Удаление локера в безопасном режиме загрузки ОС

Описание: Любые вопросы касающиеся компьютерной безопасности. Обсуждение антивирусов, фаерволов, а также помощь в лечении компьютера.
Правила раздела: http://pc-forums.ru/topic1880.html
Модератор: Junior

#1 felix2604 » 12.10.2012, 22:43

Такой метод применим только в том случае, если userunit.exe не заменён локером.
Если при запуске в безопасном режиме запустится баннер, то данный способ для решения непригоден.

Система заблокирована баннером, казалось бы всё, в сервис, но нет, справимся своими силами.
Изображение
Перезагружаем ПК, нажимаем F8 выбираем "Безопасный режим с поддержкой командной строки":
Изображение
Выбираем операционную систему и нажимаем Enter:
Изображение
После загрузки появится Диалоговое окно командной строки:
Изображение
Запускаем редактор реестра командой regedit и нажимаем Enter:
Изображение
Откроется диалоговое окно редактора реестра:
Изображение
Находим ветку реестра Winlogon и видим в ключе Shell паразита:
Изображение
Открываем ключ Shell и вырезаем всё содержимое ключа:
Изображение
Восстанавливаем значение ключа Shell (Explorer.exe)
Изображение
Проверяем ключи автозагрузки:
Изображение
Запускаем диспетчера задач, команда taskmgr и нажимаем Enter:
Изображение

цитата писал(а):Если не запускается regedit и taskmgr набрать команду:
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f

Нажимаем кнопку "Файл", затем выбираем в "Новая задача (Выполнить)"
Изображение
В открывшемся окне правым кликом мыши вставляем путь, который вырезали из ключа Shell, нажимаем кнопку "Обзор":
Изображение
Откроется диалоговое окно проводника, видим целый "рассадник" локеров
Изображение
Удаляем локер, закрываем окно проводника:
Изображение

цитата писал(а):Некоторые локеры имеют атрибут скрытый, поэтому будут не видны для удаления.
Удалить можно из командной строки:

del /a "вставляем путь, который вырезали из ключа Shell или автозагрузки"

Нажимаем кнопку "Отмена", возвращаемся к диспетчеру задач:
Изображение
В меню диспетчера задач нажимаем кнопку "Завершение работы", в появившемся списке выбираем "Перезагрузка":
Изображение
Проверяем отсутствие баннера:
Изображение

При возникновении вопросов писать в этой теме.

Ссылка на первоисточник: Форум Zverdvd.org
Не профи, но для любителя тоже неплохо...

Intel Core i5-2310/ Asus P8Z77-M Pro/ RAM 2gB DDR3(Silicon Power)/ HDD WDC WD1600AAJS/ Palit GeForce 9800GT/ USB-modem Anydata ADU-310/ Windows XP Pro Sp3 ZverDVD 2012.6/ EES 5.0.2122.10 (BE)
felix2604
Автор темы, Активист форума
Активист форума
Аватара
Возраст: 31
Откуда: Санкт-Петербург
Репутация: 41
Лояльность: 6 (+6/−0)
Сообщения: 336
Темы: 3
Зарегистрирован: 09.07.2012
С нами: 4 года 5 месяцев

Удаление локера в безопасном режиме загрузки ОС

 

#2 arkalik » 13.10.2012, 11:20

felix2604 "Безопасный режим" не всегда доступна. Умные вирусы первым делом ломает ключ Безопасного режима. А так хорошая статья :good3:
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2535
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

 

#3 felix2604 » 14.10.2012, 20:40

arkalik

Даже на старуху найдётся проруха... :biggrin:

Статью изначально написал как простейший пример по удалению баннеров такого рода, разница только в том что некоторые писатели поумнели и начали прописывать баннер в ветке HCCUser, что в первый раз может слегка сбить с толку...

Самое интересное, что принцип действия до сих пор актуален, так как не все баннеры умеют блокировать вышеозвученные ключи, за последний месяц принесли 5 пациентов с подобным живцом, даже LiveCD не пришлось применять...
Не профи, но для любителя тоже неплохо...

