Это не учения, боец! Добро пожаловать в реальный мир!
Полигон DISc0nNecT'a

Авторизация

Черный мускус
Как заработать денег в интернете

Карта посещений

Другие ссылки

Поиск по сайту

Боремся с блокировщиками. Ручное удаление баннеров, блокираторов, вымогателей через LiveCD.

Концепция

На зараженном компьютере загрузитесь с диска LiveCD и с него подключитесь к реестру зараженной Windows, поправьте несколько значения реестра и через Проводник или Тотал командер почистите подозрительные файлы на зараженном компьютере.

LiveCD работает независимо от Windows установленной на компьютере, поэтому абсолютно неважно, насколько заблокирован Windows – для работы LiveCD это не имеет значения.

Какой LiveCD использовать

Вам потребуется любой LiveCD на основе Windows.
Например Live CD Reanimator:

Можете скачать любой другой LiveCD поиском по торрентам или через поисковики.

Запись LiveCD на болванку или флэшку

Скаченный образ Live CD представляет из себя файл с расширением .iso – его нужно смонтировать на CD болванку через программу вроде Nero или Alcohol. Обращаю внимание на то, что скаченный образ нужно именно смонтировать, а не скопировать на болванку.  Если после записи на болванке окажется только один файл, то это НЕправильно.

Если нет программы для записи образа на болванку, то воспользуйтесь бесплатной программой Free ISO Burner. Она проста и не требует установки – укажите программе через "Open" скаченный образ, убедитесь, что в поле "Drive" указано название вашего привода и нажмите кнопку "Burn".

Если не получается записать образ на болванку, то нажмите сюда. Если нет в компьютере CD-привода – тогда можно загрузиться с флешки. Инструкция как смонтировать образ LiveCD на флешку.

Дальше нужно полученный Live CD вставить в DVD привод зараженного компьютера и загрузиться с него. Для этого нужно в БИОСе поставить приоритет загрузки с DVD – инструкция тут.

Работа с реестром зараженной Windows

Способ номер уно:

Если у вас LiveCD ERD Commander, то для доступа к реестру зараженной Windows:

Пуск –> Выполнить –> erdregedit, загрузится программа "Редактор реестра".

Способ номер дуо:

Если у вас LiveCD Reanimator, то для запуска "Редактора реестра":

Пуск –> Программы –> Remote –> ERD Commander 2005 – здесь сначала нужно выбрать "1-Выбор директории Windows" и указать папку вашей зараженной Windows. Скорее всего, c:\windows. Обращаю внимание, на то, что при загрузке с LiveCD, ваш диск C: может иметь другую букву, например X: – в этом случае, указывать нужно будет папку x:\windows

Затем выберите "Редактор реестра" (Пуск –> Программы –> Remote –> ERD Commander 2005).

Если у вас live CD другой, но который содержит "ERD Commander", то, возможно, выбор директории Windows не потребуется – просто, запустите "Редактор реестра" из "ERD Commander".

Способ номер три:

Если у вас LiveCD без ERD Commander, то можно подключиться к реестру через стандартный Пуск –> Выполнить –> ввести regedit и нажать [Enter]. Ставьте курсор на HKEY_LOCAL_MACHINE, затем Файл –> Загрузить куст.
 

Укажите файл software, который находится по пути:

C:\Windows\system32\config\

На запрос "Имя раздела" введите любое название. В "Редакторе реестра" появится еще одна ветка – с ней и будете работать. После редактирования реестра нажмите Файл –> Выгрузить Куст.

Способы номер четыре и пять:

Также подключиться к реестру зараженной Windows можно с помощью специальных утилит, в этом случае, кроме LiveCD нужно иметь флэшку с данными утилитами:

Утилита REGloader – ей необходимо указать папку зараженной Windows, после этого загрузится небольшое окно данной утилиты, в котором 4 кнопки.



Кнопка Winlogon позволит загрузить программу "Редактор реестра" и сразу перейти к ветке реестра, с которой будем работать в первую очередь. Так что данная утилита позволяет очень удобно работать с реестром неактивной Windows.

Утилита RunScanner.exe + regedit.bat – запустите файл regedit.bat и укажите папку зараженной Windows, затем загрузится программа "Редактор реестра".


Выше я показал пять способов подключиться в реестру зараженной Windows, так что у вас есть выбор.

Теперь у вас запущена программа "Редактор реестра". Окно "Редактора реестра" делится на две части: слева ветки реестра, справа параметры этих веток.
Слева открывайте ветки реестра в следующей последовательности:

HKEY_LOCAL_MACHINE –> SOFTWARE –> Microsoft –> Windows NT –> CurrentVersion –> Winlogon

(Если не понятна строка выше, то она означает, что выберите слева ветку HKEY_LOCAL_MACHINE и разверните ее, в ней ищите ветку SOFTWARE и разверните ее, теперь ищите ветку Microsoft и так далее до ветки Winlogon).

