Как может показаться на первый взгляд, речь идет об абсолютно разных вещах. Так, в первом случае, мы однозначно имеем дело с вредоносным программным обеспечением, а во втором, может показаться, что имеет место быть, неисправность операционной системы. Но дело в том, что в обоих случаях проблема одна, но на разных стадиях. В первом случае, антивирусная программа "проспала" появление трояна, который незамедлительно приступил к выполнению своих обязанностей, а во втором, антивирусное ПО обнаружило "неприятеля", но немного припозднилось, т.к. он частично выполнился и подменил некоторые значения реестра. Троян в данном случае был благополучно удален антивирусом, но изменения в реестре исправлены не были, отсюда и появился второй заголовок у статьи. Но, обо всем по порядку.
В последнее время проблема удаления т.н. программ-блокираторов (Win32/LockScreen), которые после своей активации (запуска) блокируют работу пользователя на компьютере, а за оказание услуги возвращения прежней работоспособности ПК вымогают денежные средства посредством отправки SMS, перевода денег на счет, через терминал и т.д., стала особенно актуальна. К большому сожалению, некогда помогавшие сервисы антивирусных компаний по генерации кодов разблокировки (
http://support.kaspersky.ru/viruses/deblocker,
http://www.drweb.com/unlocker/index/,
http://www.esetnod32.ru/.support/winlock/), сегодня оказываются практически бесполезными. В первую очередь это связано с огромным разнообразием вариантов, как программ-блокираторов, кодов разблокировки, так и отсутствием в программах механизма разблокировки. Однако, данное вредоносное ПО очень просто удалить с помощью загрузочного диска, получив доступ к реестру неактивной копии Windows. Постараюсь помочь Вам в этом деле.
Но сначала рассмотрим еще одну ситуацию, три дня назад в одной из организаций, где я зарабатываю на хлеб насущный, "забили тревогу". Поступила жалоба на один из компьютеров, который накануне благополучно отработал весь день и был, как обычно выключен, но на следующий день, по непонятным причинам, требовал выбрать пользователя, после чего, начинал загружать личные параметры и тут же завершал сеанс работы и так по кругу. Как мне сказали загрузка в "Безопасном режиме" и "Загрузка последней удачной конфигурации (с работоспособными параметрами)", не давали положительных результатов. Вход в систему стал невозможен.
Описываемый мной второй случай, есть ничто иное, как результат послевирусной активности на компьютере. Т.е. трояном был изменен раздел реестра, о котором я буду писать дальше, а сам троянец был удален антивирусным ПО, но изменения сделанные им в реестре остались. Сейчас мы и начнем разбираться во всем этом безобразии.
ВНИМАНИЕ! Не ищите легкого пути, не платите деньги за вымогательство и шантаж, не спонсируйте жуликов. После оплаты услуги, разблокировки Windows Вы не получите!!!
Итак, в обоих случаях искать причину следует с проверки файлов, отвечающих за процесс загрузки операционной системы, а именно, с файла, который ответственен за запуск оболочки Windows.
Файл userinit.exe является частью операционных систем Windows и именно он отвечает за процесс загрузки операционной системы. На этот файл возложены задачи восстановления сетевых подключений и запуска оболочки. Процесс является критическим для функционирования операционной системы. Попытки его отключить или удалить приведут к невозможности загрузки операционной системы. Так, что очень вероятно, что у нас этот файл поврежден или удален, а возможно, что были изменены некоторые ключи реестра.
Обращаю Ваше внимание на то обстоятельство, что данный процесс никогда не виден в диспетчере задач, за исключением нескольких секунд после входа в систему. А, вот, присутствие такого процесса в диспетчере задач может означать только одно - компьютер заражен вредоносным программным обеспечением.
Так как данный процесс отвечает за загрузку операционной системы, часто вирусописаки и распространители шпионского ПО скрывают свои программы в этом процессе. Например, злонамеренные файлы могут иметь такое же имя, но быть расположены вне директории %SystemRoot%\System32. Другие злонамеренные программы могут использовать похожее имя файла и т.д.
ия всех вышеперечисленных проблем нам потребуется диск, представляющий собой урезанную версию Windows XP, которая загружается с CD. Например,
Windows PE Russian Live CD (11.11.2009) (торрент, 1.39 Гб), использование любого другого диска не возбраняется, важно, чтобы он умел работать с реестром неактивной копии Windows, содержал программу
ERD Commander или подобную.
