trojan winlock.xxx

31|01|2010

никогда не сталкивался с интернет заразой так плотно.
её модификаций столько что основные антивирусные компании не в состоянии своевременно обновлять базы сигнатур, а про распространение их по антивирусам пользователей говорить не приходится.
в общем так. если вы включили компьютер, а у вас вместо рабочего стола появилась какая-то гадость с не самым приятным дизайном, или на рабочем столе поверх всех окон вылез какой-нить всезнающий Internet Security. Делайте так:
загружайтесь с Live CD, заимев желательно свежий Cure It! (его можно скачать вот тут например), главное добраться до windows установленной на вашем копьютере, потом
1. Из папки c:\documents and settings\all users\application data удалить файлы blocker.exe и blocker.bin – это вирус Trojan.Winlock
2. Из папки %win root%\system32 удалить файлы servises.exe и servises.dll – это вирус Trojan-Downloader. Внимание! Не удалите случайно очень важный и похожий по имени файл services.exe!
3. Удалить все содержимое папки c:\documents and settings\%user%\Local Settings\Temp – там вторая часть Trojan-Downloader
*ещё я бы рекомендовал поудалять интернет кэш из браузеров, в Opera AC например C:\Program Files\Opera AC 3.7\profile\cache
4. Можно перезапустить больной комп, он позволит войти
5. Запускаем программу Regedit (Пуск->Выполнить->regedit.exe), и удаляем остатки “праздника” из регистра:
5.1. В разделе HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run удалить ключ запуска “servises.exe”
5.2. В разделе HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
найти ключ “C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe” и убрать лишнее, то есть должно быть так: “C:\\WINDOWS\\system32\\userinit.exe”
взято из этого журнала http://akasoft.livejournal.com/