Если Вам не помогла статья Вирус активации виндовс через смс. Способы борьбы, то читаем дальше.

Итак, в первом случае мы смогли одолеть эту заразу, но как оказалось не надолго. Через день нормальной работы ПК мы получили «опять двадцать пять». То же окно на весь экран, в котором говорится примерно следующее: «Центр обеспечения безопасности Windows при последнем обновлении обнаружил, что Вы используете нелицензионную копию Windows (хотя она у Вас может быть и лицензионной) … для приобретения лицензии отправьте Смс на номер … стоимость смс 50, 300, 200 или ещё сколько-то рублей»

Чего делать не стоит?
1. Сносить Windows, если конечно Вам его жалко или Вы не умеете его правильно переустанавливать.
2. Отсылать какие-либо коды смс, даже если у Вас деньги — это Вам не поможет.

Что делаем теперь?
1. Загружаемся снова в безопасный режим. Вирус у нас поумнее, поэтому и средства боя должны быть покрепче.
Скачайте у друга или на работе следующие программы:

а) Утилиту автозагрузки Autoruns

б) Утилиту Dr Web CureIt! . Если она у Вас есть, всё равно скачайте новую версию, так как это бесплатное ПО и оно обновиться не сможет. В последней версии CureIt! вшиты самые новые антивирусные базы.

в) Утилиту Зайцева AVZ

г) Unlocker — утилита разблокировки файлов.

2. Запускаем Dr. Web CureIt!, ждем пока пройдет быстрая проверка, после этого запускаем полную проверку ПК (идеально, если у Вас работает параллельно Avira Antivir или Eset Nod32 — это сильные антивирусы)

drweb, cureit!, faq

3. После проверки и удаления найденых вирусов (а такие будут), запускаем AVZ и ставим также на полную проверку:

avz, утилита антивирус

Hint: Не запускайте обе утилиты одновременно, даже если у Вас мощный ПК. Это связано с тем, что AVZ хранит свои базы с кодом вирусов в C:\Windows\Temp и Dr Web автоматически принимает их за вирус и, следовательно, удаляет, что делает ненадежной проверку от AVZ

4. Обе проверки завершены. Теперь открываем Autoruns. Во вкладке Logon пристальное внимание уделяем файлы которые лежат НЕ в папках:
C:\windows\system32
C\Program Files\
Обычно таких файлов не много 1-3 шт. У меня например — это soundman.exe тот что обеспечивает звук:

autoruns, утилиты, автозагрузка, поиск вируса

Также пристальное внимание уделите тому факту, что одинаковых названий файлов быть не должно. Например в нашем конкретном случае был файл :
CTFMON.EXE, который находился в папке C:\windows\system32 и C:\windows\, настоящий CTFMON есть только в первой папке.

Если Вы не знаете что это лучше снимите галочку. А если уверены, что это действительно вирус, то можете смело удалять руками.

Для этого нужно отобразить скрытые системные файлы и перейти по пути, который указывает нам Autoruns. Чтобы отобразить скрытые системные файлы Вам нужно открыть «свойства папки»:

papka, открыть свойства папки

И снять галочку напротив параметра «скрывать защищенные системные файлы» и установить выбор напротив «показывать скрытые файлы и папки», как на рисунке ниже:

systemfiles, скрытые файлы и папки

Теперь можете смело идти и громить скрытые файлы, только осторожно!!!

Возникают ситуации, когда «файл используется кем-то или чем-то» и удалить его нельзя. Вот для этого мы и скачивали Unlocker. Если Вы не установили эту утилиту, то самое время.

Кликаем правой клавишей мыши на файл и выбираем из контекстного меню Unlocker. Если будет сообщение, что «ненайден блокирующий дескриптор», то выберите «удалить файл» в меню слева. Если будет список из каких-то строк, то нажмите кнопку «Разблокировать все»

unlocker, разблокируем файлы

Таким образом зачищаем все от того, что пропустили антивирусы.

5. Теперь последнее. Очень часто встречается эмуляция файла Winlogon, в котором и содержится наша матка, которая и производит своих отпрысков нам.

Проверяем последний путь C:\WINDOWS\system32\dllcache и ищем там файл Winlogon.exe, по идее его быть там не должно. Удаляем его и перезагружаем систему.

ЗЫ все вхождения C:\Windows меняйте на Ваше название диска, в котором у Вас установлен Windows. Удачи в борьбе, пишите, если что-то непонятно

Сейчас другие читают: