Дано: Залоченная вирусами/троянами/другой нечистью Windows, так же в наборе LiveCD "Offline NT Password & Registry Editor", ну естественно руки и глазки ...
Решение:
Готовим пациента и инструмент:
1) Скачиваем наш LiveCD "Offline NT Password & Registry Editor" по этой ссылке почти внизу есть глава Download в ней список, нам интересен образ для CD, вот и качаем самый свежий (~4МБайта, да-да, не ошибся, МБайта ;) естественно like unix =) )
2) Прожигаем скаченный образ на CD болваночку (для естетики маленкий образ на маленкий CD =))
3) Загружаемся с свежепроженного CD на "павшем ангеле" Windows ... (для этого не забываем в BIOS указать первый загрузочный from CD/DVD, многи мамки поддерживают при загрузке F12)
4) Черный экран .. много много букаф ... не пугаемся, и спокойненько отвечаем на задаваемые вопросы системой (обычно по дефолту на всё):
- boot: (ничего не пишем)(Enter)
- Please select partion by number or
...
Select: [1]: (смотрим соответствует ли цифра в квадратных скобках девайсу на котором стоит Windows в списке который чуть выше ...)(Enter)
- What is the path to the registry directory? ... [WINDOWS/system32/config] (если на винте несколько ОС ... то и нахождение файлов реестра может быть разным ... WINDOWS0, WINDOWS1 и так далее, пишем в этом случае: WINDOWS1/system32/config, если же ОСь одна то ничего не пишем)(Enter)
- Select which part of registry to load, use predefined choices or list the files with space as delimiter
...
[1]: (Что мы желаем делать с системой? под цифрой [ 1 ] действие сброса пароля, под цифрой [ 2 ] набор программ для восстановления системы) (выбрали нужное нам действие, жмем Enter)
Покопаемся в внутренностях пациента:
Вирус или кто-то еще добрался до вашей системы и теперь вместо привычной загрузки Explorer (дефолтной оболочки Windows) загружается другая "хрень-программа" которая мало того клянчит у вас денег средствами отсылки СМСки (вариации разные, грозится убить все данные и т.д.) таки еще и лочит весь доступ к компьютеру, не воспринимая никакие комбинации клавиш тип: Ctrl+Alt+Del ... не отчаиваемся ;) всё поправимо ...
и так выбрали выше действие под цифрой [ 2 ] - набор программ для восстановления системы и у нас снова вопросы:
- Loaded hives: (software)
...
What to do? [1] -> (что именно мы хотим? под цифрой [ 1 ] - редактирование пользователя, под цифрой [ 3 ] - восстановительная консоль и наконец таки под [ 9 ] - редактор реестра) (жмем цифру 9 и Enter)
- Запустился редактор реестра "Simple registry editor", для спарвки набираем [ ? ] и жмем Enter
- основные команды нужные нам:
- cd - переход в ветку ...
- ls - просмотр содержимого ветки
- cat -просмотр значение определенного ключа
- ed - редактирование значения ключа
- и так наша цель, к примеру, лежит в ветке HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, ключ Userinit (это тот самый ключ который отвечает за загруску оконного менеджера Explorer'a которого)
Вводим череду команд: - cd Microsoft
- cd Windows NT
- cd CurrentVersion
- cd Winlogon
- ls
- cat Userinit
- Что же мы видим? Комманда [cat Userinit] вернула нам что то типа того:
С:\WINDOWS\system32\sysmoonroot.exe
Ай-йа-йа ... не хорошо, ведь должно та быть только:
C:\WINDOWS\system32\userinit.exe - Правим этот ключик:
- ed Userinit
- пишем:
C:\WINDOWS\system32\userinit.exe
жмем Enter - Вот и всё, осталось только сохранить все наши изменения ;)
да да, если вы ошиблись или еще что то ... то можно просто перезагружится и начать сначала, для того что бы все изменения вступили в силу нужно правильно выйти.Для этого находясь в редакторе реестра, выходим из него набрав: - q (жмем Enter)
- Далее выходим из оболочки LiveCD, повторив комбинацию выше:
- q (жмем Enter)
- Тут нас спросят, записать ли изменения внесенные нами (по умолчанию ответ отрицательный, поэтому жмем букву [ y ]):
About to write file(s) back! Do it? [n] : y (Enter) - И последний вопрос, хотим ли мы еще что то поделать или выходим? По умолчанию стоит выход .... сами смотрите что вам нужно =)
You can try ....
New run? [n]: - Если выбрали ВЫХОД то выйдете в командную строку, что бы перезагрузить компьютер можно набрать команду reboot или просто перезагрузить компьютер кнопкой Reset ...
- Вот и всё =) "Падший ангел" спасен, все спят спокойно ... Не забудьте тока загрузку с CD/DVD в бивсе убрать.
Примечание №1: Где еще могут прятаться в реестре всяка хрень? вот вам шпаргалка
(да мне она самому не повредит =) ):
HKCU:
- \Software\Microsoft\Windows\CurrentVersion\RunOnce
- \Software\Microsoft\Windows\CurrentVersion\RunServices
- \Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
- \Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM:
- \Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
- \Software\Microsoft\Windows\CurrentVersion\Run
- \Software\Microsoft\Windows\CurrentVersion\RunServices
- \Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
- \Software\Microsoft\Windows\CurrentVersion\RunOnce
- \Software\Microsoft\Windows\CurrentVersion\RunOnceEx
- \Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- \Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Примечание №2: Все эксперементы ставились на Windows XP Pro, но в примечании к LiveCD "Offline NT Password & Registry Editor" так же заявлена поддержка NT 3.51, NT 4 (все версии & СПаки), Windows 2000 (все версии & СПаки), Windows XP (все версии & СПаки), Windows Server 2003 (все СПаки), Vindows Vista 32 and 64 bit (SP1 в том числе), Windows 7 (любые вариации)
Примечание №3: с помощью этого LiveCD сбрасываются пароли пользователей, или повышаются их привелегии или разлочиваются в случае их блокировки в системе ... но это отдельная речь ... читайте ... там в принципе всё написано дословно и понятливо =)
Комментариев нет:
Отправить комментарий