☎ Обучение сайтостроение или web-дизайн, обработка графики, системное администрирование, администрирование Windows серверов, администрирование Linux серверов, создание LAMP серверов, 1С бухгалтерия с нуля для взрослых и детей от 12 лет г. Краснодар тел. +7 908 691 83 63 +7 918 320 05 07 e-mail: master@spo23.ru

Вы здесь

Обучение программированию Краснодар

Практические занятия по приобретению навыков детей от 12 лет

Направления:

  • Вычислительные системы, сети и телекоммуникации
  • Конфигурирование MS Windows
  • Конфигурирование Linux
  • Графические приложения
  • Сетевое программирование (или системное)
  • Базы данных Системы управления базами данных Теория баз данных
  • Аппаратное обеспечение рабочих станций, серверов, ноутбуков
  • Web-технологии
  • Создание web-сайтов
  • Ускоренный курс по созданию web-сайтов CMS Wordpress, Jumla, Drupal, PHPBB
  • Системы видеонаблюдения. Расчет. Тактика планирования. Монтаж. Курс 5 часов

Читать здесь > > > > > > > > > > > >

Позвонитьтел. +7 908 691 83 63 +7 918 320 05 07

Использование chntpw если "windows заблокирован"

Фейсбук Цифтех
ВКонтакте Цифтех
Инстаграм Цифтех
Одноклассники Цифтех
Pinterest Анатолий Фукалов
Livejournal Анатолий Фукалов

вирус заблокировал

Windows заблокирован, отправьте смс на такой-то номер...
Знакомая ситуация. В Сети предлагается множество решений для избавления от этой пакости. Пакость, хотя на самом деле это продукт интеллектуального труда, представляет собою механизм замены исполняемой на старте ОС Windows программы explorer.exe, которая в свою очередь является оболочкой, предоставляющей возможность использования графического интерфейса на файл, расположенный в одной из директорий пользователя, например

C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

или

%SystemRoot%\system32\user32.exe

все зависит от модификации программы. При посещении пользователем, входящим в привилегированную группу на локальном компьютере определенных веб-ресурсов (не обязательно сомнительного содержания) происходит копирование программы на диск компьютера и ее запуск, после чего она создает свою копию в одной из директорий пользователя с произвольным именем и прописывает себя в реестре Windows по адресу

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

где Shell заменяется на созданный вирусом файл.

В итоге, при включении (перезагрузке) компьютера, вместо привычного рабочего стола и остальных принадлежностей, обрабатываемых программой explorer.exe пользователь видит то, что несет в себе вирус, а именно графическое изображение и текст произвольного содержания, с просьбой (назовем это так) отправить (читай заплатить) определенную сумму денег на конкретный номер телефона.

sms-virus

Сейчас мы не будем обсуждать судьбу переведенных денежных средств и их счастливого обладателя, а постараемся избавиться от вируса и запустить операционную систему.

Сложность заключается в том, что пока нам недоступен графический интерфейс, как и консоль Windows.

Я поведу речь об использовании системы Linux и программы chntpw, являющейся редактором реестра ОС Windows. Действия, производимые мною будут происходить исключительно в консоли и к графическому интерфейсу отношения не имеют.

Для монтирования зараженного жесткого диска можно поступить различными способами:

  • загрузить компьютер с live-cd
  • Смонтировать удаленный жесткий диск по сети в локальную директорию, можно и через интернет (автор позже расскажет о тонкостях сего мероприятия)
  • Снять зараженный жесткий диск и подключить его к Linux системе

Оставляю право выбора за читателем.

Итак, мы имеем доступ к диску С, где находятся файлы SAM, system, software, security, обычно это директория %SystemRoot%\System32\config.
Перед началом работ рекомендую сохранить копию файлов. Директория /mnt/win0 сдержит монтированный раздел диска С с ОС Windows.

chntpw -e /mnt/win0/WINDOWS/system32/config/software
chntpw version 0.99.6 100627 (vacation), (c) Petter N Hagen
Hive /win0/WINDOWS/system32/config/software> name (from header):
ROOT KEY at offset: 0x001020 * Subkey indexing type is: 686c
Page at 0x1bfa000 is not 'hbin', assuming file contains garbage at end
File size 29360128 [1c00000] bytes, containing 6547 pages (+ 1 headerpage)
Used for data: 500892/29092120 blocks/bytes, unused: 3477/29832 blocks/bytes.

