Последние файлы

Десять самых скачиваемых файлов


Последние видеоуроки
Последние инструкции

TOP-10 вирусов от
Kaspersky Lab

Календарь праздников от
Calend.Ru

Праздники России

Прогноз погоды от Яндекс.Погода

Яндекс.Погода в Назарово
Яндекс.Погода в Ейске

Курс валют от
RosInvest.Com

Информеры - курсы валют





Экспресс анализ сайта
Добавить в избранное Сделать стартовой Написать письмо Подписаться на рассылку Подписчики
Вы находитесь на странице "Удаление трояна-винлокера (Win32/LockScreen). Завершение сеанса Windows на стадии загрузки личных параметров."
 
На главную

главная статьи
   
FAQ инструкции
   
скачать видеоуроки
   
о рекламе объявления
   
гостевая ссылки
   
разработки форум

 

 

Удаление трояна-винлокера (Win32/LockScreen). Завершение сеанса Windows на стадии загрузки личных параметров.

Автор: Василий Седых

Дата: 2011-07-03

Сокращенная версия статьи

Как может показаться на первый взгляд, речь идет об абсолютно разных вещах. Так, в первом случае, мы однозначно имеем дело с вредоносным программным обеспечением, а во втором, может показаться, что имеет место быть, неисправность операционной системы. Но дело в том, что в обоих случаях проблема одна, но на разных стадиях. В первом случае, антивирусная программа "проспала" появление трояна, который незамедлительно приступил к выполнению своих обязанностей, а во втором, антивирусное ПО обнаружило "неприятеля", но немного припозднилось, т.к. он частично выполнился и подменил некоторые значения реестра. Троян в данном случае был благополучно удален антивирусом, но изменения в реестре исправлены не были, отсюда и появился второй заголовок у статьи. Но, обо всем по порядку.

В последнее время проблема удаления т.н. программ-блокираторов (Win32/LockScreen), которые после своей активации (запуска) блокируют работу пользователя на компьютере, а за оказание услуги возвращения прежней работоспособности ПК вымогают денежные средства посредством отправки SMS, перевода денег на счет, через терминал и т.д., стала особенно актуальна. К большому сожалению, некогда помогавшие сервисы антивирусных компаний по генерации кодов разблокировки (http://support.kaspersky.ru/viruses/deblocker, http://www.drweb.com/unlocker/index/, http://www.esetnod32.ru/.support/winlock/), сегодня оказываются практически бесполезными. В первую очередь это связано с огромным разнообразием вариантов, как программ-блокираторов, кодов разблокировки, так и отсутствием в программах механизма разблокировки. Однако, данное вредоносное ПО очень просто удалить с помощью загрузочного диска, получив доступ к реестру неактивной копии Windows. Постараюсь помочь Вам в этом деле.

Но сначала рассмотрим еще одну ситуацию, три дня назад в одной из организаций, где я зарабатываю на хлеб насущный, "забили тревогу". Поступила жалоба на один из компьютеров, который накануне благополучно отработал весь день и был, как обычно выключен, но на следующий день, по непонятным причинам, требовал выбрать пользователя, после чего, начинал загружать личные параметры и тут же завершал сеанс работы и так по кругу. Как мне сказали загрузка в "Безопасном режиме" и "Загрузка последней удачной конфигурации (с работоспособными параметрами)", не давали положительных результатов. Вход в систему стал невозможен.

Описываемый мной второй случай, есть ничто иное, как результат послевирусной активности на компьютере. Т.е. трояном был изменен раздел реестра, о котором я буду писать дальше, а сам троянец был удален антивирусным ПО, но изменения сделанные им в реестре остались. Сейчас мы и начнем разбираться во всем этом безобразии.

ВНИМАНИЕ! Не ищите легкого пути, не платите деньги за вымогательство и шантаж, не спонсируйте жуликов. После оплаты услуги, разблокировки Windows Вы не получите!!!

Итак, в обоих случаях искать причину следует с проверки файлов, отвечающих за процесс загрузки операционной системы, а именно, с файла, который ответственен за запуск оболочки Windows.

Файл userinit.exe является частью операционных систем Windows и именно он отвечает за процесс загрузки операционной системы. На этот файл возложены задачи восстановления сетевых подключений и запуска оболочки. Процесс является критическим для функционирования операционной системы. Попытки его отключить или удалить приведут к невозможности загрузки операционной системы. Так, что очень вероятно, что у нас этот файл поврежден или удален, а возможно, что были изменены некоторые ключи реестра.

Обращаю Ваше внимание на то обстоятельство, что данный процесс никогда не виден в диспетчере задач, за исключением нескольких секунд после входа в систему. А, вот, присутствие такого процесса в диспетчере задач может означать только одно - компьютер заражен вредоносным программным обеспечением.

Так как данный процесс отвечает за загрузку операционной системы, часто вирусописаки и распространители шпионского ПО скрывают свои программы в этом процессе. Например, злонамеренные файлы могут иметь такое же имя, но быть расположены вне директории %SystemRoot%\System32. Другие злонамеренные программы могут использовать похожее имя файла и т.д.

Для устранения всех вышеперечисленных проблем нам потребуется диск, представляющий собой урезанную версию Windows XP, которая загружается с CD. Например, Windows PE Russian Live CD (11.11.2009) (торрент, 1.39 Гб), использование любого другого диска не возбраняется, важно, чтобы он умел работать с реестром неактивной копии Windows, содержал программу ERD Commander или подобную. Я буду описывать всю процедуру "лечения", на примере вышеназванной версии LiveCD. Скачал ее давным-давно и меня она пока всем устраивает. Советую держать подобные диски всегда под рукой!

1. Итак, в BIOS выбираем загрузку с компакт-диска и загружаем систему с Вашего LiveCD.

2. После загрузки Windows с диска, откройте ПУСК -> Система -> ERD Commander -> ErdRoot.

3. Укажите папку с установленной ("испорченной") Windows и нажмите ОК. Чаще всего, это C:\Windows, но на данном компьютере Windows находится на диске D, поэтому я указываю D:\Windows.

4. Возвращаемся за редактором реестра, для этого открываем ПУСК -> Система -> ERD Commander -> RegEdit. Т.е. после выполнения предыдущего шага у нас будет уверенность в том, что мы не будем править реестр LiveCD, а будем править именно реестр "испорченной" ОС :) Если бы мы сразу запустили RegEdit, то занялись бы тем, что правили реестр LiveCD и ни к чему бы это действие нас не привело :)

5. Получив доступ к реестру "испорченной" Windows, переходим к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, и проверяем ключи Shell и Userinit.

Должно быть так (стандартные значения):

Userinit = C:\Windows\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe
VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"



Подробнее о стандартных значениях:

Shell = explorer.exe, если у Вас написано что-то другое, то это означает, что у Вас подменен проводник Windows.

Userinit = C:\Windows\system32\userinit.exe, этот ключ определяет программы (перечислены через запятую), которые Winlogon запускает, когда пользователь входит в систему. По умолчанию, Winlogon запускает файл userinit.exe, который в свою очередь стартует logon-скрипты, устанавливает сетевые подключения, а затем запускает explorer.exe, т.е. пользовательский интерфейс Windows.

Прописав путь к какой-нибудь программе ДО userinit.exe, можно запустить ее прежде, чем стартует интерфейс Windows Explorer, а, прописав путь ПОСЛЕ, – обозначить старт конкретного приложения сразу после появление пользовательского интерфейса. Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла:
Userinit = %systemfolder%\userinet.exe, [путь до исполняемого файла блокера] В моем случае было именно так.

Обратите внимание, что последнее время создатели вирусов скрывают свои творения под названиями "правильных" программ, так в ключе Shell может находиться Explorеr.exe, у которого в названии одна буква "е" - на русской раскладке или в ключе Userinit запускается userinit.exe, также содержащий русскую букву. Поэтому наберите эти строки с клавиатуры самостоятельно.

6. Исправьте значения ключей Shell и Userinit на стандартные значения, предварительно запомнив папку, из которой запускается вирус и имя файла.

