Говорить, что это такое, наверное никому не нужно, почти все с таким сталкивались либо на работе, либо дома. Меня такое "чудо" обошло стороной, но мои знакомые, родственники часто попадаются на такие грабли. И у всех один и тот же вопрос:"Как убрать?". Мне всегда печально отвечать, потому что, на сегодня в сети куча разных разновидностей таких локеров. Некоторые прописываются в autorun их просто убрать почистив реестр, а некоторые более изящно прописываются в Shell, а есть вообще замечательные, которые меняют системные файлы. Последний вид встречается крайне редко, хтя все еще впереди>))
Итак, напишу примерную методику удаления этой дряни.
1. Главное запустить regedit (редактор реестра) и иметь право на редактирование. Попытаться это сделать можно из безопасного режима с поддержкой командной строки, либо можно загрузиться с livecd. Бывает, что можно запустить regedit из под больной винды в обычном режиме, просто Пуск->Выполнить->regedit, но это когда локер не занимает весь экран и когда не блокирует возможность запуска команд.
2. Первое на что смотрим это ветки Run, лежат они по следующим путям:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Если видим там параметр со странным названием, к примеру "sadfasdfqdfasd" и ссылающимся на файл, который также имеет подозрительный вид (обычно это exeшник), то удаляем этот параметр.
3. Следующий шаг, смотрим какую оболочку грузит winlogon.
Для этого, в том же regedit ищем ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Там нас интересуют два параметра:
-Shell, значение у него должно быть "Explorer.exe", если есть что-то левое, то убираем.
-Второй параметр Userinit, тут должно быть примерно следущее "С:\WINDOWS\system32\userinit.exe,", если имя системного диска другое, значит путь будет отличаться от этого.
4. Не забудьте запомнить путь где лежит локер, т.е. значение параметра. После очистки нужно удалить локер вручную с диска.
И в завершение скрин редактора:
-Shell и Userinit такими, какими они должны быть.
Зы.... Используйте нормальный антивирус со свежими базами и не сидите под админской учеткой и будет все Ок!
Зыыы... и общеизвестный боян: "Редактирование реестра вы делаете на свой страх и риск")))
Итак, напишу примерную методику удаления этой дряни.
1. Главное запустить regedit (редактор реестра) и иметь право на редактирование. Попытаться это сделать можно из безопасного режима с поддержкой командной строки, либо можно загрузиться с livecd. Бывает, что можно запустить regedit из под больной винды в обычном режиме, просто Пуск->Выполнить->regedit, но это когда локер не занимает весь экран и когда не блокирует возможность запуска команд.
2. Первое на что смотрим это ветки Run, лежат они по следующим путям:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Если видим там параметр со странным названием, к примеру "sadfasdfqdfasd" и ссылающимся на файл, который также имеет подозрительный вид (обычно это exeшник), то удаляем этот параметр.
3. Следующий шаг, смотрим какую оболочку грузит winlogon.
Для этого, в том же regedit ищем ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Там нас интересуют два параметра:
-Shell, значение у него должно быть "Explorer.exe", если есть что-то левое, то убираем.
-Второй параметр Userinit, тут должно быть примерно следущее "С:\WINDOWS\system32\userinit.exe,", если имя системного диска другое, значит путь будет отличаться от этого.
4. Не забудьте запомнить путь где лежит локер, т.е. значение параметра. После очистки нужно удалить локер вручную с диска.
И в завершение скрин редактора:
-Shell и Userinit такими, какими они должны быть.Зы.... Используйте нормальный антивирус со свежими базами и не сидите под админской учеткой и будет все Ок!
Зыыы... и общеизвестный боян: "Редактирование реестра вы делаете на свой страх и риск")))
Комментариев нет:
Отправить комментарий