Удаление блокираторов Windows XP
Добавлено: Ср сен 19, 2012 12:18 pm
Наткнувшись в сотый раз на блокиратор винды, решил собрать здесь информацию о ручном сносе блокираторов, чтоб самому потом не вспоминать, а заодно и для других описать это дело.
После блокировки надо получить доступ к реестру, например, с помощью загрузочного диска с загружающимся оттуда виндоусом.
В загрузившейся дисковой винде запускаем regedit.exe.
Там выбираем подраздел HKEY_LOCAL_MACHINE, в него будем подгружать реестр нашей заблокированной винды.
Загружать ветви реестра нужно командой загрузки куста (load hive) в меню Файл. Выгружать после правки с сохранением всего измененнного - командой выгрузки куста (unload hive) в меню Файл.
Список ветвей реестра и соответствующих файлов кустов:
куст HKEY_LOCAL_MACHINE\System - файл Windows\system32\config\system;
куст HKEY_LOCAL_MACHINE\SAM - файл Windows\system32\config\sam;
куст HKEY_LOCAL_MACHINE\Security - файл Windows\system32\config\security;
куст HKEY_LOCAL_MACHINE\Software - файл Windows\system32\config\software;
куст HKEY_CURRENT_USER - файл Documents and Settings\<профиль пользователя>\ntuser.dat;
куст HKEY_CURRENT_CONFIG - файл Windows\system32\config\system;
куст HKEY_USERS\.DEFAULT - файл Windows\system32\config\default
Где лежат записи блокиратора
HKLM/Software/Microsoft/Windows NT/Current Version/Winlogon
параметр Userinit должен содержать только один файл: c:\windows\system32\userinit.exe
параметр Shell должен быть равен explorer.exe
HKCU/Software/Microsoft/Windows NT/Current Version/Winlogon
в этом разделе как и в local_machine:
параметр Userinit должен содержать только один файл: c:\windows\system32\userinit.exe
параметр Shell должен быть равен explorer.exe
В автозагрузке:
HKLM/Software/Microsoft/Windows/Current Version/Run - удалить записи, загружающие троян
HKCU/Software/Microsoft/Windows/Current Version/Run - удалить записи, загружающие троян
После того как вы проделаете эти шаги вы уже, вероятно, будете знать путь и имя exe-файла трояна. Остается убить его (воспользуйтесь любым файловым менеджером с вашего загрузочного диска)
Также можно проверить папки автозагрузки типа c:\documents and settings\ВСТАВКА\Главное меню\Программы\Автозагрузка, где вместо ВСТАВКА:
- имена пользователей, работающих за вашим компом
- папка All Users
- папка Default User
если в этих папках лежат ярлыки, указывающие на файл трояна - удалите их тоже.
После того как вы закроете regedit или выберете команду выгрузки куста (unload hive) в меню файл - все изменения сохранятся в вашей раненой винде, и она вылечится.
После блокировки надо получить доступ к реестру, например, с помощью загрузочного диска с загружающимся оттуда виндоусом.
В загрузившейся дисковой винде запускаем regedit.exe.
Там выбираем подраздел HKEY_LOCAL_MACHINE, в него будем подгружать реестр нашей заблокированной винды.
Загружать ветви реестра нужно командой загрузки куста (load hive) в меню Файл. Выгружать после правки с сохранением всего измененнного - командой выгрузки куста (unload hive) в меню Файл.
Список ветвей реестра и соответствующих файлов кустов:
куст HKEY_LOCAL_MACHINE\System - файл Windows\system32\config\system;
куст HKEY_LOCAL_MACHINE\SAM - файл Windows\system32\config\sam;
куст HKEY_LOCAL_MACHINE\Security - файл Windows\system32\config\security;
куст HKEY_LOCAL_MACHINE\Software - файл Windows\system32\config\software;
куст HKEY_CURRENT_USER - файл Documents and Settings\<профиль пользователя>\ntuser.dat;
куст HKEY_CURRENT_CONFIG - файл Windows\system32\config\system;
куст HKEY_USERS\.DEFAULT - файл Windows\system32\config\default
Где лежат записи блокиратора
HKLM/Software/Microsoft/Windows NT/Current Version/Winlogon
параметр Userinit должен содержать только один файл: c:\windows\system32\userinit.exe
параметр Shell должен быть равен explorer.exe
HKCU/Software/Microsoft/Windows NT/Current Version/Winlogon
в этом разделе как и в local_machine:
параметр Userinit должен содержать только один файл: c:\windows\system32\userinit.exe
параметр Shell должен быть равен explorer.exe
В автозагрузке:
HKLM/Software/Microsoft/Windows/Current Version/Run - удалить записи, загружающие троян
HKCU/Software/Microsoft/Windows/Current Version/Run - удалить записи, загружающие троян
После того как вы проделаете эти шаги вы уже, вероятно, будете знать путь и имя exe-файла трояна. Остается убить его (воспользуйтесь любым файловым менеджером с вашего загрузочного диска)
Также можно проверить папки автозагрузки типа c:\documents and settings\ВСТАВКА\Главное меню\Программы\Автозагрузка, где вместо ВСТАВКА:
- имена пользователей, работающих за вашим компом
- папка All Users
- папка Default User
если в этих папках лежат ярлыки, указывающие на файл трояна - удалите их тоже.
После того как вы закроете regedit или выберете команду выгрузки куста (unload hive) в меню файл - все изменения сохранятся в вашей раненой винде, и она вылечится.