|
Читайте также: |
Очень часто возникают ситуации, что удалить вирус-вымогатель и загрузить зараженную операционную систему не удается. Все способы разблокировки Windows бессильны, коды получения доступа не работают. В таком случае удалить sms-вирус можно с помощью программы RegEdit загрузив компьютер с Live CD.
Наши действия при таком раскладе событий будут следующие — ищем с другого компьютера и скачиваем образ любого Live CD, например ERD Commander 2005, благо на сегодняшний день в интернете доступно большое множество образов таких дисков и записываем образ на CD/DVD диск или на флешку. Инструкции как правильно записать образ и сделать Live CD так же можно поискать на сайте с которого вы скачали образ. Перезагружаем компьютер и если в BIOS компьютера правильно выставлена загрузка с CD/DVD или USB (в случае если вы сделали LiveCD на флешке) загружаемся с Live CD.
Загрузив компьютер с LiveCD, нам необходимо запустить стандартное средство Windows для редактирования реестра — программу regedit.exe (в некоторых версиях диска ERD Commander вместо regedit.exe при появлении ошибки «Regedit.exe and Regedt32.exe have been configured to not run under MSDaRT.Please use ErdRegedit.exe instead» запускайте ErdRegedit.exe) и отредактировать ключи реестра измененные вирусами-вымогателями. Для этого нажимаем кнопку «Пуск» -> Выбираем пункт меню «Выполнить» -> В окне «Запуск программы» набираем с клавиатуры regedit -> нажимаем кнопку «Ок».
Так как нам необходимо отредактировать реестр Вашего компьютера, а не диска LiveCD, в левой части окна Редактора реестра выделяем ветку HKEY_USERS. Находим меню «Файл» -> «Загрузить куст…»
В открывшемся окне «Загрузить куст» переходим в директорию C:\Windows\System32\Config\, где C: — буква диска, на который у вас установлена Windows. В зависимости от того какая ветвь реестра нуждается в редактировании выбираем в папке Config соответствующий куст. Например, если необходимо редактировать ветвь HKLM\SOFTWARE, выбераем в папке Config куст SOFTWARE и нажиаем «Открыть», но имейте ввиду, что куст может быть и любой другой (DEFAULT, SAM, SECURITY или SYSTEM).
Далее, вводим любое имя для загружаемого раздела и работаем с появившейся в HKEY_USERS веткой, это и есть куст SOFTWARE зараженного компьютера.
Как правило, вирусы-блокеры изменяют несколько параметров реестра, что мешает нормальной загрузке Windows. Поэтому удаление вирусов сводится к восстановлению ключей реестра и физическому удалению исполняемых файлов вируса которые прописаны в измененном параметре.
Найдите в реестре ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр:
userinit
Значение параметра должно быть:
с:\windows\system32\userinit.exe
где, «c:\» диск на который установлена Windows. Если значение параметра после буквы диска отличается, исправляем на вышеуказанный.
Параметр:
shell
Значение параметра должно быть:
Explorer.exe
Если значение параметра отличается, тоже исправляем.
После того, как закончите редактирование реестра, обязательно следует выгрузить куст, для этого нужно выделить ветку которую Вы создали, затем — меню Файл > «Выгрузить куст».
Перезагружаем компьютер в обычном режиме.
Дата добавления: 2015-12-08; просмотров: 75 | Нарушение авторских прав