Последнее время что-то зачастили всякие винлокеры посещать компьютеры моих нерадивых юзверей. Складывается такое впечатление, что появилось новое поколение мелких пакостников. Ну или все теже... потихонечку мутируют. Вообщем ничего нового в них все равно нет. Это наверное и к лучшему. Хоть данные юзверей не трогают - и на том спасибо.
Так вот... последний попавшийся мне локер делал все тоже самое что и предшественники. Кроме одного маленького момента. Он не дописывал себя к значениям стандартных ключей реестра, а полностью заменял их. В результате - ручная чистка реестра привела к возможности запуска системы - до запроса логина пароля. а вот при попытке входа - выбрасывало обратно.
вообщем для себя... на будущее.. может кому тоже пригодиться... Стандартные значения ключей реестра windows xp используемые при инициализации рабочего окружения пользователя.(надеюсь правильно сформулировал) на которые стоит обратить внимание после очистки системы от локеров.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell "Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit "C:\WINDOWS\system32\userinit.exe,"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell "Explorer.exe"
ну и не забываем про
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
я обычно сначала экспортрую эти ветки в отдельные файлы. после чего очищаю их (ветки реестра).
На этом пока все.
http://technet.microsoft.com/en-us/library/cc939862.aspx
Комментариев нет:
Отправить комментарий