полагаю, нет смысла снова говорить о том, что все действия выполняются после загрузки с Live CD или флешки. Далее очередь за уже известной веткой реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Как видите для редактирования я использую ERD Commander. Очень удобно - сначала указываете директорию, в которой у вас установлен Windows, а затем просто запускаете Registry Editor из состава ERD Commander. Реестр больной системы он подключит сам.
Параметр Shell исправляем на explorer.exe
Параметр Userinit (на картинке не уместился) исправляем на C:\WINDOWS\system32\userinit.exe
Господам из Мелкософт может уже пора подумать как защитить данную ветку от изменений? А то столько кричат о безопасности их систем, что с каждой новой версией достигают неимоверных высот в этой области, а элементарные правила или предупреждения реализовать не в силах. Неаккуратненько как-то...