Simple registry editor. ? for help.

Нам требуется ветка Microsoft\Windows NT\CurrentVersion\Winlogon, переходим

> cd Microsoft\Windows NT\CurrentVersion\Winlogon
(...)\Windows NT\CurrentVersion\Winlogon> dir
Node has 3 subkeys and 31 values
key name



size type value name [value if type DWORD]
4 REG_DWORD 1 [0x1]
32 REG_SZ
12 REG_SZ
2 REG_SZ
2 REG_SZ
4 REG_SZ
4 REG_SZ
132 REG_SZ
4 REG_SZ
2 REG_SZ
68 REG_SZ
88 REG_SZ
4 REG_DWORD 0 [0x0]
4 REG_SZ
4 REG_SZ
4 REG_SZ
6 REG_SZ
4 REG_DWORD 0 [0x0]
4 REG_DWORD
14 [0xe]
4 REG_SZ
4 REG_DWORD 1 [0x1]
24 REG_EXPAND_SZ
4 REG_DWORD 1 [0x1]
12 REG_SZ
6 REG_SZ
4 REG_DWORD 0 [0x0]
4 REG_SZ
4 REG_DWORD 1 [0x1]
4 REG_DWORD 0 [0x0]
12 REG_SZ
32 REG_SZ

приступаем к редактированию

ed Shell
(...)\Windows NT\CurrentVersion\Winlogon> ed Shell
EDIT: of type REG_SZ with length 132 [0x84]
[ 0]: C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Now enter new strings, one by one.
Enter nothing to keep old.
[ 0]: C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Собственно вот и наш гость 22CC6C32.exe это он занял место explorer.exe.
Остается только произвести замену на проводника, и сохранить сделанную запись. Желательно сразу удалить вирус, пока вы не забыли путь к нему

C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Как правило, если раздел диска смонтирован в локальную директорию, можно произвести проверку на вирусы, хотя, можно и отложить это действие. Размонтируем раздел жесткого диска и пробуем перезагрузить Windows компьютер. Если все прошло гладко, система загрузится и мы увидим рабочий стол, следующий шаг - тотальная антивирусная проверка со свежими базами всех разделов HDD компьютера.

Это не единственное, что умеет программа chntpw, с ее помощью можно просматривать и редактировать любые разделы реестра, также она способна считывать и менять пароли системных учетных записей.

chntpw -l /mnt/win2/WINDOWS/system32/config/SAM
chntpw version 0.99.6 110511 , (c) Petter N Hagen
Hive /win2/WINDOWS/system32/config/SAM> name (from header):
ROOT KEY at offset: 0x001020 * Subkey indexing type is: 666c
File size 262144 [40000] bytes, containing 6 pages (+ 1 headerpage)
Used for data: 252/20704 blocks/bytes, unused: 8/3680 blocks/bytes.

* SAM policy limits:
Failed logins before lockout is: 0
Minimum password length : 0
Password history count : 0
| RID -|---------- Username ------------| Admin? |- Lock? --|
| 03ec | ASPNET | | |
| 03e8 | HelpAssistant | | dis/lock |
| 03ea | SUPPORT_388945a0 | | dis/lock |
| 03eb | user | ADMIN | |
| 01f4 | 4@ | ADMIN | |
| 01f5 | >ABL | | *BLANK* |

На примере видно присутствующие учетные записи, в нашем случае они не заблокированы паролем. Программа chntpw хорошо задокументирована, при вызове справки можно ознакомиться с дополнительными опциями запуска.
Ну и в завершение ролик про вирусы

Фейсбук Цифтех
ВКонтакте Цифтех
Инстаграм Цифтех
Одноклассники Цифтех
Pinterest Анатолий Фукалов
Livejournal Анатолий Фукалов