Кстати, последнее время появилась новая разновидность винлокера изменяющая оба параметра: прописывая в Shell файл из C:\Documents and Settings\All Users\Application Data\, он так же не изменяя строку инициализации Userinit, подменяет сам файл userinit.exe в каталоге C:\Windows\system32\, также подменяя файл Диспетчера задач - taskmgr.exe в том же каталоге. В этом случае, исправив параметр Shell, после перезагрузки мы получим такую же заблокированную машину.

7. Чтобы этого не произошло, идем в C:\Windows\system32\ и смотрим время изменения файлов userinit.exe, Winlogon.exe и taskmgr.exe. После чего, проверяем файл explorer.exe в каталоге C:\Windows\. В случае изменения файлов, заменяем их оригиналами с рабочих компьютеров (можно взять с установочного диска Windows).

Если какого-то файла нет, попробуйте запустить обычный поиск по Вашему диску, если найдете эти файлы то скопируйте их в соответствующие директории. Если не нашли, тогда возьмите их с другой такой же копии ОС. Если не ошибаюсь, то файл userinit.exe можно также найти в папке C:\Windows\system32\dllcache\.

Можно воспользоваться установочным диском:

expand X:\i386\userinit.ex_ C:\Windows\system32\userinit.exe
где Х - буква CD установочного диска, а операционная система, предположительно, находится на диске C.

8. Запускаем проводник, переходим в каталог содержащий вирус (мы же его запоминали) и удаляем файл содержащий блокировщик.

9. Перезагружаемся.

По идее, Windows должен быть разблокирован, вирус удален, а финансы сохранены. Тем не менее, советую проверить систему свежим антивирусом, например, одноразовым Касперским, Dr.Web'ом или NOD'ом. На этом я заканчиваю свое повествование. Удачи!



Просмотров 23564

Комментарии к этой статье:

Комментарий добавил(а): Семен
Дата: 2011-07-04

Это порно-банеры так тоже можно удалять. Спасибо за статью

Комментарий добавил(а): Василий Седых
Дата: 2011-07-07

Пожалуйста.

Комментарий добавил(а): eIIIkuHkoT
Дата: 2011-07-14

Безумно ОГРОМНЫЙ Respect автору. По более бы таких статей!

Комментарий добавил(а): eIIIkuHkoT
Дата: 2011-07-14

Василий Седых, а вы случайно не занимались созданием мультизагрузочнх USB HDD, чтоб можно было и разные ОС устанавливать с него и запускать все возможные утилиты из iso образов. Сколько статей не читал, пробовал делать, получается но запускается не все, работает одно но не работает другое или на оборот. Если Вы можете чем нить помочь отпишите плиз на email yame84@gmail.com

Комментарий добавил(а): Василий Седых
Дата: 2011-07-14

to eIIIkuHkoT: Пожалуйста! По поводу вопроса про HDD, к сожалению, пока не было необходимости, но, как только займусь этим вопросом, обязательно опишу процедуру. По поводу статей, сейчас пишу БОЛЬШУЮ и подробнейшую статью, касающуюся всевозможных баннеров, существующих на данный момент и различных способов избавления от них. Уж очень я не люблю халявщиков и вымогателей )

Комментарий добавил(а): Арте
Дата: 2011-08-11

Сработало, спасибо огроменное.

Комментарий добавил(а): Voolm
Дата: 2011-08-25

Извините, все заменил. Реест почистил. Все равно запускается компьютер, появляется заставка, потом пишет "Завершение работы" "загрузка личных данных" и так по кругу. Помогите пожалуйста.

Комментарий добавил(а): Eugen
Дата: 2011-08-26

И мне не помогает пока :( WinXP SP3. Как я понял из статьи userinit.exe стартует logon-скрипты. Кто это такие? Они могут завершать сеанс? Еще такое предположение: может файлы userinit.exe, logonui.exe и др. нельзя брать с другого компа? Какие еще ветки в реестре могут поспособствовать "завершению работы"?