Наконец курсор стоит на ветке Winlogon. Посмотрите значения (справа). Найдите параметр с именем Shell и двойной клик мышью по нему, появится небольшое окно, посмотрите какое там значение. Должно быть только:

explorer.exe

Все лишнее удалите и щелкните мышью на "ОК"

Теперь найдите параметр userinit (это опять справа), также как и в случае с параметром Shell, посмотрите его значение. Должно быть:

C:\WINDOWS\system32\userinit.exe,

Все лишнее удаляйте. Обратите внимание, что в конце должна стоять запятая. И обратите внимание, что в данном примере Windows установлена в папку C:\WINDOWS, если ваша Windows установлена по другому пути, то учитывайте это при выполнении данной инструкции!

Теперь посмотрите на левую часть программы "Редактор реестра". Курсор скорее всего стоит на ветке Winlogon, переместите курсор чуть выше на ветку Windows. Найдите справа параметр AppInit_DLLs – посмотрите его значение. Значение должно быть пустым, а значит при наличии какой бы то ни было записи следует зачистить.


Вот вы и восстановили ветки реестра, которые всех чаще поражают блокираторы. Дальше зачистим ветки реестра, которые также иногда поражаются баннерами:

Вы уже знаете, как работать с программой "Редактор реестра", так что вам не составит большого труда открыть ветки реестра в следующей последовательности:

HKEY_CURRENT_USER –> Software –> Microsoft –> Windows NT –> CurrentVersion –> Winlogon

и если увидите (справа) параметры Shell или Userinit, то удалите их. Для удаления щелкните по нужному параметру правой кнопкой мыши и выбрать пункт "удалить".

Теперь идите сюда:

HKEY_LOCAL_MACHINE –> SOFTWARE –> Microsoft –> Windows –> CurrentVersion –> Run

Вы зашли в ветку, в которой (справа) видно, что грузится вместе с Windows – удалите подозрительные записи.

Также удалите подозрительные записи здесь:

HKEY_CURRENT_USER –> SOFTWARE –> Microsoft –> Windows –> CurrentVersion –> Run

Теперь идите:

HKEY_LOCAL_MACHINE –> Software –> Microsoft –> Windows –> CurrentVersion –> Policies –> Explorer –> Run
и
HKEY_CURRENT_USER –> Software –> Microsoft –> Windows –> CurrentVersion –> Policies –> Explorer –> Run

все что там найдете – можете удалять. Возможно, данных веток и не будет вовсе.

Теперь сюда:

HKEY_LOCAL_MACHINE –> SYSTEM –> CurrentControlSet –> Control –> Session Manager

Справа найдите параметр BootExecute, его значение должно быть:

autocheck autochk *

Закончим с редактированием реестра. Выходите из программы "Редактор реестра".

Удаление подозрительных файлов

Наверняка на вашем Live CD есть программы вроде Тотал Командер – используйте их для дальнейших действий. Или используйте Проводник.

Под сочетанием  %name% я буду подразумевать имя вашей учетной записи, под которой вы заходите в Windows, и может означать, например, "Вася" или "Admin" или "User" или т.п.

Удалите все файлы и папки из папок:
C:\RECYCLER
D:\RECYCLER
(если винчестер разбит на несколько дисков)
C:\WINDOWS\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temporary Internet Files
C:\Documents adns Settings\%name%\LocalSettings\Temp
C:\Documents adns Settings\%name%\LocalSettings\Temporary Internet Files

Удалить все файлы, кроме указанных:
C:\Documents and Settings\All Users за исключением:  ntuser.pol
C:\Documents and Settings\%name%
за исключением: NTUSER.DAT, ntuser.ini, ntuser.pol, ntuser.dat.LOG, ntuser.dat.LOG1

Чтобы дальше понять какие файлы подозрительные, вот список расширений, которые говорят о возможном вирусе/трояне: exe, com, bat, cmd, pif, scr, vbs, tmp. Но все таки, стоит знать, что у вирусных файлов может быть любое расширение.

Удалите подозрительные файлы из папок:
C:\Documents and Settings\%name%\ApplicationData
C:\Program Files
(только именно в этой папке! в подпапки заходить не надо.)
C:\Documents and Settings\%name%\Главное меню\Программы\Автозагрузка

Теперь выньте диск Live CD из компьютера и перезагрузите компьютер.

Рекомендация, которую следует выполнить

Сейчас блокираторы стали портить некоторые системные файлы, поэтому перед перезагрузкой следует восстановить системные файлы Windows.
Если данная инструкция помогла и компьютер загрузился, то следует поочередно проверить компьютер разными антивирусными сканерами, ссылки на скачку можно найти в других статьях на этом сайте.


Источник

Добавить комментарий


Защитный код
Обновить

Яндекс.Метрика