This page has been robot translated, sorry for typos if any. Original content here.

Virus Envoyer un SMS pour activer Vkontakte ou Windows - Comment guérir?

[Comment traiter correctement ( par la classification de Dr.Web )]

Apparence du virus:
(* Le texte et l'apparence peuvent être différents, en voici un exemple)




Symptômes:
- Le virus est activé, ou lorsque l'utilisateur essaie de démarrer le programme (tout fichier .exe), ou immédiatement après le démarrage de Windows.
- L'utilisateur se connectant au système peut être accompagné d'erreurs telles que:
- ["userinit.exe (rundll32.exe) - Erreur d'application ... La mémoire ne peut pas être écrite"]
- Le virus montre une bannière de contenu arbitraire (différent), qui occupe 70-80% du bureau de Windows.
- La bannière ne peut pas être minimisée / fermée, elle est placée au dessus de toutes les fenêtres du système d'exploitation.
- Pour "débloquer" le fonctionnement normal du système et arrêter l'affichage de la bannière, il est suggéré d'entrer le code de déverrouillage, pour lequel le virus nécessite de l'argent, en envoyant un SMS avec un code à un numéro court.

Attention (!) Les gens, soyez plus intelligent - en tout cas n'envoyez pas de SMS (!)


Méthode de traitement:
Pour un utilisateur techniquement non préparé, un PC qui, au mot «registre» frémit avec l'option la plus simple de tourner le contrôle du système, est déjà autant qu'un message SMS! Le moyen le plus simple de sortir de la situation est l'utilisation de codes générateurs-rozblokuvannya.

Service de désactivation des extenseurs-bloqueurs (c) de Kaspersky Lab
http://support.kaspersky.com/viruses/deblocker

Doctor Web vous aide à vous débarrasser du cheval de Troie bloquant l'accès au système
http://news.drweb.com/show/?i=304&c=9&p=0

Déverrouillage de Windows (c) ESET
http://esetnod32.ru/support/winlock.php

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

ATTENTION!

Si la bannière a disparu, cela ne signifie pas que le virus est complètement supprimé de votre système !!! Après un déverrouillage réussi, je vous recommande de vérifier immédiatement le système. Comment? Lisez les instructions appropriées

Si le code ne correspond pas, ou il n'a pas été trouvé

Nous devons corriger plusieurs paramètres dans le registre du système d'exploitation infecté.
Pour accéder au registre, vous aurez besoin d'un Live CD basé sur Windows:

- ERD Commander de la version correspondante (5.0 pour XP, 6.0 pour Vista, 6.5 pour 7)
- Alkidlivecd (inclut Erdcommander) - BARTPE ou WINPE mini similaire avec un éditeur de registre

Méthode de suppression de bannières-bloqueurs à l'aide de l'édition du registre Windows

Il est nécessaire de vérifier plusieurs sections du registre et d'apporter les paramètres correctement

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Coquille
Userinit


HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
AppInit_DLLs
. . . (dans le robot)


















- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Après avoir modifié le registre, je recommande immédiatement de sous livecd

Clou (enlever complètement) sur les sections de disque dur
RECYCLER
Informations sur le volume du système

Supprimer des catalogues
C: \ WINDOWS \ Temp
C: \ WINDOWS \ system32 \ configuration \ systemprofile \ LocalSettings \ Temp et fichiers Internet temporaires
C: \ Documents DNS Settings \% name% \ LocalSettings \ Temp et fichiers Internet temporaires

Vérifiez la racine du répertoire pour les fichiers suspects
C: \ Documents adns Paramètres \% name% \ ApplicationData
C: \ WINDOWS \ system32 \ configuration \ systemprofile \ LocalSettings \ Temp et fichiers Internet temporaires
C: \ Documents adns Paramètres \% name% \ ApplicationData \ StartMenu \ Programmes \ Démarrage
ou
C: \ Documents adns Paramètres \% name% \ ApplicationData \ Menu principal \ Programmes \ Démarrage


- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

L'élimination des conséquences du virus reste dans le système:

1. Si les paramètres TCP / IP sont définis manuellement, enregistrez-les dans un fichier texte distinct
Démarrer -> Exécuter -> cmd / k ipconfig / tout> C: \ net_settings.txt

2. vérifiez le fichier C: \ WINDOWS \ system32 \ drivers \ etc \ hosts à gauche des entrées de gauche
Démarrer -> * le fichier hosts correct


3. faire Winsock (les commandes doivent être entrées dans la fenêtre ouverte cmd)
netsh winsock réinitialiser netsh winsock réinitialiser le catalogue netsh int ip réinitialiser resetlog.txt netsh interface réinitialiser tous * http://support.microsoft.com/kb/299357

4. Surcharge du système d'exploitation
si rien n'a aidé, retirez la carte réseau du "Gestionnaire de périphériques"
Démarrer -> Exécuter -> devmgmt.msc -> Cartes réseau -> Adaptateur -> Supprimer le menu contextuel

5. Surchargez le système d'exploitation et attendez que Windows trouve la carte existante et l'initialise

5.1. Si rien n'a aidé, nous lançons l'utilitaire AVZ http://www.z-oleg.com/secur/avz/download.php
Fichier -> Restauration du système -> 14. Correction automatique des paramètres SPL / LSP

5.2. Nous surchargeons le système d'exploitation s'il y a des problèmes
Fichier -> Restauration du système -> 15. Réinitialisation des paramètres SPI / LSP et TCP / IP (XP +)

5.3. Nous surchargeons le système d'exploitation s'il y a des problèmes
Fichier -> Restauration du système -> 18. Re-création complète des paramètres SPI

6. Si après le réseau ci-dessus ne fonctionne toujours pas normalement - nous effectuons la vérification de l'intégrité des fichiers système Windows
(!) pour être reconnu comme un CD dans la distribution Windows du programme (Home / Pro) et le Service Pack (2/3) est installé.
Démarrer -> Exécuter -> sfc / scannow

ou

développez X: \ I386 \ tcpip.sy_ C: \ WINDOWS \ system32 \ tcpip.sys



Codes de déverrouillage