CMD/BAT - [решено] Борьба с винлокером средствами ВАТ

Iska · Отправлено: **07:42, 15-07-2011** | #2

1. Найти путь к папке Windows ОС на жёстком диске.
2. Подгрузить в реестр куст реестра ОС с жёсткого диска «<Путь из п.1>\system32\config\software» посредством «reg.exe load …».
3. Импортировать в раздел подгруженного куста реестра соответствующим образом модифицированный (чтобы он указывал не на текущий «HKLM\SOFTWARE\…», а на раздел, куда будет подгружен куст в предыдущем пункте) reg-файл.
4. Выгрузить из реестра загруженный куст реестра посредством «reg.exe unload …».
5. Скопировать «userinit.exe», путь которого должен быть задан относительно каталога исполняемого пакетного файла, в «<Путь из п.1>\system32\».

Описание происходящего в пп.2-4 можно почерпнуть из статьи: Применение твиков реестра ко всем учетным записям после установки ОС (там описано то же самое, но проделываемое «ручками»).

Основная проблема — правильно определить папку ОС на жёстком диске. Возможно, стоит предоставить выбор пользователю — перебрать все разделы, показать все найденные Windows и дать возможность выбора одного из них. Если более опытные коллеги подскажут, как это проделывает консоль восстановления — можно будет использовать эту технологию, как более надёжную.

BigBoo · Отправлено: **12:57, 15-07-2011** | #3

ZeVSalt, как вариант использовать AntiWinLockerLiveCD. Всё что писалось выше, там и реализовано.

ZeVSalt · Отправлено: **06:17, 19-07-2011** | #4

Так всё таки, можно сделать это без использования посторонних программ?
Может сделать на скриптах?

Iska · Отправлено: **08:32, 19-07-2011** | #5

ZeVSalt, а это я про что писал, как не про пакетный файл?!

root221 · Отправлено: **16:25, 19-07-2011** | #6

Код:

@echo off
set SysDisk=C:
::Проверяем файл куста реестра
if exist "%SysDisk%\Windows\System32\config\software" (
::Загружаем куст
	reg load HKLM\Win "%SysDisk%\Windows\System32\config\software"
::Записываем
	reg add "HKLM\Win\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f
	reg add "HKLM\Win\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d C:\WINDOWS\system32\userinit.exe, /f
::Выгружаем
	REG UNLOAD HKLM\Win
) else (
	echo "HEnPaBuJLHo YKa3aJL Disk! - %SysDisk%"
	pause >nul
)

root221 · Отправлено: **23:47, 19-07-2011** | #7

ZeVSalt,
Незаметил!

так же нужно переписать файл userinit.exe с флешки на комп: c:/Windows/system32/userinit.exe

Код:

@echo off
::Откуда
set fileFolder=С:\i386\system32

::Куда копируем?
set xcopyfolder=C:\Windows

::Имя файла
set file=userinit.exe

::Проверочка
if exist %fileFolder%\%file% (
	xcopy %fileFolder%\%file% %xcopyfolder%
) else (
	echo 4ToTo noLLIJLo HeTaK nPoBePb nYTb K FaiJLy %file%
)

BigBoo · Отправлено: **10:50, 20-07-2011** | #8

А если на компе к примеру WinXP не SP3, а SP2, или SP1 или просто SP0. Если скопировать тогда с флэшки userinit.exe от SP3, всё будет нормально или нужны разные исходные версии данного файла? В таком случае и скриптик посложнее будет...

ZeVSalt · Отправлено: **12:29, 20-07-2011** | #9

Спасибо большое!
Вот это и нужно было.
Попробую, потом отпишусь.

Iska · Отправлено: **12:41, 20-07-2011** | #10

Цитата BigBoo:

А если на компе к примеру WinXP не SP3, а SP2, или SP1 или просто…»

Разумеется.