Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Советы системного администратора Выпуск №21


Советы системного администратора
Сайт рассылки: MasterLin - Блог системного администратора.

Автоматическое завершение сеанса при входе в систему.

После удаления очередного порно-баннера система перестала загружаться, т.е. доходило до окна выбора пользователей и при попытке зайти под любым из них автоматически завершала сеанс, снова возвращая к нашим пользователям :)

Для лечения нам понадобится любой LiveCD, очень хорошо, если он будет с комплектом ERD Commander – выставляем в BIOS загрузку с CD и при очередном включении Ваш ПК запустится с диска.

Приступим к восстановлению системы:
1. нам нужно отключить восстановление системы, чтобы после запуска ПК на нем не смог восстановиться заодно и наш удаленный вирус. Для этого просто удаляем все содержимое папки C:\ System Volume Information

2. открываем папку C:\WINDOWS\system32\dllcache находим и удаляем в ней файлы: userinit.exe и explorer.exe Можно полностью очистить содержимое этой папки – ни чего страшного не произойдет, в ней Windows хранит копии системных файлов на случай сбоя системы.

3. Проверяем наличие следующих файлов:

С:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\explorer.exe

Лучше будет, если Вы скопируете такие же файлы с другого не зараженного ПК и замените существующие. Часто бывает, что вирусы подменяют собой эти файлы, поэтому их нужно заменить. Если их нигде не нашли, то можно скачать сдесь – скачать, в архиве лежат системные файлы для Windows XP и Vista.

4. Переходим к работе с реестром, наша цельнайти все записи оставленные зловредом и мешающие нормальной загрузке ПК.

Т.к. мы работаем на ПК с помощью LiveCD, то добраться до «настоящего» реестра нашей рухнувшей системы просто так не получиться!!! В этом случае есть два пути решения проблемы:

Во-первых, если в загрузочный диск уже встроены утилиты для работы с удаленным реестром, то проблем не возникнет, нужно просто запустить такую программку и начать работу.

Во-вторых, если таких программ у Вас нет, то можно воспользоваться стандартным редактором реестра, применив функцию загрузки куста. Этот метод я опишу отдельно и более подробно в следующем посте.

В моем случае на LiveCD, конечно же нашлись программки из комплекта ERD Commander для редактирования реестра. На любом диске их примерное место расположения будет следующим:

Жмем Пуск (Start) – выбираем Администрирование или Инструменты администрирования (Administrative Tools) – запускаем Редактор реестра (RegEdit), откроется стандартное окно редактора реестра, в котором уже будет доступно редактирование разделов установленной операционной системы.

И так… редактор реестра запущен… приступим… :)

- открываем следующую ветку – рис.1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Рис.1

и в правой части редактора находим следующие параметры:

Shell – щелкаем на нем два раза левой кнопкой мыши и откроется окно со значением этого параметра, проверяем и если нужно исправляем на правильное значение – должно быть таким – explorer.exe, рис 2.

Рис.2

UIHost – должен быть таким – logonui.exe, рис.3

Рис.3

UserInit – должен быть таким – C:\WINDOWS\SYSTEM32\Userinit.exe, – обязательно в конце с запятой, рис.4

Рис.4

VpApplet – должен быть таким – rundll32 shell32,Control_RunDLL “sysdm.cpl” , рис.5

Рис.5

- открываем следующую ветку – рис.6

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Рис.6

Жмем «+» – рядом с этой веткой, что бы открыть все вложенные ветви, в этом списке находим следующие:

explorer.exe

userinit.exe

их можно полностью удалить, либо удалить строковый (REG_SZ) параметр Debugger (если выделить соответствующую ветку, то ее параметры открываются в правой части редактора реестра).

- переходим в другую ветку – рис.7

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices

Рис.7

Здесь находим и удаляем (если есть) строковые (REG_SZ) параметры explorer.exe и userinit.exe.

На этом все… теперь перезагружаем ПК, восстанавливаем в BIOS загрузку с жесткого диска и включаемся в штатном режиме. В итоге проблема с загрузкой пользователей будет успешно решена :)

P.S. Будьте осторожны в работе с реестром, неправильное изменение параметров может привести к полной не работоспособности системы!!!

Оригинал статьи, можно прочитать здесь - Автоматическое завершение сеанса при входе в систему.

Редактируем реестр на зараженном ПК.

Допустим в результате заражения вирусами операционная система Вашего компьютера вышла из строя и необходимо получить доступ к реестру для удаления вирусных записей. Мы можем зайти на ПК используя LiveCD (которых очень много на просторе Интернета), не всегда на таких дисках присутствуют специальные утилиты для работы с удаленным реестром, такие как ERD Commander, но всегда есть стандартный редактор реестра.

Загружаемся с LiveCD, идем в ПускПрограммы → возможно редактор будет находиться здесь, либо надо будет открыть одну из предложенных директорий, например, Remote → жмем на Редактор реестра ( RegEdit или Remote RegEdit) и откроется рабочее окно редактора реестра.

Встаем на ветку реестра, которую Вам нужно отредактировать, например HKEY_LOKAL_MACHINEрис.1.

Рис.1

Идем в меню Файл → жмем Загрузить кустрис.2.

Рис.2

Откроется окно проводника «Загрузить куст», здесь открываем папку по следующему пути: выбираем диск на котором установлена рухнувшая система, например – диск С, затем идем \WINDOWS\system32\config , здесь находим и выделяем файл software и жмем кнопку Открыть.

В следующем окне нужно указать как будет называться куст, например, пусть будет – softрис.3, жмем ОК.

Рис.3

Если после этого на экране появилось сообщение – рис.4, то в состав вашего LiveCD входит утилита для работы с реестром, которая уже подгрузила нужные разделы, поэтому Вам нужно отыскать ее в программах и запустить.

Рис.4

Если сообщение не вышло, то Вам нужно открыть ветку HKEY_LOKAL_MACHINE, где найдете раздел с именем soft, именно тот который мы создали.

Далее Вы можете зайти в этот раздел и внести нужные изменения, все они будут совершаться для рухнувшей системы, а не для текущей сессии с LiveCD.

После работы нужно встать уже на раздел soft, зайти в меню Файл → выбрать Выгрузить куст.

Удачи и поменьше вирусов в системе!!! :)

Оригинал статьи, можно прочитать здесь - Редактируем реестр на зараженном ПК.

Обновления в разделе - Бесплатное ПО.

Вышли новые версии для следующих программ:

антивирус Avast Free Antivirus.
браузер Opera.

Понравился мой блог !?

Ты можешь помочь мне в его развитии, если у тебя есть свой сайт, то я прошу поставить в нем ссылку, например, Блог системного администратора
Если захочешь, то я могу тоже поставить ссылку в ближайшем посте на твой сайт, т.е. постовый.
Или ты можешь просто добавить мой блог в свои закладки на любом известном сервисе (например: toodoo.ru, bobrdobr.ru, memori.ru и т.д.). Заранее огромное спасибо!!!
Ваши просьбы, пожелания, отзывы можете направлять по следующему адресу - Пишите письма

В избранное