Наткнувшись в сотый раз на блокиратор винды, решил собрать здесь информацию о ручном сносе блокираторов, чтоб самому потом не вспоминать, а заодно и для других описать это дело.
После блокировки надо получить доступ к реестру, например, с помощью загрузочного диска с загружающимся оттуда виндоусом.
В загрузившейся дисковой винде запускаем regedit.exe.
Там выбираем подраздел HKEY_LOCAL_MACHINE, в него будем подгружать реестр нашей заблокированной винды.
Загружать ветви реестра нужно командой загрузки куста (load hive) в меню Файл. Выгружать после правки с сохранением всего измененнного - командой выгрузки куста (unload hive) в меню Файл.
Список ветвей реестра и соответствующих файлов кустов:
куст HKEY_LOCAL_MACHINE\System - файл Windows\system32\config\system;
куст HKEY_LOCAL_MACHINE\SAM - файл Windows\system32\config\sam;
куст HKEY_LOCAL_MACHINE\Security - файл Windows\system32\config\security;
куст HKEY_LOCAL_MACHINE\Software - файл Windows\system32\config\software;
куст HKEY_CURRENT_USER - файл Documents and Settings\<профиль пользователя>\ntuser.dat;
куст HKEY_CURRENT_CONFIG - файл Windows\system32\config\system;
куст HKEY_USERS\.DEFAULT - файл Windows\system32\config\default
Где лежат записи блокиратора
HKLM/Software/Microsoft/Windows NT/Current Version/Winlogon
параметр Userinit должен содержать только один файл: c:\windows\system32\userinit.exe
параметр Shell должен быть равен explorer.exe
HKCU/Software/Microsoft/Windows NT/Current Version/Winlogon
в этом разделе как и в local_machine:
параметр Userinit должен содержать только один файл: c:\windows\system32\userinit.exe
параметр Shell должен быть равен explorer.exe
В автозагрузке:
HKLM/Software/Microsoft/Windows/Current Version/Run - удалить записи, загружающие троян
HKCU/Software/Microsoft/Windows/Current Version/Run - удалить записи, загружающие троян
После того как вы проделаете эти шаги вы уже, вероятно, будете знать путь и имя exe-файла трояна. Остается убить его (воспользуйтесь любым файловым менеджером с вашего загрузочного диска)
Также можно проверить папки автозагрузки типа c:\documents and settings\ВСТАВКА\Главное меню\Программы\Автозагрузка, где вместо ВСТАВКА:
- имена пользователей, работающих за вашим компом
- папка All Users
- папка Default User
если в этих папках лежат ярлыки, указывающие на файл трояна - удалите их тоже.
После того как вы закроете regedit или выберете команду выгрузки куста (unload hive) в меню файл - все изменения сохранятся в вашей раненой винде, и она вылечится.
Удаление блокираторов Windows XP
- blackstrip
- Админ
- Сообщения: 1207
- Зарегистрирован: Ср янв 02, 2008 1:42 pm
- Откуда: Подольск
- Контактная информация:
- blackstrip
- Админ
- Сообщения: 1207
- Зарегистрирован: Ср янв 02, 2008 1:42 pm
- Откуда: Подольск
- Контактная информация:
Re: Удаление блокираторов Windows XP
Сюда же перекину и старое сообщение из другой темы:
Если винда завершает сеанс сразу после загрузки
Значит при старте у Windows XP есть слабое место - в HKLM/Software/Microsoft/Windows NT/Current version/Winlogon есть среди множества параметров один особенный Userinit - и его значение должно быть (без кавычек) "H:\WINDOWS\system32\userinit.exe,", или вместо h:/windows - путь к вашей папке винды. Просто у меня она на диске H:.
Так вот, этот userinit.exe видимо вызывается системой когда вы на экране приветствия выбираете пользователя и залогиниваетесь (вводя пароль или не вводя, если он пустой). Если вместо H:\WINDOWS\system32\userinit.exe там вписать что-то другое, то подозреваю что при залогинивании этот чужой exe-шник будет вызван. Так вот троян какой то попался криворукий, он попытался через запятую вписать себя.
И вписал вместо бывшего
"H:\WINDOWS\system32\userinit.exe,"
новое
"C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\Service Share\lsass.exe".
Наверное система должна была по очереди вызвать оба файла, и тогда при каждом старте винды у меня запускался бы троян заодно с системой.
Но поменяв диски на C: (а у меня C: это картридер, и диск С: чаще всего недоступен т.к. картридер пуст обычно) - конечно троян обломался. Он и свои файлы наверное на диск С: пытался кинуть =)
В итоге система при старте не могла запустить userinit.exe настоящий, и после залогинивания тут же завершала сеанс и вылетала обратно в меню выбора пользователей.
РЕШЕНИЕ:
Надо просто поправить раздел HKLM/Software/Microsoft/Windows NT/Current version/WInlogon, исправив там параметр userinit на старый "H:\WINDOWS\system32\userinit.exe".
Но система не запускалась ни в обычном режиме, ни в безопасном. И запустить редактор реестра было никак. Поэтому пришлось сделать следующее.
1) Запустить винду с компакт-диска (бывают такие Windows PE, это те же винды, но с урезанными возможностями, зато такой диск можно вставить при загрузке, и с него загрузится эта винда без всякой установки).
