На странице: 24 48 96

Большая Тёрка / Мысли /

winlockerX


kaant

Удаление WInlocker'а со статьей УК РФ о педофилии.

Безопасность, security, антивирус, windows 7, винлокер, winlocker, КПД , Конкурс КПД 

Итак, мне вчера жутко повезло - я словил на свой ноут винлокера, который мне угрожал статьей УК РФ о том, что у меня на компе есть материалы педофильного содержания.

К сожалению, имя винлокера я не знаю, но могу привести картинку, как он выглядит в суе:

alt

У него есть одна особенность - к нему нет ключей разблокировки (по крайней мере, сколько я искал, так и не нашел). После каждой перезагрузки компьютера, номер телефона меняется на другой.

Процесс

Итак, собственно, сам процесс удаления винлокера.

Сразу оговорюсь, что испытания проходили на Windows 7. Поэтому, повествовать буду относительно её интерфейса. Хотя, в целом, принцип один и тот же на всех системах. Да, и это реконструкция событий. :)

Винлокер появляется сразу после загрузки экрана приветствия. Но у нас есть одно преимущество - если разрешение экрана выставлено правильно, то вокруг окна винлокера еще дожно будет остаться пространство, оно будет залито какимлибо цветом (например, черным).

Для работы нам понадобится, всего-лишь, системный RegEdit. И все!

Чтобы до него добраться, нам нужно будет пролезть через дебри окошек.

1. Жмем Ctrl + Alt + Del. Открывается экран задач. На нем будет нужна кнопка "Специальные возможности" (в левом нижнем углу). В этом окошке нужно будет поставить галочку включения экранной клавиатуры. Закрываем экран задач, но клавиатуру оставляем открытой!!!

2. Далее, на клавиатуре нам будет нужна кнопка "Справка".

alt

Принцип всего этого действия заключается в том, что нам нужно добраться до любой папки, например, до Проводника или Мой компьютер, и т.п.

В Windows 7 сделать это можно через окно любой справки (это единственное, что доступно во время блокировки винлокером).

3. На этом шаге нам нужно будет пройти по пути, как на картинке:

alt

А в Свойствах браузера вот так:

alt

4. После нажатия кнопки "Задать программы", откроется, по сути, окно Проводника. Из него можно получить доступ ко всем папкам и файлам компьютера!

alt

5. Теперь, в поле поиска вводим запрос - regedit. Поисковик винды найдет этот файл. Запускаем его и идем по пути:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Здесь нам нужно изменить два ключа:

- Shell

- Userinit

Но, прежде чем менять их значения, запишите путь и файл, которые находились там ранее (это путь и файл вируса!).

- значение в shell меняем на Explorer.exe

- значение в userinit меняем на userinit.exe

Перезагружаем компьютер. Все готово.

После перезагрузки нужно проследовать по ранее записанному пути и удалить ранее записанный файл. Ну и, желательно, проверить комп, например, Malwarebytes' Anti-Malware.

38 комментариев