Незважаючи на те, що я вже неодноразово в різних своїх статтях писав про те, як розблокувати Віндовс 7, Vista або XP (адже Winlock може заблокувати тільки ОС від Microsoft :)
Сьогодні я вирішив описати найпростіший спосіб розблокувати комп'ютер.
Чому WinLock може заблокувати тільки ОС сімейства Віндовс?
Для непосвячених, відповім:
Тому що, будь-яке середовище ООП має доступ до WinApi функцій. Win API є базовим набором функцій програмування додатків ОС сімейства Віндовс, і в свою чергу дозволяє різним програмам безпосередньо взаємодіяти з цієї ОС.
Ну тепер я думаю що ви вже починаєте здогадуватися звідки ноги ростуть. 🙂
Просто я в свій час починав вивчення ООП саме з використання функцій WinApi.
Веселі це були часи, ну да ладно ...
В кінці статті я розповім, як розблокувати комп'ютер без відправки СМС і введення коду розблокування. Це дуже простий і ретельно перевірений метод, який виручав мене вже не один раз, і працює практично з усіма версіями Windows.
Минулого тижня, я по якимось загадковим 😀 збігом обставин опинився на іншій (протилежної мого місця проживання) стороні мого улюбленого міста Орла. Ну і користуючись нагодою вирішив зайти в гості до одним своїм знайомим, ті ж у свою чергу дуже зраділи, і тут же вручили мені ноутбук! Але це і зрозуміло, я ж бо: тижпрограмміст?
А там грала, все та ж, стара пісня [Про головне], точніше про нехтування цим головним, т. Е. Безпекою.
На їх ноут стояла, але не довго красувалася, Win 7. зловредів її хлопця пофиксил. Ну а я як справжній тижпрограмміст, завжди з собою беру, нет не відеокамеру, а пару флешок і LiveCD Alkid. Взагалі, в більшості відомих мені випадків, для розблокування комп'ютера, цілком достатньо мати LiveCD Kaspersky Rescue Disk або Dr. Web, ну або на худий кінець AntiWinLockerLiveCD, у мене ж, як ви здогадуєтеся нічого подібного з собою не було. Та й не користуюся я цими утилітами, мені як кодеру цікаво, що вдає із себе той чи інший зловредів.
Найчастіше WinLock підміняє собою значення параметра Shell.
Як видалити WinLock
Shell це оболонка ОС Віндовс, яка дозволяє користувачеві взаємодіяти з операційною системою від Microsoft. І як значення, параметра Shell виступає всім відомий Explorer, який є провідником, і відповідає за зовнішній вигляд Віндовс, т. Е. Це графічна оболонка Вінди. І з цього, для того щоб Вінду перетворити в подобу друкарської машинки, цілком достатньо замінити параметр реєстру:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Widows NT \ CurrentVersion \ Winlogon \ shell explorer # на
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Widows NT \ CurrentVersion \ Winlogon \ shell notepad
І найчастіше банер здирник, який блокує більш ранні версії ОС від Microsoft, наприклад XP або 2000 сидить саме тут. Тому параметру Shell завжди має відповідати значення explorer.exe, а параметру Userinit відповідно userinit.exe, який знаходиться в системній папці system32, ось цим шляхом c: \ Widows \ system32 \ userinit.exe
Trojan.Winlock видалив Userinit
І якщо вірь змінив значення параметра Userinit з З: \ Windows \ system32 \ userinit.exe, наприклад на C: \ Documents and Settings \ All Users \ Application Data \ баннер.ехе то його необхідно виправити на початкове.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Widows NT \ CurrentVersion \ Winlogon \ Userinit \ userinit.exe
Також вірь може прописатися за адресою:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Widows NT \ CurrentVersion \ Winlogon \ UIHost \ trojan.exe
Необхідне відповідне виправити значення ключа UIHost, якому має відповідати: logonui.exe, інакше ви просто не зможете зайти в свою систему.
А іноді у мене бувало, що зловредів просто видаляв файл userinit, і тоді його необхідно було відновити з завантажувального диска, і робиться це так:
expand X: \ i386 \ userinit.ex_ C: \ Windows \ system32 \ userinit.exe
Відповідно, якщо зловредів видалив explorer то:
expand X: \ i386 \ explorer.ex_ C: \ Windows \ explorer.exe
А взагалі б я рекомендував перевірити останню дату зміни файлів: Winlogon, userinit і taskmgr. І якщо ці зміни мали місце, то ці файли необхідно замінити на оригінальні, з інсталяційного диска Віндовс або робочої машини.
Хоча звичайно ж бувають примітивні банери, які тупо прописуються в автозавантаження:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Widows \ CurrentVersion \ Run
HKLM \ SOFTWARE \ Microsoft \ Widows \ CurrentVersion \ RunServices
HKLM \ SOFTWARE \ Microsoft \ Widows \ CurrentVersion \ policies \ Explorer \ Run
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
Ось за цим принципом і працює більшість банерів блокувальників. Через політику безпеки (за замовчуванням) в сімці, вірь не може прописати себе в цій гілці реєстру, т. К. Для цього йому необхідно мати права адміністратора, завдяки чому він створює і модифікує ось цю гілку реєстру:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ shell
І вже там робить свою брудну справу :) Тому параметр Shell можна звідти сміливо видаляти. Іноді зловредів прописуються ось в цьому місці:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ WindowsNT \ CurrentVersion \ Image File Execution Options \ explorer
В такому випадку необхідно видалити параметр який викликає explorer, не більше того.
Найпростіший спосіб розблокувати комп
У моєму ж випадку все було підозріло чисто, тому я вирішив скористатися найпростішим способом відновлення, після появи банера вимагача, а саме увійшов в безпечному режимі (F8) з підтримкою командного рядка, і коли завантажилася cmd вбив:
c: \ WINDOWS \ system32 \ Restore \ rstrui.exe
Але можна просто rstrui, і у мене з'явилося вікно Відновлення системи Windows . Далі система запропонувала мені вибрати точку відновлення, тут необхідно поставити галочку в чекбоксі Показати інші точки відновлення і вибрати дату, коли комп'ютер нормально функціонував. Потім необхідно все підтвердити, і має з'явитися вікно:
відновлення Windows
Тут не роздумуючи необхідно натиснути на кнопку Так!
І після цього запускається процес відновлення, потім буде перезавантаження, і як результат, працездатна система. Трохи пізніше я скачав (і вам настійно рекомендую) останню версію Dr. Web CureIt! або Kaspersky Virus Removal Tool 2013 і просканував систему на наявність вірусів!
Ну а я, як завжди, отримав своє: Дякую за тютюн!
PS ... і мирно, з почуттям виконаного обов'язку, відправився додому. 🙂 А якщо ви забули пароль від свого облікового запису, то рекомендую почитати статтю: Як скинути пароль адміністратора Windows 8 . Даний метод відновлення пароля підходить і відмінно працює з усіма версіями ОС від Microsoft.
Чому WinLock може заблокувати тільки ОС сімейства Віндовс?