Комментарий добавил(а): lucat
Дата: 2011-08-28

Хелп, плиз :) А если реестр чистый? Т.е. нет никаких программ, прописанных в UserInit? И какое значение по умолчанию должно стоять в случае, если у меня винда стоит, как и в примере, на диске D? В реестре стоит диск "С" и не меняется (после изменения, перезагрузки опять в реестре прописан путь на диск "С"). Поменяла все три файла - userinit.exe, winlogon.exe, taskmgr.exe - не помогает. И userinit.exe после перезагрузки имеет не тот размер и дату как тот файл, который я переписывала с рабочей винды.

Комментарий добавил(а): Павел
Дата: 2011-09-12

Много раз разблокировал компы подобным способом. Заменяю файлы в system32, правлю реестр. Но буквально с месяц назад стали появляться баннеры, с которыми такие манипуляции не помогают. Картинка исчезает (с сообщением положить деньги на счет), а компьютер делает завершение сеанса на стадии загрузки личных параметров

Комментарий добавил(а): spike
Дата: 2011-09-14

аналогичная ситуация! переписал реестр, заменил все 4 файла в винде. все равно не помогло. нужно новое решение!

Комментарий добавил(а): Василий Седых
Дата: 2011-09-14

Для всех: Да, друзья, сам столкнулся с подобным и даже начал писать продолжение статьи, еще до свалившихся на меня проблем. Потом собака укусила, бухгалтерию приспичило с 1С 7.7 на 8.2 переходить и т.д. В ближайшее время буду дописывать статью. Повезет, если еще один компьютер с такими же проблемами принесут. to Lucat: Должно быть "С", если Винда на "С" и "D", если, соответственно, на "D". Папка Windows же на диске "D" у Вас находится. Вы реестр чего правите, может это реестр загрузочного диска, если я все правильно понял, а не установленной Windows?

Комментарий добавил(а): Sam
Дата: 2011-09-15

удалите ключь userinit.exe bp HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options и все заработает

Комментарий добавил(а): Rov
Дата: 2011-09-16

Sam: в этом ключе нет userinit.exe

Комментарий добавил(а): spike
Дата: 2011-09-19

спасибо Sam!!! у меня этот способ сработал!!! вот что у меня там было: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe] "Debugger"="C:WINDOWS empas.exe"

Комментарий добавил(а): spike
Дата: 2011-09-19

форматирование все съело((

Комментарий добавил(а): dapoher
Дата: 2011-09-20

Оху ... ное спасибо Samu, помогло!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Комментарий добавил(а): Odan
Дата: 2011-09-22

Автору большое спасибо!

Комментарий добавил(а): Женька укроп
Дата: 2011-09-27

Удалите этот раздел (если существует): HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe

Комментарий добавил(а): Василий Седых
Дата: 2011-10-08

9-10 октября 2011 г. выложу новую статью, уже почти дописал, осталось сокращенный вариант написать. Сам столкнулся с более продвинутым баннером, который не захотел удаляться способом, описанным в этой статье. Поэтому я ее значительно расширил и расписал более подробно.

Комментарий добавил(а): Дима
Дата: 2011-10-12

Спасибо SAM, так оно и было, там ссылка на удаленный вирус-файл. PS. Стоит домашняя Авира, но видно ей не по зубам?! Что делать чтоб не ловить этого вновь? Есть ли инструмент защиты?

Комментарий добавил(а): Дмитрий
Дата: 2012-02-21

У меня два пользователя на компе, один блокирован данным баннером сегодня с утра. Коды не помогают, строки shell и userinit правильные, но я их по вашему совету и вручную переписал. Результат нулевой. По прежнему с одного пользователя все грузится, с другого (основного) нет, баннер вылезает. А там важная почта хранится. что посоветуете по разблокировке? качал сегодня доктор-вебовский cure-it - прогнал, ничего не нашел. До этого проверял Авирой - три вируса нашел, вылечил, но там совсем другие вредители, винлокер же не обнаружен. ((

Комментарий добавил(а): Виталий
Дата: 2012-04-04

Сегодня столкнулся выше описанной проблемой: после лечения "вымогателя" вручную ничего не запускалось: ни винда, ни сейф-моде, ни командная строка. Запустился через ERD commamder, в реестре все было чисто, т.к. я уже все там почистил, когда лечил вирус. Помогло банальное восстановление системы на пару дней назад. Винда запустилась со всеми картинками и т.д. Решил страхануться Касперским и Кьюритом, но они ничего не нашли. Такие дела. Все работает )

Комментарий добавил(а): Влад
Дата: 2012-06-02

Спасибо, помогло! У меня вместо userinit был прописан другой путь и самого userinit-а не было.

