Как я удалял очередного блокировщика windows (прямые руки + Dr.Web® LiveCD = victory)

Принесли мне очередной ноут с блокировщиком windows Думал я что уберу его как обычно, через реестр, посмотрев в ключе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] параметр shell. Обычно, в него прописывается exe-шник вируса, заменяя собой значение explorer.exe, но всё оказалось не так просто

В этом случае приходилось загружаться с Live CD или с AlkidSE или просто с установочного диска windows 7.

(Как попасть в редактор реестра с помощью установочного диска windows 7 я писал в своей статье Как изменить пароль администратора в windows 7 читайте начало этой статьи.)

Затем открыть ключ реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], изменить в параметре shell значение на explorer.exe, перезагрузиться и всё, блокировщик убирался.

Но в этот раз после перезагрузки ноут задумывался на пару минут, затем блокировщик появлялся снова, хотя, я руками удалял exe файл по пути из параметра shell. После этого я понял, что вредоносная программа во время загрузки операционной системы каждый раз копирует exe файл блокировщика в директорию C:\Documents and Settings\All Users\Application Data, проверяет параметр shell и прописывает в нем пусть к exe файлу блокировщика. Поэтому изменение параметра shell ни к чему не приводило.

Поэтому я скачал образ Dr.Web® LiveCD с официального сата Dr. Web, загрузился с него, сделал полное сканирование системы, и уже после этого редактировал параметр shell в ключе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon].

Перезагрузившись, блокировщика я не увидел, но! Windows после попытки входа в систему и проигрывания соответствующего звукового файла, делала сразу же выход, и оставалась на экране приветствия. В безопасном режиме было аналогичное. Тогда я, снова загрузившись с AlkidSE через файловый менеджер зашел в директорию windows - system32 и не обнаружил там файла userinit.exe. Так как я знал, что на ноутбке установлена ОС со сборки ZverDVD, и у меня был еще один ноутбук с установленной этой же ОС, я копировал с рабочего ноутбука файл userinit.exe (из директории windows - system32, вставил в директорию windows - system32 "пострадавшего" ноута, перезагрузился и успешно вошел в систему grin


Вам нужен системный администратор, но вы не хотите нанимать лишнего сотрудника? Да и работа для сисадмина не всегда бывает. Как же сделать так, чтобы и админ без дела не болтался и не получал зарплату просто так, и технические проблемы решались вовремя? Рекомендую обратиться в http://onlanta.ru/services/user-support/ центр технической поддержки. Они занимаются как удаленной поддержкой пользователей, так и выездным техническим обслуживанием.

Поделиться с друзьями   facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru livejournal.ru
Комментариев: 2
  1. Столкнулся с похожей проблемой. Понял, что главное - не паниковать. Загрузился на нетбук с выносного DVD старенькой оболочкой Windows PE. Перепробовал все найденные в интернете советы на эту тему не помогло. Посидел, подумал. Поскольку приблизительно знал время заражения, решил поискать файлы на системном диске возрастом до 1 дня (опция в Поиске проводника). Нашел файлик размером 66 кб, который скромно прятался под именем ms.exe (ассоциации сразу с MicroSoft, не правда ли?) по адресу C:\Documents and Settings\User\ms.exe

    Дальше все было относительно просто: переименовал его для последующей отсылки в лабораторию Касперского (обезвредил) и вытащил в корневой каталог. Вручную почистил реестр Windows из оболочки Windows PE (следуя добрым советам в интернете), запустился с системного диска, все ОК... В общем, я туда больше ни ногой grin и никому не советую... Можно ведь было и всю систему потерять с наработанными настройками... Переустановить ОС - не проблема, а настраивать - это ж время...

  2. Спасибо за то что поделились вашим способом, многим пригодится!