Способов борьбы с Winlocker-ами множество. В некоторых ситуациях подходит ввод случайных символов в любом или строго определенном количестве. Порой помогает код с сайтов ДокторВеб-а или Касперского. Иногда оказывается проще загрузиться с какого-нибудь LiveCD или флэшки и поюзать пару программ, скачанных с Интернета.

Любой способ имеет право на жизнь, лишь бы результат оправдывал ожидания.

К чему вся эта лирика? Сейчас расскажу…

Когда-то я уже писал на тему редактирования реестра упавшей машины под управлением Windows XP. По сути – тот пост пересекается с сегодняшним очень тесно. И именно об этом будут следующие несколько абзацев…

Так вот. Собственно, как разблокировать Windows, если вы поймали одну из модификаций Winlocker? При загрузке сообщение «Компьютер заблокирован! Вы скачивали порнуху/нелегальное ПО/прочую хрень! Через 24 часа компьютер самоуничтожится и бла-бла-бла.»

В этом вопросе обычно помогает любая версия любого LiveCD или загрузочной флэшки, скачанные с Интернета. Алгоритм действий примерно следующий:

1. Загружаемся с нашего носителя, где есть Live-версия Windows
2. Через «Пуск-Выполнить» запускаем «regedit» (редактор реестра)
3. Выбираем в редакторе любую ветку реестра (например HKEY_LOCAL_MACHINE)
4. В меню «Файл» выбираем пункт «Загрузить куст»
5. В открывшемся окне переходим в папку, куда установлена операционная система (например это C:/WINDOWS), в которой переходим в подпапку SYSTEM32/CONFIG и выбираем файл SOFTWARE (там их может быть несколько, нам нужен тот, который без расширения. просто software без всяких .bak или .log)
6. После выбора файла реестра для подгрузки указываем ему любое приглянувшееся имя (редактор реестра сам спросит, под каким именем подгрузить этот куст). Я обычно указываю «1″, но вы можете тыркнуть любую другую цифру или букву, которая окажется под рукой.
7. Все самое интересное начинается дальше. В (HKEY_LOCAL_MACHINE) той ветке, куда вы подгрузили куст реестра заблокированной машины нужно перейти в подразделы Microsoft/Windows NT/CurrentVersion/Winlogon и проверить два параметра.
7-а. Shell должно быть равно explorer.exe (тип REG_SZ)
7-б. Userinit должно быть равно C:\windows\system32\userinit.exe, (здесь важны два момента. первое – c:\windows должно соответствовать папке, куда у вас установлена операционная система. второе – в конце этой строчки обязательно должна стоять запятая)
Собственно, если у вас в реестре в этих двух строчках есть какие-либо отличия от написанного – то можно не стесняться и заменять значения, ибо в этом и есть весь корень зла (блокирующего баннера). По сути эти два параметра определяют, какие программы и какую оболочку системы запускать при старте. Explorer.exe – это стандартная Windows-оболочка, которую мы видим ежедневно по много раз на большинстве встреченных компьютеров. Подмена ее на какой-нибудь 22CC6C32.EXE как раз и запускает вместо обычного привычного рабочего стола операционной системы вот эту фигню с требованием срочно заплатить деньги иначе все умрут.

Для большинства Winlocker-ов проделанного будет достаточно, чтобы после перезагрузки вы увидели привычный рабочий стол и смогли сделать все, что пожелаете (в первую очередь запустите антивирусную проверку… Например, антивирусами от http://freedrweb.com/cureit и http://z-oleg.com/secur/avz/download.php)

Но в некоторых случаях после перезагрузки вы увидите пустой рабочий стол и ни одного привычного вам ярлыка, а также никаких меню (Пуск) и панелей. В этом случае поможет все то же, что было написано выше, только надо будет заменить несколько системных файлов на их исходные версии из дистрибутива. Чтобы не заморачиваться их поиском – для Windows XP архив можно скачать по этой ссылке. Укажите при распаковке папку операционной системы, дальше все будет сделано автоматически. Для других операционных систем – пишите. Отвечу в комментариях.

