В сети сейчас много написано по этому поводу. Есть официальные страницы Касперского и DrWeb'а, посвященные генерации номеров бесплатно.
drweb.com/unloker - сервис DrWeb'а
http://support.kaspersky.ru/viruses/deblocker - сервис Касперского
На этих страничках можно попробовать подобрать себе код. К сожалению, для моего случая не нашлось номерка. Троян быстро мутирует и доктора не поспевают за ним. В блогах можно найти описания способов генерации ключей, но я думаю, что не стоит тратить на это время.
Быстрее и эффективнее проделать следующие операции:
1. Скачать загрузочный диск (а лучше иметь его всегда под рукой) с Вашей операционной системой
2. Скачать бесплатно последние версии CureIt с сайта http://www.freedrweb.com/cureit/
3. Скачать бесплатно последнюю версию AVZ4 с сайта http://www.z-oleg.com/secur/avz/
Я, например, скачал и подготовил для себя загрузочный диск Hiren's.BootCD.10.1.iso
Далее я стартовал с этого диска в режиме miniXP и с флешки (закрытой на запись, конечно) запустил CureIt. CureIt долго и нудно искала по всем файлам и обнаружила 7 зараженных Trojan.Winlock.936 файла. 6 DLL и 1 непонятный файл, в имени которого было двоеточие ":". Не помню его расположение и название. Думаю, что это не важно. У Вас, скорее всего, может быть по другому. Никаких запускаемых файлов найдено не было.
Далее запустил утилиту AVZ4. К стати, у меня в режиме miniXP в интерфейсе этой проги не было русских букв. То есть вообще. отметил все в слепую. Было что-то найдено и исправлено. Не фиксировал. Было не до этого.
После этих операций винда стартовала в обычном режиме. Тем не менее, пришлось запускать AVZ4 еще раз для восстановления доступа к системе (на экране Файл->Восстановление системы отметил все пункты кроме двух последних).
В блогах пишут, что надо отредактировать реестр, например, http://www.otrip.ru/2009/11/trojan-winlock/
или http://juliki.net/ekav-antivirus-on-zhe-virus-internet-security/
(без предыдущей операции восстановления системы запустить regedit не удастся)
Нас интересуют несколько веток в реестре, а именно:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows – очистить значение AppInit_DLLs после удаления указанного в нем файла в указанной в параметре папке: windows\system32\config или windows\inf…
У меня было: C:\WINDOWS\Inf\mdmltsft.inf:R9THv0LN+MrfYnN (файл с двоеточием!)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – в ключе userinit должно быть прописано: "C:\WINDOWS\system32\userinit.exe," все остальное после запятой рекомендуют сносить. У меня ничего там не было прописано.
Еще рекомендуют:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths – находим все подразделы с программами, запрещенными вирусом(ищем имена антивирусов и файерволов) и удаляем эти подразделы. Иначе даже на чистой машине запуск антивируса не удастся.
В моем случае у меня оказалась только ветка HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft с пустыми значениями и я ничего не стал делать.
Думаю, что в моем случае ключевым моментом при редактировании реестра было удаление значения ключа AppInit_DLLs
После этого ноут заработал. Пока полет нормальный.
Успехов в самолечении!
