AntiWinLocker - чистка і виведення системи з ауту

1. Спочатку чистимо систему AntiWinLocker. У ній все просто - використовуємо автоматичний режим. Якщо виявлена ​​підміна системних файлів - виправляємо їх. Швидше за все, вірус виявлений і ліквідований, але на цьому зупинятися не варто.
2. Запускаємо SysInternals Autoruns, в ній аналізуємо закладку "Вхід у систему" (тобто, те, що запускається при старті вінди). Особливу увагу звертаємо на "Видавець" і "Шлях до файлу" - якщо видавець невідомий (незнайомий), а шлях до файлу - ТЕМР-овий каталог або ім'я / шлях до файлу не відповідають системним - це тривожний дзвіночок. Поки нічого не робимо.
3. Запускаємо файл-менеджер (FAR / TC), заходимо в каталог вінди (спочатку C: \ Windows, потім C: \ WINDOWS \ system32), сортуємо файли за часом створення (Ctrl + F5) - вгорі будуть останні. Шукаємо все *. Exe *. Dll за останній час (оскільки порнобанер блокує запуск вінди, то саме його файли можуть бути "останніми").
4. Звіряємо інфу SysInternals Autoruns і імена з системного каталогу, наявність файлу в автозапуску і свіжа дата - ознака шуканого порно-баннета. Можна відразу видалити і файл, і гілку його запуску, або для перестраховки перейменувати файл і зняти галочку його запуску в SysInternals Autoruns.
5. Якщо в SysInternals Autoruns є запуск файлів з ТЕМР-ових каталогів користувача, System Volume Information або RECYCLER - це 100%-но порнобанер або вірус, чинимо аналогічно п.5.
6. Закриваємо SysInternals Autoruns і файл-менеджер. Після виконаних операцій вірус, швидше за все, видалений. Але, щоб запобігти повторному зараженню, потрібно з допомогою CCleaner (розділ "Системні утиліти") повністю очистити ТЕМР-ові файли і кеши браузерів.
7. Останній штрих - запускаємо антивірус Зайцева (розділ "Антивірусні утиліти"), в ньому вибрати Файл-> Відновлення системи, відзначаємо за смаком (я вибираю все, крім п.18-Повне перестворення налаштувань SPI), "Виконати зазначені операції". Це дозволить очистити перенаправлення запитів браузерів на заражену сторінку, розблокує реєстр і захищений режим, і т.д.
8. За бажанням - перевірити комп на віруси за допомогою Касперського (швидше) або Вебера (довше). Блокери антивіруси не лікують.
Все. Можна перезавантажуватися і перевіряти. Якщо файли не видалялися, можна їх відіслати на перевірку в Virustotal.com, остаточно видалити файли локера і його записи в реєстрі (за допомогою SysInternals Autoruns). Для запобігання зараження рекомендується встановити FireWall або антивірус.
...
Інший різновид порнобанер, який активується відразу після запуску ПК з HDD. Він прописується в MBR / PBR, швидко лікується за допомогою BootICE (SV-MicroPE 2k10 PlusPack CD/USB/HDD v.2.5.1) (Programs-2k10 \ Flash-Utilites \ BootICE \ BootICE.exe). Вибрати розділ з ОС, Process MBR -> Windows NT 5.x MBR (для Windows 2000/XP/2003) або Windows NT 6.x MBR (для Windows Vista / 7) -> Install/Config-> OK.
Потім Process PBR -> Вибрати розділ з ОС-> NTLDR ... (Для Windows 2000/XP/2003) або BOOTMGR (для Windows Vista / 7) -> Install / Config (нічого не міняємо) -> OK. Звернення до диска з ОС (файловий менеджер, провідник, інше) повинні бути відсутніми (можуть викликати помилку поновлення PBR, тоді закрити програми, повторити).
Також його можна вилікувати за допомогою установочного диска Windows (або диска відновлення). Завантажуємося, чекаємо момент, де нам запропонують зробити вибір і тиснемо "R" (запустити режим відновлення). Вибираємо Windows для відновлення і консолі вводимо команду FIXMBR (виправлення MBR), підтверджуємо, і вводимо FIXBOOT. Потім EXIT і завантажуємося в звичайному режимі! Для Vista / 7 ці команди, відповідно BOOTREC / FIXMBR і BOOTREC / FIXBOOT.

джерело: SV-MicroPE 2k10 PlusPack CD/USB/HDD v.2.5.1