Способов борьбы с Winlocker-ами множество. В некоторых ситуациях подходит ввод случайных символов в любом или строго определенном количестве. Порой помогает код с сайтов ДокторВеб-а или Касперского. Иногда оказывается проще загрузиться с какого-нибудь LiveCD или флэшки и поюзать пару программ, скачанных с Интернета.

Любой способ имеет право на жизнь, лишь бы результат оправдывал ожидания.

К чему вся эта лирика? Сейчас расскажу…

Когда-то я уже писал на тему редактирования реестра упавшей машины под управлением Windows XP. По сути – тот пост пересекается с сегодняшним очень тесно. И именно об этом будут следующие несколько абзацев…

Так вот. Собственно, как разблокировать Windows, если вы поймали одну из модификаций Winlocker? При загрузке сообщение «Компьютер заблокирован! Вы скачивали порнуху/нелегальное ПО/прочую хрень! Через 24 часа компьютер самоуничтожится и бла-бла-бла.»

В этом вопросе обычно помогает любая версия любого LiveCD или загрузочной флэшки, скачанные с Интернета. Алгоритм действий примерно следующий:

1. Загружаемся с нашего носителя, где есть Live-версия Windows
2. Через «Пуск-Выполнить» запускаем «regedit» (редактор реестра)
3. Выбираем в редакторе любую ветку реестра (например HKEY_LOCAL_MACHINE)
4. В меню «Файл» выбираем пункт «Загрузить куст»
5. В открывшемся окне переходим в папку, куда установлена операционная система (например это C:/WINDOWS), в которой переходим в подпапку SYSTEM32/CONFIG и выбираем файл SOFTWARE (там их может быть несколько, нам нужен тот, который без расширения. просто software без всяких .bak или .log)
6. После выбора файла реестра для подгрузки указываем ему любое приглянувшееся имя (редактор реестра сам спросит, под каким именем подгрузить этот куст). Я обычно указываю «1″, но вы можете тыркнуть любую другую цифру или букву, которая окажется под рукой.
7. Все самое интересное начинается дальше. В (HKEY_LOCAL_MACHINE) той ветке, куда вы подгрузили куст реестра заблокированной машины нужно перейти в подразделы Microsoft/Windows NT/CurrentVersion/Winlogon и проверить два параметра.
7-а. Shell должно быть равно explorer.exe (тип REG_SZ)
7-б. Userinit должно быть равно C:\windows\system32\userinit.exe, (здесь важны два момента. первое – c:\windows должно соответствовать папке, куда у вас установлена операционная система. второе – в конце этой строчки обязательно должна стоять запятая)
Собственно, если у вас в реестре в этих двух строчках есть какие-либо отличия от написанного – то можно не стесняться и заменять значения, ибо в этом и есть весь корень зла (блокирующего баннера). По сути эти два параметра определяют, какие программы и какую оболочку системы запускать при старте. Explorer.exe – это стандартная Windows-оболочка, которую мы видим ежедневно по много раз на большинстве встреченных компьютеров. Подмена ее на какой-нибудь 22CC6C32.EXE как раз и запускает вместо обычного привычного рабочего стола операционной системы вот эту фигню с требованием срочно заплатить деньги иначе все умрут.

Для большинства Winlocker-ов проделанного будет достаточно, чтобы после перезагрузки вы увидели привычный рабочий стол и смогли сделать все, что пожелаете (в первую очередь запустите антивирусную проверку… Например, антивирусами от http://freedrweb.com/cureit и http://z-oleg.com/secur/avz/download.php)

Но в некоторых случаях после перезагрузки вы увидите пустой рабочий стол и ни одного привычного вам ярлыка, а также никаких меню (Пуск) и панелей. В этом случае поможет все то же, что было написано выше, только надо будет заменить несколько системных файлов на их исходные версии из дистрибутива. Чтобы не заморачиваться их поиском – для Windows XP архив можно скачать по этой ссылке. Укажите при распаковке папку операционной системы, дальше все будет сделано автоматически. Для других операционных систем – пишите. Отвечу в комментариях.

Тэги: Восстановление Windows

Запись была опубликованаВоскресенье, 29 мая 2011 в 2:51в рубрике Админские трюки, Настройка компьютера.Вы можете следить за развитием темы посредством RSS 2.0.Вы можете оставить комментарий или трэкбек с Вашего сайта.