2) Запустить там редактор реестра regedit.exe - он конечно запустится, но покажет реестр этой PE-винды, которая на диске, а не тот реестр мертвой винды, который нам нужен.
3) Затем надо открыть для изменения раздел реестра мертвой винды. Для этого надо:
а) Выделить наш HKEY_LOCAL_MACHINE
б) Выбрать Файл-Загрузить куст... (или File-Load hive) и открыть файл H:\WINDOWS\system32\config\software - это хз точно какие разделы реестра (может быть весь реестр, но чото он маленький по размеру), но раздел HKLM/Software/ там точно есть.
в) Откроется окно с запросом некоторого имени - там надо ввести имя папки, которая добавится в дерево реестра. Например, OLDSOFTWARE. После этого в HKEY_LOCAL_MACHINE появится наш новый старый раздел OLDSOFTWARE.
4) Залезть в HKLM/OLDSOFTWARE/Microsoft/Windows NT/Current version/Winlogon и спокойно поправить там параметр userinit на стандартное значение "H:\WINDOWS\system32\userinit.exe," (где вместо H:\WINDOWS ваш путь к папке винды).
5) Просто закрыть окно regedit, все внесенные изменения будут сохранены в реестр мертвой винды.
6) Перегрузить комп и увидеть что теперь винда залогинивается нормально =)
7) Залезть в папку трояна, который добавлял свой путь и имя в userinit параметр, например у меня было C:\Program Files\Common Files\Service Share\lsass.exe - и почистить там файлы =) или хотя бы проверить их антивирусом.
Если винда завершает сеанс сразу после загрузки
Значит при старте у Windows XP есть слабое место - в HKLM/Software/Microsoft/Windows NT/Current version/Winlogon есть среди множества параметров один особенный Userinit - и его значение должно быть (без кавычек) "H:\WINDOWS\system32\userinit.exe,", или вместо h:/windows - путь к вашей папке винды. Просто у меня она на диске H:.
Так вот, этот userinit.exe видимо вызывается системой когда вы на экране приветствия выбираете пользователя и залогиниваетесь (вводя пароль или не вводя, если он пустой). Если вместо H:\WINDOWS\system32\userinit.exe там вписать что-то другое, то подозреваю что при залогинивании этот чужой exe-шник будет вызван. Так вот троян какой то попался криворукий, он попытался через запятую вписать себя.
И вписал вместо бывшего
"H:\WINDOWS\system32\userinit.exe,"
новое
"C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\Service Share\lsass.exe".
Наверное система должна была по очереди вызвать оба файла, и тогда при каждом старте винды у меня запускался бы троян заодно с системой.
Но поменяв диски на C: (а у меня C: это картридер, и диск С: чаще всего недоступен т.к. картридер пуст обычно) - конечно троян обломался. Он и свои файлы наверное на диск С: пытался кинуть =)
В итоге система при старте не могла запустить userinit.exe настоящий, и после залогинивания тут же завершала сеанс и вылетала обратно в меню выбора пользователей.
РЕШЕНИЕ:
Надо просто поправить раздел HKLM/Software/Microsoft/Windows NT/Current version/WInlogon, исправив там параметр userinit на старый "H:\WINDOWS\system32\userinit.exe".
Но система не запускалась ни в обычном режиме, ни в безопасном. И запустить редактор реестра было никак. Поэтому пришлось сделать следующее.
1) Запустить винду с компакт-диска (бывают такие Windows PE, это те же винды, но с урезанными возможностями, зато такой диск можно вставить при загрузке, и с него загрузится эта винда без всякой установки).
2) Запустить там редактор реестра regedit.exe - он конечно запустится, но покажет реестр этой PE-винды, которая на диске, а не тот реестр мертвой винды, который нам нужен.
3) Затем надо открыть для изменения раздел реестра мертвой винды. Для этого надо:
а) Выделить наш HKEY_LOCAL_MACHINE
б) Выбрать Файл-Загрузить куст... (или File-Load hive) и открыть файл H:\WINDOWS\system32\config\software - это хз точно какие разделы реестра (может быть весь реестр, но чото он маленький по размеру), но раздел HKLM/Software/ там точно есть.
в) Откроется окно с запросом некоторого имени - там надо ввести имя папки, которая добавится в дерево реестра. Например, OLDSOFTWARE. После этого в HKEY_LOCAL_MACHINE появится наш новый старый раздел OLDSOFTWARE.
4) Залезть в HKLM/OLDSOFTWARE/Microsoft/Windows NT/Current version/Winlogon и спокойно поправить там параметр userinit на стандартное значение "H:\WINDOWS\system32\userinit.exe," (где вместо H:\WINDOWS ваш путь к папке винды).
5) Просто закрыть окно regedit, все внесенные изменения будут сохранены в реестр мертвой винды.
6) Перегрузить комп и увидеть что теперь винда залогинивается нормально =)
7) Залезть в папку трояна, который добавлял свой путь и имя в userinit параметр, например у меня было C:\Program Files\Common Files\Service Share\lsass.exe - и почистить там файлы =) или хотя бы проверить их антивирусом.
Re: Удаление блокираторов Windows XP
Пора переходить на Mac
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей