Где в реестре прописывается баннер-вымогатель

Порой смс-вымогатель невозможно удалить с помощью специальных программ и утилит.

В этом случае приходится редактировать реестр операционной системы вручную.

banner1

Чтобы быть полностью уверенным в удалении Trojan.Winlock следует просмотреть следующие ветки реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

Здесь потребуется проверить три параметра:

— параметр Shell должен иметь значение Explorer.exe

— параметр UIHost должен иметь значение logonui.exe

— параметр Userinit должен иметь значение C:\Windows\system32\userinit.exe

Если где-то было замечено неверное значение — его следует исправить вручную, а по вписанному пути найти exe файл баннера и удалить его.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

В этой ветке реестра все параметры отвечают за автозапуск программ при загрузке операционной системы.

Если какая-либо прописанная в строковых параметрах программа покажется подозрительной — необходимо отключить её.

Как правило исполняемые файлы подозрительных программ находятся на загрузочном диске, в папках пользователей или папке Temp.

Точно таким же образом следует провести проверку следующих веток реестра, которые уже относятся к конкретным пользователям, созданным в Windows.

В случае, если пользователь не один — следует провести проверку строковых параметров для каждого пользователя.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Это основные пути куда прописывается баннер.

 

А у меня на этом все, до новых встреч.

С уважением, Сергей Кривцов


Понравилась статья? Поделитесь с друзьями!

Читайте также на моем блоге:

Подписка на обновления блога: