За прошедшие полтора года мне много раз приходилось удалять блокировщики Windows. И я заметил, что все они примитивны и удалять их очень просто. Не нужно перелопачивать интернет в поисках несуществующего кода разблокировки. Вся процедура удаления любого блокировщика Trojan.Winlock занимает минут 5. Вот, решил поделиться с народом и методом и инструментами. Если что-то будет непонятно - пишите комменты, либо буду отвечать, либо что-то переписывать\дописывать в самой статье.
Если вы по каким-либо причинам не хотите удалять блокировщик Windows самостоятельно и вы находитесь в Москве - звоните, телефон указан вверху странички, всегда буду рад помочь.
1. Итак, для начала нужно обзавестись загрузочным CD диском ERD Commander 5.0 Этот диск от Microsoft, предназначен для диагностики и восстановления работоспособности WIndows XP ( для Vista и Windows7 существуют свои версии ERD Commander, нам они не подойдут.)
Так где же взять этот ERD Commander 5.0? Необходимо погуглить и скачать образ этого диска из интернета. Могу дать ссылку на закачку, для этого напишите запрос в разделе контакты, а я в ответ в течение дня вышлю ссылку на скачивание.
После того, как скачаете образ, запишите его на CD. Для тех, кто не знает как ISO образ записать на CD - отдельная статья.
2. Необходимо на зараженном компьютере загрузиться с записанного CD диска ERD Commander 5.0
3. Во время загрузки системы с CD диска, при появлении окна с надписью Registering network components нажать на кнопку Skip Network Configuration.
На этом этапе ERD Commander пытается определить сетевую карту и настроить сеть. Этот процесс бывает очень затягивается, а сеть нам совсем не нужна для удаления блокировщика.
4. Далее, в появившемся списке кликнуть мышкой на строку, указывающей путь к заблокированной Windows, и нажать на кнопку ОК.
В большинстве случаев нужная строка в столбце System Root содержит C:\WINDOWS . Строчек может быть больше, чем две, если на компьютере установлено более одной операционной системы Windows, но это редко. Если вы не понимаете, о чем идет речь - кликните на любую строку кроме строки содержащей (None) в столбце System Root , хуже от это не будет. Если на последующих шагах выяснится, что не угадали, перезагрузите компьютер и в этот раз выберете другую строку.
Настройки Keyboard и Timezone не меняйте.
Если строка содержит не C:\WINDOWS, а что-то другое в столбце System Root (например D:\WINDOWS), то обязательно запишите. Это путь, который пригодится на шаге 9.
5. Нажмите Start - Administrative Tools - Registry Editor ...
6. ... откроется окно ERD Registry Editor
7. Последовательно открывайте нижеперечисленные разделы реестра (дважды кликайте мышкой на нижеперечисленных желтых папках, которые расположены в левой части окна ERD Registry Editor):
- HKEY_LOCAL_MACHINE (откроются вложенные разделы/папки, и в этих открытых ищите следующие разделы/папки)
- SOFTWARE
- Microsoft
- WindowsNT
- CurrentVersion
- Winlogon
(на самом деле пишется все это в одну строчку \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon и для понимания того, в каком месте реестра мы находимся, в самом низу окна ERD Registry Editor пишется этот путь.)
После этого окно ERD Registry Editor будет выглядеть примерно как на картинке.
Теперь переходим к правой части.
8. В правой части окна кликните мышкой на ключе с именем Shell. В параметре Value data не должно быть ничего кроме Explorer.exe. Если там что-то другое, наберите Explorer.exe и нажмите ОК.
9. В правой части окна кликните мышкой на ключе с именем Userinit. В параметре Value data должен быть прописан путь, оканчивающийся на \system32\userinit.exe. Обычно это C:\WINDOWS\system32\userinit.exe, или что-то оканчивающееся на \system32\userinit.exe и ничего более. Если там что-то другое, наберите C:\WINDOWS\system32\userinit.exe, и нажмите ОК.
(для тех, кто записал в пункте 4 путь к Windows, строчка должна выглядеть так: путь\system32\userinit.exe, например D:\WINDOWS\system32\userinit.exe)
10. Все, ваш Windows разблокирован. Осталось только загрузиться с CD c антивирусом и удалить все вирусы и зловреды на диске. Но об этом другой статье.
Если вы по каким-либо причинам не хотите удалять блокировщик Windows самостоятельно и вы находитесь в Москве - звоните, телефон указан вверху странички, всегда буду рад помочь.
PS Если не удалить вирусы и зловреды, то скорее всего, после того, как вы или какой-то процесс, запустит этот неудаленный зловред, Windows через какое-то время будет опять окажется в заблокированном состоянии.
UPDATE 1.
11. Для тех, у кого в 9-м пункте параметр Value data оканчивается на .../SYSTEM32.EXE необходимо ОБЯЗАТЕЛЬНО удалить этот файл system32.exe c диска. Сдеать это можно запустив START - EXPLORER в том же ERD Commander. В Explorer пройти по пути, указанном в 9-м пункте в параметре Value data, и удалить мерзавца system32.exe Позже выложу картинки и опишу поподробнее.
UPDATE 2.
12. Возьмите с работающего компьютера с такой же операционной системой следующие фацйлы:
a) /WINDOWS/SYSTEM32/USERINIT.EXE
б) /WINDOWS/SYSTEM32/LOGONGUI.EXE
б) /WINDOWS/EXPLORER.EXE
б) /WINDOWS/SYSTEM32/TASKMGR.EXE
и замените их на зараженном компьютере. Не буду описывать как определять, заражены эти файлы или нет, просто поменяйте их на заведомо незараженные. Видимо придется выложить куда-нибудь эти файлы для всех версий Windows. Пока пишите через раздел контакты - вышлю.
| Следующая > |
|---|