Комментарий добавил(а): руслан
Дата: 2012-06-19

http://files.storeland.ru/web/upload/sitefiles/2/143/142817/setup.exe -антивирус касперский качаите бесплатно

Комментарий добавил(а): илья
Дата: 2012-09-12

офигенный сайт поднатаскаюсь)))

Комментарий добавил(а): Cedric
Дата: 2013-01-08

Современные вымогатели прячутся в основном на с:Documents and SettingsUser заменяйте на D: если система на Д стоит и пользователя под кем заходите.Там должны быть только файлы расширения dat,log,ini остальные особенно ехе,сом это вирусы.В Нод32 лично отправил около 20 новых вирусов,которые потом добавили в базу.Удачи.Лечу компы со своего чистого компа,подцепляя зараженный...это самое оптимальное ср-во.

Комментарий добавил(а): leo
Дата: 2013-02-04

засада какая-то... HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe рад бы удалить, да нету; всё, что положно в winlogon проверил, на диске всё есть с дистрибутива; была ещё левая запись shell в hkcu...winlogon - стёр - и один хрен без толку =((( а в инете - одно и то же... эх...

Комментарий добавил(а): jirikxxx
Дата: 2013-04-29

Огромное спасибо сайту и отдельное Василию, очень грамотная и толковая статья, от души!!! помогли здорово

Добавить Ваши комментарии:

Введите сумму чисел с картинки*

* - поля, обзательные для заполнения

E-mail не публикуется!

 

   

Никогда не бойся делать то, чего не умеешь!

Помни, Ковчег был построен любителем.

Профессионалы построили Титаник.

А МЫ ПРОСТО ДЕЛАЕМ ТО, ЧТО ХОРОШО УМЕЕМ!



Последние статьи
Хиты

Вам не нравится RSS?

Подпишитесь на рассылку по e-mail и Вы будете первыми узнавать о появлении новых статей на нашем сайте


Введите Ваш e-mail:

FeedBurner

Все строго конфеденциально! Отсутствие рекламы гарантирую. От рассылки можно отказаться.


www.stateon.ru





Бесплатное удаление баннера, рекламного модуля


Для всех благодарных посетителей нашего сайта, мы сделали вот такую вот «загогулину, понимаешь», как когда-то сказал один широко известный политический деятель ;)

В последнее время меня часто спрашивают: «Как можно отблагодарить автора статей за труды его?» Вот я и нашел такое скромное и ненавязчивое решение. За хостинг и домен я уже три года плачу из своего кармана, а так, «с миру по нитке», глядишь и переведу сайт на самоокупаемость. При этом и у людей появится возможность отблагодарить меня за труды титанические, и я «копейку» в кармане сохраню. Мы то с вами знаем, что копейка рубль бережет, глядишь еще и разбогатею на старости лет )

Заранее выражаю благодарность всем, кто помогает мне «держать сайт на плаву»!




ГЛАВНАЯ | О ФИРМЕ | УСЛУГИ | КОНТАКТЫ | ВАКАНСИИ | О РЕКЛАМЕ | ГОСТЕВАЯ | РАЗРАБОТКИ | СТАТЬИ | ЧА.ВО./F.A.Q. | ИНСТРУКЦИИ | СКАЧАТЬ | ВИДЕОУРОКИ | ОБЪЯВЛЕНИЯ | ССЫЛКИ | ФОРУМ |


Copyright © 2010 «Компьютер-сервис»
Копирование материалов разрешено только с указанием активной гиперссылки на pcservice24.ru