Первая часть тут — http://shkolapc.ru/udalenie_virusov.html

В последние месяцы я часто наблюдаю заражение Windows вредоносным ПО (в классификации некоторых антивирусов «Winlock», «Trojan-Ransom»), представляющих собой не закрывающееся окно с предупреждением о том, что операционная система заблокирована и предложением отправить смс с кодом, в различных вариациях. Окно это нельзя закрыть, размещается оно на рабочем столе, а не в браузере — как раньше (технологии-то не стоят на месте ), за ним не видно окон других программ, иногда в наличии порнокартинки.

Кроме того либо мне так повезло, либо действительно есть такая закономерность — совершенно различные антивирусы спокойно пропускают эту заразу, не помогает эвристический анализ угроз, ни частые обновления… Существует большая разница по времени появления вируса в сети и появлением антивирусных сигнатур в обновлениях. Быстрее всего как правило начинает детектировать этот вид угроз Антивирус Касперского, а вот мой частый в применении Dr.Web Live CD зачастую по прошествии даже недели с момента заражения, не мог обнаружить заражение.

Поэтому в дополнение к ранее изложенному руководству хочу добавить еще несколько телодвижений, которые могут помочь:

Попытка первая.

Если компьютер грузится в безопасном режиме и никакие окна не выскакивают, то нужно посмотреть что творится в автозагрузке. Кнопка «Пуск», выбираем пункт меню «выполнить», далее пишем «msconfig.exe», нажимаем «enter». На вкладке «автозагрузка» появившегося окна смотрим, что у нас загружается автоматически вместе с windows. (Если не запускаются штатные утилиты, пробуем портативные версии с флешки, например AutoRuns от Марка Руссиновича)

msconfig.exe

Оцениваем по названию процесса и пути к исполняемому файлу — безопасная ли это для системы программа, неизвестные гуглим, смотрим описание, сравниваем с наличием программ, которые в действительности должны запускаться при старте windows.

Можно попробовать отключить все ненужное(ничто не мешает после проверочной перезагрузки потом включить обратно), тем более что часто вредоносный код маскируется под известные названия программ и процессов (В одном из «моих» случаев вирус шифровался под процесс управления горячими клавишами видеодрайвера intel — hkcmd.exe)… Обращайте внимание на записи с неизвестным производителем программы (есть такая колонка на этой вкладке), а также с неинформативным названием типа plugin.exe.

Попытка вторая.

Также в безопасном режиме — смотрим работает ли система восстановления windows — Пуск-Программы-Стандартные-Служебные-Восстановление системы. Если да, то пробуем выбрать и откатится к точке восстановления до момента заражения.

Попытка третья.

Если заражение касается появления баннеров в браузере, самопроизвольному редиректу на какие-нибудь левые сайты, или просьбам отправить смс, чтобы разблокировать аккаунты на тех же самых вконтактах/одноклассниках, то пробуем восстановить настройки браузера по умолчанию (в IE — сервис-свойства обозревателя-далее вкладка «дополнительно», в Mozilla Firefox следует обратить внимание на плагины и расширения  в меню «Инструменты-Дополнения»), также не лишним будет с помощью блокнота открыть файл C:\Windows\System32\drivers\etc\hosts и посмотреть что в нем… (В большинстве случаев там должна быть одна единственная незакомментированная, т.е. не начинающаяся с символа #, запись «127.0.0.1 localhost»

hosts

Попытка четвертая.

Грузимся в обычном режиме, бьем в шаманский бубен и смотрим результаты нашей деятельности — в худшем случае опять вылезут окна, возможно начнут выскакивать системные ошибки (Как например у меня было позавчера при борьбе со всплывающим окном «Internet Security обнаружил вредоносное ПО на вашем компьютере»)

тогда пробуйте ввести в поисковик название всплывающего окна, вдумчиво почитать форумы и блоги с целью нахождения готового решения. (Internet Security например разблокировался путем подбора кода активации, но это скорее исключение из правил).

При благоприятном же варианте с целью удаления вируса на работающей уже машине можно скачать антивирусные утилиты, например Kaspersky AVPTool, и программные решения против троянов (AVZ, Search&Destroy и т.п.) и проверить всю систему, т.к. могут быть сняты только внешние проявления работы вируса. А также смотрим, что штатный антивирус нормально работает и обновляется.

У нас находят:

• как удалить вирус hosts
• Microsoft Security обнаружил нарушения использования сети интернет
• hosts не удаляется
• 380682699821

Еще статьи из рубрики "Windows, Вирусы, Интернет" :

Дефрагментация в Windows Se7en. 29 мая 2010

Как увидеть все файлы на диске сразу, удалить ненужное и очистить реестр Windows? 4 Апр 2011

Как правильно разметить жесткий диск? 31 Янв 2011