• Приветствую тебя уважаемый гость на форуме, посвященный компьютерам! В дружелюбной обстановке у вас будет возможность обсудить различные технические вопросы, касаемых: компьютеров, ноутбуков, программ для ПК. Обратите внимание, компьютерный форум Hard-Help.ru не коммерческий ресурс, то есть наши модераторы ничего не продают и не хвалят разные товары за деньги. Если это ваш первый визит, рекомендуем почитать справку по форуму. Для создания тем и размещения сообщений необходимо зарегистрироваться. После регистрации и успешной авторизации в темах не будет видна реклама от компании Google, а также появятся дополнительные функции. Желаем Вам приятного общения и новых друзей!

Удаление локера в безопасном режиме загрузки ОС

F

felix2604

Member
Регистрация
9 Июл 2012
Сообщения
332
Репутация
0
Баллы
16
Такой метод применим только в том случае, если userunit.exe не заменён локером.
Если при запуске в безопасном режиме запустится баннер, то данный способ для решения непригоден.

Система заблокирована баннером, казалось бы всё, в сервис, но нет, справимся своими силами.

Перезагружаем ПК, нажимаем F8 выбираем "Безопасный режим с поддержкой командной строки":

Выбираем операционную систему и нажимаем Enter:

После загрузки появится Диалоговое окно командной строки:

Запускаем редактор реестра командой regedit и нажимаем Enter:

Откроется диалоговое окно редактора реестра:

Находим ветку реестра Winlogon и видим в ключе Shell паразита:

Открываем ключ Shell и вырезаем всё содержимое ключа:

Восстанавливаем значение ключа Shell (Explorer.exe)

Проверяем ключи автозагрузки:

Запускаем диспетчера задач, команда taskmgr и нажимаем Enter:


цитата написал(а):
Если не запускается regedit и taskmgr набрать команду:
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /f
Нажмите для раскрытия...

Нажимаем кнопку "Файл", затем выбираем в "Новая задача (Выполнить)"

В открывшемся окне правым кликом мыши вставляем путь, который вырезали из ключа Shell, нажимаем кнопку "Обзор":

Откроется диалоговое окно проводника, видим целый "рассадник" локеров

Удаляем локер, закрываем окно проводника:


цитата написал(а):
Некоторые локеры имеют атрибут скрытый, поэтому будут не видны для удаления.
Удалить можно из командной строки:

del /a "вставляем путь, который вырезали из ключа Shell или автозагрузки"
Нажмите для раскрытия...

Нажимаем кнопку "Отмена", возвращаемся к диспетчеру задач:

В меню диспетчера задач нажимаем кнопку "Завершение работы", в появившемся списке выбираем "Перезагрузка":

Проверяем отсутствие баннера:


При возникновении вопросов писать в этой теме.

Ссылка на первоисточник: Форум Zverdvd.org
 
felix2604 "Безопасный режим" не всегда доступна. Умные вирусы первым делом ломает ключ Безопасного режима. А так хорошая статья :good3:
 
arkalik

Даже на старуху найдётся проруха... :biggrin:

Статью изначально написал как простейший пример по удалению баннеров такого рода, разница только в том что некоторые писатели поумнели и начали прописывать баннер в ветке HCCUser, что в первый раз может слегка сбить с толку...

Самое интересное, что принцип действия до сих пор актуален, так как не все баннеры умеют блокировать вышеозвученные ключи, за последний месяц принесли 5 пациентов с подобным живцом, даже LiveCD не пришлось применять...
 
felix2604 написал(а):
так как не все баннеры умеют блокировать вышеозвученные ключи, за последний месяц принесли 5 пациентов с подобным живцом, даже LiveCD не пришлось применять...
Нажмите для раскрытия...
У вас какие-то слабые "Баннерописатели" :mosking:. У моих пациентов вирусы заменяют файлов userinit.exe и taskmgr.exe. После удаление Винлокера приходится вручную восстановить эти файлы. Для себя сохранил парочку таких баннеров, если хочешь могу передать, можешь изучить. :wink:
 
arkalik

И с такими сталкивался, только восстанавливал по другому:

Удаление локера 22CC6C32.

Техника:
- ноутбук Emachines D620
- загрузочный USB-накопитель, созданный по проекту Уважаемого модератора mannaleks

Для наглядности процесса удаления локер запустил без виртуальной машины:



Выключаю ноутбук, затем включаю, выбираю загрузку с USB-накопителя:


Запускаю редактор реестра:


Подключаюсь к реестру учётной записи:


Проверяю ветку реестра Winlogon, вижу демона в ключе Shell:


Вырезаю путь к демону, восстанавливаю значение ключа Shell:


Значение ключа Shell восстановлено:


Закрываю редактор реестра, перехожу к удалению демона из системы.
Вставляю вырезанный из значения реестра путь, удаляю часть строки с именем и расширением файла демона:


Нажимаю Enter, открывается папка с демоном:


Удаляю демона:


Проверяю папку windows\system32, вижу замену файла userinit.exe:


Копирую из папки AlkidCD оригинальный файл:


Вставляю оригинальный файл, подтверждаю замену:


Проверяю папку windows\system32\dllcache, вижу замену файла userinit.exe:


Вставляю оригинальный файл, подтверждаю замену:


Готово. Перезагружаю ноутбук, проверяю результат:



Помимо userinit.exe также следует обратить внимание на taskmgr.exe, некоторые модификации локера С32 заменяют его.

Список файлов, на которые следует обратить внимание:
explorer.exe
taskmgr.exe
userinit.exe
logonui.exe

Ссылка на первоисточник: Форум Zverdvd.org
 
felix2604 Можно добавить еще одну статью "Удаление Баннера с Загрузочного сектора MBR" :wink:
 
Очень толково и просто. В моём варианте всё, пожалуй, перегружено и выглядит сложнее. Кстати там есть максимально простой вариант для чайников, который учитывает оба случая, да и все известные на сегодня - AntiSMS, безопасно и максимально корректно. Считаю идеал.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

G
Нет изображения после синего экрана
Ответы
1
Просмотры
127
Junior
Junior
C
Пропадает и появляется питание от сети.
Ответы
1
Просмотры
268
zix
zix
V
Комп перезагружается
Ответы
0
Просмотры
275
varvar2020
V
H
Скачать бесплатно Discord для компьютера
Ответы
0
Просмотры
153
Hander
H
Е
I7-8550u
Ответы
4
Просмотры
459
Евгений 9987
Е
Сверху