Я буду описывать всю процедуру "лечения", на примере вышеназванной версии LiveCD. Скачал ее давным-давно и меня она пока всем устраивает.
Советую держать подобные диски всегда под рукой!
1. Итак, в BIOS выбираем загрузку с компакт-диска и загружаем систему с Вашего LiveCD.
2. После загрузки Windows с диска, откройте ПУСК -> Система -> ERD Commander -> ErdRoot.
3. Укажите папку с установленной ("испорченной") Windows и нажмите ОК. Чаще всего, это C:\Windows, но на данном компьютере Windows находится на диске D, поэтому я указываю D:\Windows.
4. Возвращаемся за редактором реестра, для этого открываем ПУСК -> Система -> ERD Commander -> RegEdit. Т.е. после выполнения предыдущего шага у нас будет уверенность в том, что мы не будем править реестр LiveCD, а будем править именно реестр "испорченной" ОС
Если бы мы сразу запустили RegEdit, то занялись бы тем, что правили реестр LiveCD и ни к чему бы это действие нас не привело
5. Получив доступ к реестру "испорченной" Windows, переходим к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, и проверяем ключи Shell и Userinit.
Должно быть так (стандартные значения):
Userinit = C:\Windows\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe
VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"
Подробнее о стандартных значениях:
Shell = explorer.exe, если у Вас написано что-то другое, то это означает, что у Вас подменен проводник Windows.
Userinit = C:\Windows\system32\userinit.exe, этот ключ определяет программы (перечислены через запятую), которые Winlogon запускает, когда пользователь входит в систему. По умолчанию, Winlogon запускает файл userinit.exe, который в свою очередь стартует logon-скрипты, устанавливает сетевые подключения, а затем запускает explorer.exe, т.е. пользовательский интерфейс Windows.
Прописав путь к какой-нибудь программе ДО userinit.exe, можно запустить ее прежде, чем стартует интерфейс Windows Explorer, а, прописав путь ПОСЛЕ, – обозначить старт конкретного приложения сразу после появление пользовательского интерфейса. Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла:
Userinit = %systemfolder%\userinet.exe, [путь до исполняемого файла блокера] В моем случае было именно так.
Обратите внимание, что последнее время создатели вирусов скрывают свои творения под названиями "правильных" программ, так в ключе Shell может находиться Explorеr.exe, у которого в названии одна буква "е" - на русской раскладке или в ключе Userinit запускается userinit.exe, также содержащий русскую букву.
Поэтому наберите эти строки с клавиатуры самостоятельно.
6. Исправьте значения ключей Shell и Userinit на стандартные значения,
предварительно запомнив папку, из которой запускается вирус и имя файла.
Кстати, последнее время появилась новая разновидность винлокера изменяющая оба параметра: прописывая в Shell файл из C:\Documents and Settings\All Users\Application Data\, он так же не изменяя строку инициализации Userinit, подменяет сам файл userinit.exe в каталоге C:\Windows\system32\, также подменяя файл Диспетчера задач - taskmgr.exe в том же каталоге. В этом случае, исправив параметр Shell, после перезагрузки мы получим такую же заблокированную машину.
7. Чтобы этого не произошло, идем в C:\Windows\system32\ и смотрим время изменения файлов
userinit.exe,
Winlogon.exe и
taskmgr.exe. После чего, проверяем файл
explorer.exe в каталоге C:\Windows\. В случае изменения файлов, заменяем их оригиналами с рабочих компьютеров (можно взять с установочного диска Windows).
Если какого-то файла нет, попробуйте запустить обычный поиск по Вашему диску, если найдете эти файлы то скопируйте их в соответствующие директории. Если не нашли, тогда возьмите их с другой такой же копии ОС. Если не ошибаюсь, то файл userinit.exe можно также найти в папке C:\Windows\system32\dllcache\.
Можно воспользоваться установочным диском:
expand X:\i386\userinit.ex_ C:\Windows\system32\userinit.exe
где Х - буква CD установочного диска, а операционная система, предположительно, находится на диске C.
8. Запускаем проводник, переходим в каталог содержащий вирус (мы же его запоминали) и удаляем файл содержащий блокировщик.
9. Перезагружаемся.
По идее, Windows должен быть разблокирован, вирус удален, а финансы сохранены. Тем не менее, советую проверить систему свежим антивирусом, например, одноразовым Касперским, Dr.Web'ом или NOD'ом. На этом я заканчиваю свое повествование.
Удачи!
Источник