Як виявилося, цей троян дуже непогано пристосовується. Тому недостатньо лише позбутися нав'язливого віконця, що вимагає від вас відправки платного смс. Після тих маніпуляцій, що описані в минулому статті , Ми абияк добралися до зараженої системи. Напевно, вже встигли скопіювати всі, що потрібно. І начебто можна спокійно перевстановити Windows. Але не поспішайте ставити на ній хрест. Потерпілу систему цілком ще можна виходити і продовжувати користуватися нею, як ні в чому не бувало.
Іншими словами, запуск системи ще не означає остаточну перемогу над вірусом. Він все ще там. І можливі рецидиви (у вигляді ненависного віконця). Щоб уникнути їх підготуємося до лікування. Знадобляться кілька утиліт: RegCleaner, Касперський Removal Tool, Dr. Web Cureit, RemoveIT, Plstfix, ATF Cleaner. З них потрібно встановити тільки Remove IT. Решта можна буде запустити хоч з зовнішнього носія, хоч з жорсткого диска. Доступу в інтернет під час лікування потрібно уникати. Хіба що, пізніше буде потрібно тільки один раз оновити антивірус. Але це пізніше.
Видаляємо з системи всі записи про вірус
Включаємо RegCleaner. У меню програми по черзі відкриваємо «Завдання», «Запуск редактора реєстру». У реєстрі потрібно пройти за наступним шляхом:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.
Тут знаходиться розділ під назвою «shell». Він повинен мати значення «explorer.exe». Будь-які інші значення потрібно привести. Те ж стосується і розділу «userinit». Його стандартне значення:
C: \ WINDOWS \ system32 \ userinit.exe.
Редактор реєстру більше не знадобиться. А RegCleaner ще послужить. У ньому ж відкриваємо вкладку «Автозавантаження». У цьому списку будуть вказані програми, які постійно включаються разом з запуском Windows. Уважно знайомимося з кожної з них. Всі додатки відмінні від desktop і ctfmon.exe потрібно видалити. Після чого в меню RegCleaner проходимо через Завдання - Очищення реєстру - Задіяти всі варіанти. Якийсь час займе сканування реєстру. Все, що буде знайдено - видалити.
Шукаємо шкідливий код
І теж видаляємо. Для цього будуть потрібні утиліти зі свіжими антивірусними базами: Касперський, Dr. Web і наша головна зброя - Remove IT. Якщо з першим і другим все більш-менш зрозуміло. Давно зарекомендували себе антивіруси. Незважаючи на всі їхні заслуги, треба визнати, що в боротьбі з трояном winlock обидва вони - далеко не номер один. Куди краще з цим вірусом впорається Remove IT. Хороший платний антивірус з нестандартним алгоритмом пошуку троянів. Однак перші тридцять днів їм можна користуватися безкоштовно. І цього буде цілком достатньо. При першому запуску Remove IT зажадає оновлення вірусних баз. На час поновлення заражений комп'ютер потрібно підключити до інтернету і не забути потім знову відключити.
Коли всі антивіруси будуть готові до роботи, по черзі скануємо диск, на якому стоїть Windows і видаляємо все, що буде обнаржуено. Для надійності можна просканувати і інші диски. Як тільки перевірка закінчиться, запускаємо утиліту Plstfix. Вона полагодить реєстру після варварського копання в ньому.
Позбавляємося від тимчасових файлів
Занадто часто віруси ховаються в тимчасових директоріях навіть після перевірки антивірусною програмою. Заради власного ж спокою їх краще видалити. Для цього скористаємося підготовленої заздалегідь утилітою ATF Cleaner.
Після перезавантаження система буде працювати навіть краще, ніж раніше. Але до того як святкувати остаточну перемогу, треба б підібрати надійний замок, який winlock не зможе більше зламати. Саме про це поговоримо наступного разу.