Убираем Winlock без LiveCD

Этот пост был опубликован мной более года назад. Информация, описанная ниже, уже могла потерять актуальность, но всё ещё может быть полезна.

Ну, с кем не бывало. Большинство из нас ловили баннеры на рабочий стол. И со мной последний раз это приключилось зимой, уже не помню в каком месяце. Я тогда был в родном городе пока проходил призывную комиссию, и всё это время я пользовался не своим компьютером.

И вот, перед самым отъездом, я записывал последние из скачанных нишяков на флешки и диски, когда внезапно мой десктоп предстал передо мной в совершенно новом виде — без окон без дверей, иконок и пусков — только голые попы и писи.

Что делать? Ни один из LiveCD, что был под рукой, не был рабочим. А если ещё прибавить поглюкивающий привод, то у меня отпала всякая надежда на лучший исход. Курсор ограничен в движении в пределах баннера, все глобальные горячие клавиши заблокированы. Комп чужой, а хозяин — чувак образованный и опытный.

Без особой надежды безрезультатно гружусь сначала в безопасный режим. Потом в него же с поддержкой командной строки. И тут я понимаю — я спасён.

Ниже — подробная инструкция как избавиться от WinLock’a без LiveCD. Писал по ХРюше, но актуально и для семёрки и наверняка для свисты.

Сначала прочти пост до конца. Ничего не предпринимай, пока не всё прочтёшь. Это важно.

Подготовка

Загружаешь систему в безопасном режиме с поддержкой командной строки. По окончании загрузки будет лишь курсор и консоль. Вводишь в консоль regedit. Появится редактор реестра.

Дальше устраиваем прогулку по ключам.

Чистка реестра

\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon

Обрати внимание на значения ключей UserInit, UIHost и Shell. Запомни их, запиши в какой-нибудь текстовый файлик. Это пригодится.

После этого выставляй значения так:

UserInit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe

Остальные ключи не должны быть затронуты.

Дальше открываем другие ветки:

\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Run,
\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\RunOnce,
\HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\RunOnceEx,
\HKCU\Software\Microsoft\Windows\CurrentVersion\Windows\Run

Во всех ветках должно быть либо совсем пусто, либо ничего подозрительного. В идеале нужно очистить их целиком, а лучше сначала создать копии этих веток с другими именами (например, добавить суффикс .bak), чтобы позже изучить подробнее.

В этой ветке:

\HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

удаляешь ключ DisableTaskMgr: если он есть, значит Диспетчер задач в твоей системе заблокирован.

Чистка файлов

Оригинальные файлы logonui.exe, explorer.exe и userinit.exe могут быть заменены на подставные или иметь то же название и иконку, но иметь другой размер. Поэтому привожу список размеров этих файлов и их расположений какими они должны быть:

  • Windows XP:
    C:\WINDOWS\system32\userinit.exe — 26624 байта (26 кб)
    C:\WINDOWS\explorer.exe — 1034240 байт (1,01 мб)
    C:\WINDOWS\system32\logonui.exe — 515072 байт (503 кб)
    C:\WINDOWS\system32\svchost.exe — 14336 байт (14 кб)
    C:\WINDOWS\system32\taskmgr.exe — 139264 байт (13,59 кб)
  • Windows Vista:
    C:\WINDOWS\system32\userinit.exe — 24576 байта (24 кб)
    C:\WINDOWS\explorer.exe — 2923520 байт (2,78 мб)
    C:\WINDOWS\system32\logonui.exe — 9216 байт (9 кб)
    C:\WINDOWS\system32\svchost.exe — 22016 байт (21,5 кб)
    C:\WINDOWS\system32\taskmgr.exe — 163840 байт (160 кб)
  • Windows 7:
    C:\WINDOWS\system32\userinit.exe — 26624 байта (26 кб)
    C:\WINDOWS\explorer.exe — 2616320 байт (2,49 мб)
    C:\WINDOWS\system32\logonui.exe — 10752 байт (10,5 кб)
    C:\WINDOWS\system32\svchost.exe — 20992 байт (20,5 кб)
    C:\WINDOWS\system32\taskmgr.exe — 227328 байт (222 кб)

Теперь вернись к тем значениям, которые были ранее установлены в ключах UserInit, UIHost и Shell — сходи по этим путям и удали эти файлы.

Для этого можно в консоли же набить explorer и безо всяких проблем прогуляться по системным и юзерским папкам через Проводник. Только не забудь сразу включить «Отображение скрытых папок/файлов» и «Отображение расширений файлов» в параметрах Проводника.

Сами винлоки или их куски, как правило, также находятся в папке с Temp‘ами: где-нибудь в Documents and settings, в папке другого профиля, а может и в системных папках.

Теперь необходимо перестраховаться и удалить (впрочем, в любом случае надо) все Temp‘ы, Cookie и всякий мусор из под IE.

Полностью опустошаешь:

C:\WINDOWS Temp
C:\Temp
C:\Documents and Settings\[имя юзера]\Local Settings\Temp
C:\Documents and Settings\[имя юзера]\Cookies
C:\Documents and Settings\[имя юзера]\Local Settings\Temporary Internet Files
C:\Documents and Settings\[имя юзера]\Local Settings\History

Это же касается Default User, Администратора и всех остальных учёток.

Составлено, исходя из собственного опыта. Должно работать практически со всеми WinLock’ами, ну, а если сие не помогло — сдавайтесь без боя.

Ещё можно попробовать ADWCleaner. Он делает аналогичные действия и даже больше.

Добавить комментарий

Ваш адрес email не будет опубликован.