Как оказалось, этот троян очень неплохо приспосабливается. Поэтому недостаточно только лишь избавиться от навязчивого окошка, требующего от вас отправки платного смс. После тех манипуляций, что описаны в прошлой статье, мы кое-как добрались до зараженной системы. Наверное, уже успели скопировать все, что нужно. И вроде бы можно спокойно переустановить Windows. Но не спешите ставить на ней крест. Потерпевшую систему вполне еще можно выходить и продолжать пользоваться ей, как ни в чем не бывало.
Иными словами, запуск системы еще не означает окончательную победу над вирусом. Он все еще там. И возможны рецидивы (в виде ненавистного окошка). Чтобы избежать их подготовимся к лечению. Понадобятся несколько утилит: RegCleaner, Касперский Removal Tool, Dr. Web Cureit, RemoveIT, Plstfix, ATF Cleaner. Из них потребуется установить только Remove IT. Остальные можно будет запустить хоть с внешнего носителя, хоть с жесткого диска. Доступа в интернет во время лечения нужно избегать. Разве что, позднее потребуется только один раз обновить антивирус. Но это позднее.
Удаляем из системы все записи о вирусе
Включаем RegCleaner. В меню программы поочередно открываем «Задачи», «Запуск редактора реестра». В реестре нужно пройти по следующему пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Здесь находится раздел под названием «shell». Он должен иметь значение «explorer.exe». Любые другие значения нужно поправить. То же касается и раздела «userinit». Его стандартное значение:
C:\WINDOWS\system32\userinit.exe.
Редактор реестра больше не понадобится. А RegCleaner еще послужит. В нем же открываем вкладку «Автозагрузка». В этом списке будут указаны программы, которые постоянно включаются вместе с запуском Windows. Внимательно знакомимся с каждой из них. Все приложения отличные от desktop и ctfmon.exe нужно удалить. После чего в меню RegCleaner проходим через Задачи – Очистка реестра – Задействовать все варианты. Какое-то время займет сканирование реестра. Все, что будет найдено – удалить.
Ищем вредоносный код
И тоже удаляем. Для этого потребуются утилиты со свежими антивирусными базами: Касперский, Dr. Web и наше главное оружие — Remove IT. Если с первым и вторым все более или менее понятно. Давно зарекомендовавшие себя антивирусы. Несмотря на все их заслуги, надо признать, что в борьбе с трояном winlock оба они – далеко не номер один. Куда лучше с данным вирусом справится Remove IT. Хороший платный антивирус с нестандартным алгоритмом поиска троянов. Однако первые тридцать дней им можно пользоваться бесплатно. И этого будет вполне достаточно. При первом запуске Remove IT потребует обновления вирусных баз. На время обновления зараженный компьютер нужно подключить к интернету и не забыть потом снова отключить.
Когда все антивирусы будут готовы к работе, поочередно сканируем диск, на котором стоит Windows и удаляем все, что будет обнаржуено. Для надежности можно просканировать и остальные диски. Как только проверка закончится, запускаем утилиту Plstfix. Она починит реестр после варварского копания в нем.
Избавляемся от временных файлов
Слишком часто вирусы скрываются во временных директориях даже после проверки антивирусной программой. Ради собственного же спокойствия их лучше удалить. Для этого воспользуемся подготовленной заранее утилитой ATF Cleaner.
После перезагрузки система будет работать даже лучше, чем раньше. Но до того как праздновать окончательную победу, надо бы подобрать надежный замок, который winlock не сможет больше взломать. Именно об этом поговорим в следующий раз.