Удаление блокираторов Windows XP

Ответить
Аватара пользователя
blackstrip
Админ
Сообщения: 1006
Зарегистрирован: Ср янв 02, 2008 1:42 pm
Откуда: Подольск
Контактная информация:

Удаление блокираторов Windows XP

Сообщение blackstrip » Ср сен 19, 2012 12:18 pm

Наткнувшись в сотый раз на блокиратор винды, решил собрать здесь информацию о ручном сносе блокираторов, чтоб самому потом не вспоминать, а заодно и для других описать это дело.

После блокировки надо получить доступ к реестру, например, с помощью загрузочного диска с загружающимся оттуда виндоусом.

В загрузившейся дисковой винде запускаем regedit.exe.

Там выбираем подраздел HKEY_LOCAL_MACHINE, в него будем подгружать реестр нашей заблокированной винды.

Загружать ветви реестра нужно командой загрузки куста (load hive) в меню Файл. Выгружать после правки с сохранением всего измененнного - командой выгрузки куста (unload hive) в меню Файл.

Список ветвей реестра и соответствующих файлов кустов:

куст HKEY_LOCAL_MACHINE\System - файл Windows\system32\config\system;
куст HKEY_LOCAL_MACHINE\SAM - файл Windows\system32\config\sam;
куст HKEY_LOCAL_MACHINE\Security - файл Windows\system32\config\security;
куст HKEY_LOCAL_MACHINE\Software - файл Windows\system32\config\software;
куст HKEY_CURRENT_USER - файл Documents and Settings\<профиль пользователя>\ntuser.dat;
куст HKEY_CURRENT_CONFIG - файл Windows\system32\config\system;
куст HKEY_USERS\.DEFAULT - файл Windows\system32\config\default

Где лежат записи блокиратора

HKLM/Software/Microsoft/Windows NT/Current Version/Winlogon
параметр Userinit должен содержать только один файл: c:\windows\system32\userinit.exe
параметр Shell должен быть равен explorer.exe

HKCU/Software/Microsoft/Windows NT/Current Version/Winlogon
в этом разделе как и в local_machine:
параметр Userinit должен содержать только один файл: c:\windows\system32\userinit.exe
параметр Shell должен быть равен explorer.exe

В автозагрузке:
HKLM/Software/Microsoft/Windows/Current Version/Run - удалить записи, загружающие троян
HKCU/Software/Microsoft/Windows/Current Version/Run - удалить записи, загружающие троян

После того как вы проделаете эти шаги вы уже, вероятно, будете знать путь и имя exe-файла трояна. Остается убить его (воспользуйтесь любым файловым менеджером с вашего загрузочного диска)

Также можно проверить папки автозагрузки типа c:\documents and settings\ВСТАВКА\Главное меню\Программы\Автозагрузка, где вместо ВСТАВКА:
- имена пользователей, работающих за вашим компом
- папка All Users
- папка Default User

если в этих папках лежат ярлыки, указывающие на файл трояна - удалите их тоже.

После того как вы закроете regedit или выберете команду выгрузки куста (unload hive) в меню файл - все изменения сохранятся в вашей раненой винде, и она вылечится.

Аватара пользователя
blackstrip
Админ
Сообщения: 1006
Зарегистрирован: Ср янв 02, 2008 1:42 pm
Откуда: Подольск
Контактная информация:

Re: Удаление блокираторов Windows XP

Сообщение blackstrip » Ср сен 19, 2012 12:23 pm

Сюда же перекину и старое сообщение из другой темы:

Если винда завершает сеанс сразу после загрузки

Значит при старте у Windows XP есть слабое место - в HKLM/Software/Microsoft/Windows NT/Current version/Winlogon есть среди множества параметров один особенный Userinit - и его значение должно быть (без кавычек) "H:\WINDOWS\system32\userinit.exe,", или вместо h:/windows - путь к вашей папке винды. Просто у меня она на диске H:.

Так вот, этот userinit.exe видимо вызывается системой когда вы на экране приветствия выбираете пользователя и залогиниваетесь (вводя пароль или не вводя, если он пустой). Если вместо H:\WINDOWS\system32\userinit.exe там вписать что-то другое, то подозреваю что при залогинивании этот чужой exe-шник будет вызван. Так вот троян какой то попался криворукий, он попытался через запятую вписать себя.
И вписал вместо бывшего
"H:\WINDOWS\system32\userinit.exe,"
новое
"C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\Service Share\lsass.exe".

Наверное система должна была по очереди вызвать оба файла, и тогда при каждом старте винды у меня запускался бы троян заодно с системой.

Но поменяв диски на C: (а у меня C: это картридер, и диск С: чаще всего недоступен т.к. картридер пуст обычно) - конечно троян обломался. Он и свои файлы наверное на диск С: пытался кинуть =)

В итоге система при старте не могла запустить userinit.exe настоящий, и после залогинивания тут же завершала сеанс и вылетала обратно в меню выбора пользователей.

РЕШЕНИЕ:
Надо просто поправить раздел HKLM/Software/Microsoft/Windows NT/Current version/WInlogon, исправив там параметр userinit на старый "H:\WINDOWS\system32\userinit.exe".

Но система не запускалась ни в обычном режиме, ни в безопасном. И запустить редактор реестра было никак. Поэтому пришлось сделать следующее.

1) Запустить винду с компакт-диска (бывают такие Windows PE, это те же винды, но с урезанными возможностями, зато такой диск можно вставить при загрузке, и с него загрузится эта винда без всякой установки).
2) Запустить там редактор реестра regedit.exe - он конечно запустится, но покажет реестр этой PE-винды, которая на диске, а не тот реестр мертвой винды, который нам нужен.
3) Затем надо открыть для изменения раздел реестра мертвой винды. Для этого надо:
а) Выделить наш HKEY_LOCAL_MACHINE
б) Выбрать Файл-Загрузить куст... (или File-Load hive) и открыть файл H:\WINDOWS\system32\config\software - это хз точно какие разделы реестра (может быть весь реестр, но чото он маленький по размеру), но раздел HKLM/Software/ там точно есть.
в) Откроется окно с запросом некоторого имени - там надо ввести имя папки, которая добавится в дерево реестра. Например, OLDSOFTWARE. После этого в HKEY_LOCAL_MACHINE появится наш новый старый раздел OLDSOFTWARE.
4) Залезть в HKLM/OLDSOFTWARE/Microsoft/Windows NT/Current version/Winlogon и спокойно поправить там параметр userinit на стандартное значение "H:\WINDOWS\system32\userinit.exe," (где вместо H:\WINDOWS ваш путь к папке винды).
5) Просто закрыть окно regedit, все внесенные изменения будут сохранены в реестр мертвой винды.
6) Перегрузить комп и увидеть что теперь винда залогинивается нормально =)
7) Залезть в папку трояна, который добавлял свой путь и имя в userinit параметр, например у меня было C:\Program Files\Common Files\Service Share\lsass.exe - и почистить там файлы =) или хотя бы проверить их антивирусом.

NeoN
Новичок
Сообщения: 16
Зарегистрирован: Вт июн 07, 2011 2:18 am

Re: Удаление блокираторов Windows XP

Сообщение NeoN » Вт окт 02, 2012 5:22 pm

Пора переходить на Mac :?

Ответить

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость