[Лечение компьютера - это просто]
Главная Статьи и методики Софт Форум Гостевая Контакты Ссылки
 
>> Ручное удаление баннеров, блокираторов, вымогателей через LiveCD

Artem http://antivir.host22.com/ Обновлено: 20.10.2012

:: Концепция

На зараженном компьютере загрузитесь с диска LiveCD и с него подключитесь к реестру зараженной Windows, поправите несколько значения реестра и через Проводник или Тотал командер почистите подозрительные файлы на зараженном компьютере. Дальше я подробно опишу как записывать LiveCD на болванку и как загружаться с нее.

LiveCD работает независимо от Windows установленной на компьютере, поэтому абсолютно неважно, насколько заблокирован Windows - для работы LiveCD это не имеет значения.

:: Какой LiveCD использовать

Вам потребуется любой LiveCD на основе Windows.

Live CD ERD Commander - ищите его через www.google.ru

Live CD Reanimator:

Live CD SV-MicroPE 2k10 Plus Pack: скачать с торрента nnm-club.ru скачать с торрента rutracker.org

Можете скачать любой другой LiveCD поиском по торрентам.

:: Запись LiveCD на болванку или флэшку

Скаченный образ Live CD представляет из себя файл с расширением iso - его нужно смонтировать на CD болванку через программу вроде Nero или Алко. Обращаю внимание на то, что скаченный образ нужно именно смонтировать, а не скопировать на болванку.  Если после записи на болванке окажется только один файл, то это неправильно.

Если нет программы для записи образа на болванку, то воспользуйтесь бесплатной программой "Free ISO Burner" - http://www.freeisoburner.com/FreeISOBurner.exe . Она проста и не требует установки - укажите программе через "Open" скаченный образ, убедитесь, что в поле "Drive" указано название вашего привода и нажмите кнопку "Burn".

Если не получается записать образ на болванку, то нажмите сюда.

Нет CD привода?
Смонтировать LiveCD на флэшку можно через программу UltraISO:
1. Вставляем флешку.
2. Открываем iso-образ в UltraISO (проверял на версии 9.3.0.2600).
3. Меню: Самозагрузка - Записать образ Жесткого диска
4. В открывшемся окне: Disk Drive - Выбираем нашу флешку (у меня подставляется автоматом), Метод записи - Выбираем USB-HDD
5. Жмем кнопку: Форматировать - FAT32
6. После завершения форматирования, жмем кнопку: Записать

Не получилось? Читайте страницы загрузок на торрентах - там всегда дают методы записи образов live CD на флэшку.

Дальше нужно полученный Live CD вставить в DVD привод зараженного компьютера и загрузиться с него. Для этого нужно в БИОСе поставить приоритет загрузки с DVD - инструкция тут.

:: Работа с реестром зараженной Windows

Способ номер один:

Если у вас LiveCD ERD Commander, то для доступа к реестру зараженной Windows:

Пуск -> Выполнить -> erdregedit, загрузится программа "Редактор реестра".

Способ номер два:

Если у вас LiveCD Reanimator, то для запуска "Редактора реестра":

Пуск -> Программы -> Remote -> ERD Commander 2005 - здесь сначала нужно выбрать "1-Выбор директории Windows" и указать папку вашей зараженной Windows. Скорее всего, c:\windows. Обращаю внимание, на то, что при загрузке с LiveCD, ваш диск C: может иметь другую букву, например X: - в этом случае, указывать нужно будет папку x:\windows

Затем выберите "Редактор реестра" (Пуск -> Программы -> Remote -> ERD Commander 2005).

Если у вас live CD другой, но который содержит "ERD Commander", то, возможно, выбор директории Windows не потребуется - просто, запустите "Редактор реестра" из "ERD Commander".

Способ номер три:

Если у вас LiveCD без ERD Commander, то можно подключиться к реестру через стандартный Пуск -> Выполнить -> ввести regedit и нажать Enter. Ставьте курсор на HKEY_LOCAL_MACHINE, затем Файл -> Загрузить куст.
 

Укажите файл software, который находится по пути:

C:\Windows\system32\config\

На запрос "Имя раздела" введите любое название. В "Редакторе реестра" появится еще одна ветка - с ней и будете работать. После редактирования реестра нажмите Файл -> Выгрузить Куст.

Способы номер четыре и пять:

Также подключиться к реестру зараженной Windows можно с помощью специальных утилит, в этом случае, кроме LiveCD нужно иметь флэшку с данными утилитами:

:: утилита REGloader - ей необходимо указать папку зараженной Windows, после этого загрузится небольшое окно данной утилиты, в котором 4 кнопки.

Кнопка Winlogon позволит загрузить программу "Редактор реестра" и сразу перейти к ветке реестра, с которой будем работать в первую очередь. Так что данная утилита позволяет очень удобно работать с реестром неактивной Windows.
скачать REGloader

:: утилита RunScanner.exe + regedit.bat - запустите файл regedit.bat и укажите папку зараженной Windows, затем загрузится программа "Редактор реестра".
скачать RunScanner.exe + regedit.bat

Выше я показал пять способов подключиться в реестру зараженной Windows, так что у вас есть выбор.

Теперь у вас запущена программа "Редактор реестра". Окно "Редактора реестра" делится на две части: слева ветки реестра, справа параметры этих веток.

Слева открывайте ветки реестра в следующей последовательности:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

(Если не понятна строка выше, то она означает, что выберите слева ветку HKEY_LOCAL_MACHINE и разверните ее, в ней ищите ветку SOFTWARE и разверните ее, теперь ищите ветку Microsoft и так далее до ветки Winlogon).

Наконец курсор стоит на ветке Winlogon. Посмотрите значения (справа). Найдите параметр с именем Shell и двойной клик мышью по нему, появится небольшое окно, посмотрите какое там значение. Должно быть только:

explorer.exe

Все лишнее удалите и щелкните мышью на "Ок"

Теперь найдите параметр userinit (это опять справа), также как и в случае с параметром Shell, посмотрите его значение. Должно быть:

C:\WINDOWS\system32\userinit.exe,

Все лишнее удаляйте. Обратите внимание, что в конце должна стоять запятая. И обратите внимание, что в данном примере Windows установлена в папку C:\WINDOWS, если ваша Windows установлена по другому пути, то учитывайте это при выполнении данной инструкции!

Теперь посмотрите на левую часть программы "Редактор реестра". Курсор скорее всего стоит на ветке Winlogon, переместите курсор чуть выше на ветку Windows. Найдите справа параметр AppInit_DLLs - посмотрите его значение. Значение должно быть пустым, а значит при наличии какой бы то ни было записи следует зачистить.

Вот вы и восстановили ветки реестра, которые всех чаще поражают блокираторы. Дальше зачистим ветки реестра, которые также иногда поражаются баннерами:

Вы уже знаете, как работать с программой "Редактор реестра", так что вам не составит большого труда открыть ветки реестра в следующей последовательности:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

и если увидите (справа) параметры Shell, Userinit, UIHost, то удалите их. Для удаления щелкните по нужному параметру правой кнопкой мыши и выбрать пункт "удалить".

Теперь идите сюда:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

Вы зашли в ветку, в которой (справа) видно, что грузится вместе с Windows - удалите подозрительные записи.

Также удалите подозрительные записи здесь:

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

Далее изучите ветви реестра, отвечающие за одноразовый запуск программ. Они используются, как правило, во время установки различных программ. Зловреды могу их использовать для резервного старта. Вот эти ветки:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
и
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

- все что там найдете, можете удалить.

Теперь идите:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run
и
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run

- все что там найдете - можете удалять. Возможно, данных веток и не будет вовсе.

Проверьте наличие в реестре папки HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ userinit.exe если есть, то удалите ее.

Проверьте наличие в реестре папки HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ explorer.exe если есть, то удалите ее.

Теперь сюда:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager

Справа найдите параметр BootExecute, его значение должно быть:

autocheck autochk *

В 64-bit Windows 7 еще есть такой ключ автостарта программ:

HKEY_LOCAL_MACHINE \ software \ wow6432node \ microsoft \ windows \ currentversion \ run

Закончим с редактированием реестра. Выходите из программы "Редактор реестра".

:: Удаление подозрительных файлов

Наверняка на вашем live CD есть программы вроде Тотал Командер - используйте их для дальнейших действий. Или используйте Проводник.

Под сочетанием  %name% я буду подразумевать имя вашей учетной записи, под которой вы заходите в Windows, и может означать, например, "Вася" или "Admin" или "User" или т.п.

Удалите все файлы и папки из папок:
C:\RECYCLER
D:\RECYCLER
(
если винчестер разбит на несколько дисков)
C:\WINDOWS\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temporary Internet Files
C:\Documents adns Settings\%name%\LocalSettings\Temp
Windows'7 будет C:\Users\%name%\AppData\Local\Temp)
C:\Documents adns Settings\%name%\LocalSettings\Temporary Internet Files

Удалить все файлы, кроме указанных:
C:\Documents and Settings\All Users за исключением:  ntuser.pol
windows'7 будет C:\ProgramData)
C:\Documents and Settings\%name%
за исключением: NTUSER.DAT, ntuser.ini, ntuser.pol, ntuser.dat.LOG, ntuser.dat.LOG1
Windows'7 будет C:\Users\%name%)

Чтобы дальше понять какие файлы подозрительные, вот список расширений, которые говорят о возможном вирусе/трояне: exe, com, bat, cmd, pif, scr, vbs, tmp. Но все таки, стоит знать, что у вирусных файлов может быть любое расширение.

Удалите подозрительные файлы из папок:
C:\Documents adns Settings\%name%\ApplicationData
Windows'7 будет C:\Users\%name%\AppData\Roaming)
C:\Documents and Settings\All Users\Application Data
C:\Program Files
(только именно в этой папке! в подпапки заходить не надо.)
C:\Documents and Settings\%name%\Главное меню\Программы\Автозагрузка
Windows'7 будет C:\Users\%name%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup И, кстати, данный путь можно легко изменить, смотрите разделы реестра: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders)

Проверьте наличие подозрительных заданий:
Перейдите в папку С:\WINDOWS\Tasks и перенесите из нее подозрительный задания в любую другую папку - потом вернете обратно, если они оказались законными.
 

И напоследок:
В Тотал Командоре (или в аналоге) включите сортировку файлов по дате и зайдите в папки:
c:\windows
c:\windows\system32
C:\windows\apppatch
 -
посмотрите последние созданные файлы, возможно так найдете тельца зловредов. Только будьте предельно осторожны и подозрительные файлы не удаляйте, а переименовывайте или  переносите в другую папку.

Теперь выньте диск live CD из компьютера и перезагрузите компьютер.

:: Рекомендация, которую следует выполнить

Сейчас блокираторы стали портить некоторые системные файлы, поэтому перед перезагрузкой следует восстановить системные файлы Windows - читать: Системные файлы Windows (скачайте все файлы по этой ссылке, которые для вашей версии Windows).

Если данная инструкция помогла и компьютер загрузился, то следует поочередно проверить компьютер разными антивирусными сканерами, ссылки на скачку здесь.

Обсудить на форуме >>


При использовании данного материала, просьба указывать ссылку на http://antivir.host22.com/

назад | наверх


 

 

 
  Разделы
Статьи и методики
Эффективные методы лечения компьютера своими руками
Софт
Программы для защиты и лечения  компьютера
Форум
Действует online помощь посетителям
Гостевая книга

  Статьи

При использовании материалов обязательна ссылка на http://antivir.host22.com 
©
Artem.