Intel Core i5-2310/ Asus P8Z77-M Pro/ RAM 2gB DDR3(Silicon Power)/ HDD WDC WD1600AAJS/ Palit GeForce 9800GT/ USB-modem Anydata ADU-310/ Windows XP Pro Sp3 ZverDVD 2012.6/ EES 5.0.2122.10 (BE)
felix2604
Автор темы, Активист форума
Активист форума
Аватара
Возраст: 31
Откуда: Санкт-Петербург
Репутация: 41
Лояльность: 6 (+6/−0)
Сообщения: 336
Темы: 3
Зарегистрирован: 09.07.2012
С нами: 4 года 5 месяцев

#4 arkalik » 15.10.2012, 10:07

felix2604 писал(а):так как не все баннеры умеют блокировать вышеозвученные ключи, за последний месяц принесли 5 пациентов с подобным живцом, даже LiveCD не пришлось применять...
У вас какие-то слабые "Баннерописатели" :mosking:. У моих пациентов вирусы заменяют файлов userinit.exe и taskmgr.exe. После удаление Винлокера приходится вручную восстановить эти файлы. Для себя сохранил парочку таких баннеров, если хочешь могу передать, можешь изучить. :wink:
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2535
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

Удаление локера в безопасном режиме загрузки ОС

 

#5 felix2604 » 19.10.2012, 00:15

arkalik

И с такими сталкивался, только восстанавливал по другому:

Удаление локера 22CC6C32.

Техника:
- ноутбук Emachines D620
- загрузочный USB-накопитель, созданный по проекту Уважаемого модератора mannaleks

Для наглядности процесса удаления локер запустил без виртуальной машины:

Изображение

Выключаю ноутбук, затем включаю, выбираю загрузку с USB-накопителя:
Изображение

Запускаю редактор реестра:
Изображение

Подключаюсь к реестру учётной записи:
Изображение

Проверяю ветку реестра Winlogon, вижу демона в ключе Shell:
Изображение

Вырезаю путь к демону, восстанавливаю значение ключа Shell:
Изображение

Значение ключа Shell восстановлено:
Изображение

Закрываю редактор реестра, перехожу к удалению демона из системы.
Вставляю вырезанный из значения реестра путь, удаляю часть строки с именем и расширением файла демона:
Изображение

Нажимаю Enter, открывается папка с демоном:
Изображение

Удаляю демона:
Изображение

Проверяю папку windows\system32, вижу замену файла userinit.exe:
Изображение

Копирую из папки AlkidCD оригинальный файл:
Изображение

Вставляю оригинальный файл, подтверждаю замену:
Изображение

Проверяю папку windows\system32\dllcache, вижу замену файла userinit.exe:
Изображение

Вставляю оригинальный файл, подтверждаю замену:
Изображение

Готово. Перезагружаю ноутбук, проверяю результат:
Изображение


[spoiler=ВАЖНО:]Помимо userinit.exe также следует обратить внимание на taskmgr.exe, некоторые модификации локера С32 заменяют его.

Список файлов, на которые следует обратить внимание:
explorer.exe
taskmgr.exe
userinit.exe
logonui.exe[/spoiler]

Ссылка на первоисточник: Форум Zverdvd.org
Не профи, но для любителя тоже неплохо...

Intel Core i5-2310/ Asus P8Z77-M Pro/ RAM 2gB DDR3(Silicon Power)/ HDD WDC WD1600AAJS/ Palit GeForce 9800GT/ USB-modem Anydata ADU-310/ Windows XP Pro Sp3 ZverDVD 2012.6/ EES 5.0.2122.10 (BE)
felix2604
Автор темы, Активист форума
Активист форума
Аватара
Возраст: 31
Откуда: Санкт-Петербург
Репутация: 41
Лояльность: 6 (+6/−0)
Сообщения: 336
Темы: 3
Зарегистрирован: 09.07.2012
С нами: 4 года 5 месяцев

#6 arkalik » 19.10.2012, 08:28

felix2604 Можно добавить еще одну статью "Удаление Баннера с Загрузочного сектора MBR" :wink:
arkalik M
Опытный экспериментатор
Опытный экспериментатор
Аватара
W
Возраст: 23
Откуда: Казахстан, Алматы
Репутация: 305
Лояльность: 171 (+171/−0)
Сообщения: 2535
Темы: 33
Зарегистрирован: 13.12.2011
С нами: 4 года 11 месяцев

 

#7 viprus » 19.10.2012, 09:19

Очень толково и просто. В моём варианте всё, пожалуй, перегружено и выглядит сложнее. Кстати там есть максимально простой вариант для чайников, который учитывает оба случая, да и все известные на сегодня - AntiSMS, безопасно и максимально корректно. Считаю идеал.
"Человек может всё, нужно только сделать глубокий вдох..." Великий Ояма Масутацу.
Правильное решение не самое умное, а самое простое
Изображение
viprus M
Лидер Поддержки
Лидер Поддержки
Аватара
Возраст: 51
Откуда: Самара
Репутация: 224
Лояльность: 107 (+107/−0)
Сообщения: 1821
Темы: 16
Зарегистрирован: 04.06.2011
С нами: 5 лет 6 месяцев


  • Понравилась тема? Поделись с друзьями!

Вернуться в Безопасность компьютера

 


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение

Кто сейчас на форуме (по активности за 20 минут)

Сейчас этот раздел просматривают: 1 гость