пн - 9.00 - 18.00

вт - 9.00 - 18.00

ср - 9.00 - 18.00

чт - 9.00 - 18.00

пт - 9.00 - 18.00

сб - выходной

вс - выходной

обед 13.00 - 14.00

   



Последние статьи
Хиты

Вам не нравится RSS?

Подпишитесь на рассылку по e-mail и Вы будете первыми узнавать о появлении новых статей на сайте pcservice24.ru


Введите Ваш e-mail:

FeedBurner

Конфиденциальность гарантирую, никакой рекламы, от рассылки можно отказаться.


Последние файлы

Десять самых скачиваемых файлов


Последние видеоуроки
Последние инструкции

Календарь праздников от
Calend.Ru

Праздники России

Прогноз погоды от Яндекс.Погода

Яндекс.Погода

Курс валют от
RosInvest.Com

Информеры - курсы валют

TOP-10 вирусов от
Kaspersky Lab





Экспресс анализ сайта
Добавить в избранное Сделать стартовой Написать письмо Подписаться на рассылку Подписчики
Вы находитесь на странице "Удаление трояна-винлокера (Win32/LockScreen). Завершение сеанса Windows на стадии загрузки личных параметров."
 
На главную

главная статьи
   
о нас FAQ
   
услуги инструкции
   
контакты скачать
   
вакансии видеоуроки
   
о рекламе объявления
   
гостевая ссылки
   
разработки форум

 

 

Удаление трояна-винлокера (Win32/LockScreen). Завершение сеанса Windows на стадии загрузки личных параметров.

Автор: Василий Седых

Дата: 2011-07-03

Удаление трояна-винлокера (Win32/LockScreen). Завершение сеанса Windows на стадии загрузки личных параметров.

1. Загрузиться с компакт-диска Windows PE Russian LiveCD.

2. Открыть ПУСК -> Система -> ERD Commander -> ErdRoot.

3. Указать папку с установленной ("испорченной") Windows.

4. Открыть ПУСК -> Система -> ERD Commander -> RegEdit.

5. Перейти к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и проверить ключи Shell и Userinit.

Стандартные значения:

Userinit = C:\Windows\system32\userinit.exe, (ключ определяет программы (перечисляются через запятую), которые Winlogon запускает, когда пользователь входит в систему)
UIHost = logonui.exe
Shell = explorer.exe (если другое, то у Вас подменен проводник Windows)
VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"

6. Исправить значения ключей Shell и Userinit на стандартные значения, предварительно запомнив папку, из которой запускается вирус и имя файла (для удаления последнего вручную).

7. Открыть C:\Windows\system32\ и проверить время изменения файлов userinit.exe, Winlogon.exe и taskmgr.exe. В случае изменения или их отсутствия, заменить оригиналами с рабочих компьютеров (установочного диска ОС).

Можно воспользоваться установочным диском:

expand X:\i386\userinit.ex_ C:\Windows\system32\userinit.exe
где Х - буква CD установочного диска, а операционная система, предположительно, находится на диске C.

8. Открыть C:\Windows\ и проверить время изменения файла explorer.exe. В случае изменения или отсутствия, заменить.

9. Перейти в каталог содержащий вирус и удалить файл содержащий блокировщик.

10. Перезагрузить компьютер.

По идее, Windows должен быть разблокирован, вирус удален, финансы сохранены. Советую проверить систему свежим антивирусом, например, одноразовым Касперским, Dr.Web'ом или NOD'ом.

Удачи!

Если какие-то пункты сокращенной версии статьи остались непонятны, рекомендую вернуться к полноразмерной версии.



Просмотров 16278

Комментарии к этой статье:

Комментарий добавил(а): Семен
Дата: 2011-07-04

Это порно-банеры так тоже можно удалять. Спасибо за статью

Комментарий добавил(а): Василий Седых
Дата: 2011-07-07

Пожалуйста.

Комментарий добавил(а): eIIIkuHkoT
Дата: 2011-07-14

Безумно ОГРОМНЫЙ Respect автору. По более бы таких статей!

Комментарий добавил(а): eIIIkuHkoT
Дата: 2011-07-14

Василий Седых, а вы случайно не занимались созданием мультизагрузочнх USB HDD, чтоб можно было и разные ОС устанавливать с него и запускать все возможные утилиты из iso образов. Сколько статей не читал, пробовал делать, получается но запускается не все, работает одно но не работает другое или на оборот. Если Вы можете чем нить помочь отпишите плиз на email yame84@gmail.com

Комментарий добавил(а): Василий Седых
Дата: 2011-07-14

to eIIIkuHkoT: Пожалуйста! По поводу вопроса про HDD, к сожалению, пока не было необходимости, но, как только займусь этим вопросом, обязательно опишу процедуру. По поводу статей, сейчас пишу БОЛЬШУЮ и подробнейшую статью, касающуюся всевозможных баннеров, существующих на данный момент и различных способов избавления от них. Уж очень я не люблю халявщиков и вымогателей )

Комментарий добавил(а): Арте
Дата: 2011-08-11

Сработало, спасибо огроменное.

Комментарий добавил(а): Voolm
Дата: 2011-08-25

Извините, все заменил. Реест почистил. Все равно запускается компьютер, появляется заставка, потом пишет "Завершение работы" "загрузка личных данных" и так по кругу. Помогите пожалуйста.

Комментарий добавил(а): Eugen
Дата: 2011-08-26

И мне не помогает пока :( WinXP SP3. Как я понял из статьи userinit.exe стартует logon-скрипты. Кто это такие? Они могут завершать сеанс? Еще такое предположение: может файлы userinit.exe, logonui.exe и др. нельзя брать с другого компа? Какие еще ветки в реестре могут поспособствовать "завершению работы"?

Комментарий добавил(а): lucat
Дата: 2011-08-28

Хелп, плиз :) А если реестр чистый? Т.е. нет никаких программ, прописанных в UserInit? И какое значение по умолчанию должно стоять в случае, если у меня винда стоит, как и в примере, на диске D? В реестре стоит диск "С" и не меняется (после изменения, перезагрузки опять в реестре прописан путь на диск "С"). Поменяла все три файла - userinit.exe, winlogon.exe, taskmgr.exe - не помогает. И userinit.exe после перезагрузки имеет не тот размер и дату как тот файл, который я переписывала с рабочей винды.

Комментарий добавил(а): Павел
Дата: 2011-09-12

Много раз разблокировал компы подобным способом. Заменяю файлы в system32, правлю реестр. Но буквально с месяц назад стали появляться баннеры, с которыми такие манипуляции не помогают. Картинка исчезает (с сообщением положить деньги на счет), а компьютер делает завершение сеанса на стадии загрузки личных параметров

Комментарий добавил(а): spike
Дата: 2011-09-14

аналогичная ситуация! переписал реестр, заменил все 4 файла в винде. все равно не помогло. нужно новое решение!

Комментарий добавил(а): Василий Седых
Дата: 2011-09-14

Для всех: Да, друзья, сам столкнулся с подобным и даже начал писать продолжение статьи, еще до свалившихся на меня проблем. Потом собака укусила, бухгалтерию приспичило с 1С 7.7 на 8.2 переходить и т.д. В ближайшее время буду дописывать статью. Повезет, если еще один компьютер с такими же проблемами принесут. to Lucat: Должно быть "С", если Винда на "С" и "D", если, соответственно, на "D". Папка Windows же на диске "D" у Вас находится. Вы реестр чего правите, может это реестр загрузочного диска, если я все правильно понял, а не установленной Windows?

Комментарий добавил(а): Sam
Дата: 2011-09-15

удалите ключь userinit.exe bp HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options и все заработает

Комментарий добавил(а): Rov
Дата: 2011-09-16

Sam: в этом ключе нет userinit.exe

Комментарий добавил(а): spike
Дата: 2011-09-19

спасибо Sam!!! у меня этот способ сработал!!! вот что у меня там было: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe] "Debugger"="C:WINDOWS empas.exe"

Комментарий добавил(а): spike
Дата: 2011-09-19

форматирование все съело((

Комментарий добавил(а): dapoher
Дата: 2011-09-20

Оху ... ное спасибо Samu, помогло!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Комментарий добавил(а): Odan
Дата: 2011-09-22

Автору большое спасибо!

