Цели и задачи проекта

Основной целью проекта является показать возможность восстановления операционной системы после сбоя. Подобные операции можно выполнить, используя как штатные стредства операционной системы (в нашем случае Windows), так и сторонние программы, такие как описанный выше ERD commander.

Основная часть Описание сбоя системы: вирусный баннер, блокирующий работу операционной системы Используемое программное обеспечение: Windows 7(штатные ресурсы) ERD Commander 7 Рабочий процесс: На компьютере под управлением ОС Windows 7 обнаружен вирусный баннер, блокирующий загрузку пользовательского интерфейса.

Рис. 2.1 Рекламный баннер, блокирующий работу При загрузке операционной системы в безопасном режиме, баннер не исчезает.

Шаг 1. Загружаем ERD Commander, установив в Биосе, в Boot Menu загрузку с CD-ROM. После инициализации загрузочного диска ждем, когда завершится сканирование установленных операционных систем (рис.2).

Рис. 2.2 Сканирование установленных ОС

Далее выбираем нашу операционную систему (рис.3), и жмем кнопку Далее.

Рис. 2.3 Выбор системы для восстановления

Так, как любому уважающему себя вирусу в первую очередь нужно прописаться в реестре, используем встроенный редактор реестра от ERD (рис.4).

Откроется реестр Windows, путь к которой мы выбрали в первом окне при загрузке. Это реестр зараженной винды, в которой сидит баннер. Нужно посмотреть ветки реестра, где обычно прописывается баннер. В первую очередь это ветка: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNT CurrentVersionWinlogon.

Рис. 2.5 Ветки реестра

Здесь мы проверяем три ключа: — ключ Shell отвечает за загрузку оболочки (рабочего стола) Windows и должен иметь строковое значение Explorer.exe, но будет лучше, если прописать полный путь к файлу C:Windowsexplorer.exe — UIHost должен иметь строковое значение logonui.exe — Userinit обеспечивает вход пользователя в систему, должен иметь строковое значение C:Windowssystem32userinit.exe В нашем случае ключ Shell был изменен. Выставляем значение в исходное (Explorer.exe) Теперь проверим ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun.

Рис. 2.6 Редактор реестра

В этой ветке прописываются параметры автозапуска. Здесь мы ищем все подозрительные пути исполняемых файлов. В нашем случае это jdfgru codec. Щемкаем правой кнопкой по двоичной записи реестра и выбираем удалить. Следующий шаг — Проверяем автозагрузку заблокированной Windows. Запускаем инструмент Управление компьютером через меню быстрого доступа к утилитам восстановления (рис.4).

рис. 2.7 Управление компьютером

В нашем случае видно, что системный файл userinit. exe заменен зараженным вирусом файлом. Это определяется по описанию файла (Description) и по компании-разработчику (Company). Также подмену файла userinit. exe можно распознать по дате.

Именно из-за того, что файл userinit. exe является зараженным, баннер блокировал Windows в безопасном режиме и появлялся до загрузки командной строки. Ведь он отвечает за вход пользователя в систему и загружается сразу после выбора учетной записи.

Необходимо удалить зараженный файл C:WindowsSystem32userinit.exe и заменить его оригинальным файлом. Последние версии баннеров также подменяют файл C:windowssystem32 askmgr. exe из-за чего при запуске диспетчера задач снова появляется баннер. Этот файл лучше тоже заменить на оригинальный, т. е. удалить и восстановить с диска. Как это сделать можно прочитать здесь: Как восстановить поврежденные или удаленные системные файлы Windows. Дубли этих файлов лежат в папке C:windowssystem32dllcache. С ними нужно проделать те же действия. После исправления всех значений реестра нужно проверить системный диск антивирусным сканером в безопасном режиме.

После выполнения всех действий восстановилась работоспособность системы. Вывод Выше были рассмотрены многие способы восстановления работоспособности операционной системы, с использованием как штатного «комплекта» программ, так и стороннего программного обеспечения. Были рассмотрены плюсы и минусы различных способов восстановления. Какое программное обеспечение использовать решает каждый для себя сам. Со своей стороны я пришел к выводу, что в большинстве случаев намного менее ресурсозатратно использовать штатное программное обеспечение операционной системы. За неимение некоторых дополнительных функций оно почти во всех случаях оказывается эффективным при восстановлении.