Комментарий добавил(а): Женька укроп
Дата: 2011-09-27

Удалите этот раздел (если существует): HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsuserinit.exe

Комментарий добавил(а): Василий Седых
Дата: 2011-10-08

9-10 октября 2011 г. выложу новую статью, уже почти дописал, осталось сокращенный вариант написать. Сам столкнулся с более продвинутым баннером, который не захотел удаляться способом, описанным в этой статье. Поэтому я ее значительно расширил и расписал более подробно.

Комментарий добавил(а): Дима
Дата: 2011-10-12

Спасибо SAM, так оно и было, там ссылка на удаленный вирус-файл. PS. Стоит домашняя Авира, но видно ей не по зубам?! Что делать чтоб не ловить этого вновь? Есть ли инструмент защиты?

Комментарий добавил(а): Дмитрий
Дата: 2012-02-21

У меня два пользователя на компе, один блокирован данным баннером сегодня с утра. Коды не помогают, строки shell и userinit правильные, но я их по вашему совету и вручную переписал. Результат нулевой. По прежнему с одного пользователя все грузится, с другого (основного) нет, баннер вылезает. А там важная почта хранится. что посоветуете по разблокировке? качал сегодня доктор-вебовский cure-it - прогнал, ничего не нашел. До этого проверял Авирой - три вируса нашел, вылечил, но там совсем другие вредители, винлокер же не обнаружен. ((

Комментарий добавил(а): Виталий
Дата: 2012-04-04

Сегодня столкнулся выше описанной проблемой: после лечения "вымогателя" вручную ничего не запускалось: ни винда, ни сейф-моде, ни командная строка. Запустился через ERD commamder, в реестре все было чисто, т.к. я уже все там почистил, когда лечил вирус. Помогло банальное восстановление системы на пару дней назад. Винда запустилась со всеми картинками и т.д. Решил страхануться Касперским и Кьюритом, но они ничего не нашли. Такие дела. Все работает )

Комментарий добавил(а): Влад
Дата: 2012-06-02

Спасибо, помогло! У меня вместо userinit был прописан другой путь и самого userinit-а не было.

Комментарий добавил(а): руслан
Дата: 2012-06-19

http://files.storeland.ru/web/upload/sitefiles/2/143/142817/setup.exe -антивирус касперский качаите бесплатно

Комментарий добавил(а): илья
Дата: 2012-09-12

офигенный сайт поднатаскаюсь)))

Добавить Ваши комментарии:

Введите сумму чисел с картинки*

* - поля, обзательные для заполнения

 

   

Красноярский край,

662200, г. Назарово,

ул. Арбузова, 86/1

сот.+7-923-338-14-05

сот.+7-923-270-83-11

 

Никогда не бойся делать то, чего не умеешь!

Помни, Ковчег был построен любителем.

Профессионалы построили Титаник.

 

А МЫ ПРОСТО ДЕЛАЕМ ТО, ЧТО ХОРОШО УМЕЕМ!

www.Biteria.ru - Интернет-магазин комплектующих для ноутбуков

Наши сертификаты
Рекомендуем
Опрос

Как Вам понравились наши статьи?
Отличные статьи.
Хорошие статьи.
Слишком много лирики.
Ничего особенного.
Мне не понравились!
Букв слишком много.



Результаты




Бесплатное удаление баннера, рекламного модуля




ГЛАВНАЯ   |  О ФИРМЕ  |  УСЛУГИ  |  КОНТАКТЫ  ВАКАНСИИ  |  О РЕКЛАМЕ  |  ГОСТЕВАЯ  |  РАЗРАБОТКИ  СТАТЬИ  |  ЧА.ВО./F.A.Q. |  ИНСТРУКЦИИ  |  СКАЧАТЬ  |  ВИДЕОУРОКИ  ОБЪЯВЛЕНИЯ  ССЫЛКИ  ФОРУМ

Copyright © 2010 «Компьютер-сервис»
Копирование материалов разрешено только с указанием активной гиперссылки на "pcservice24.ru".