понедельник, 10 октября 2011 г.

При включении компьютер, ноутбук требует денег.

  2 часа назад приносят ноутбук. Хозяин честно признается, что в инете ему предложили посмотреть то ли Памеллу Андерсен то ли кого-то такого. И вот результат.
  Он долго стартует и на графическом этапе еще до загрузки рабочего стола, появляется окно типа от антивируса Microsoft Security Essentials о том что обнаружен вирус и для лечения надо перевести через WebMoney нужную сумму и получить в ответ код для лечения. Клавиатура не работает. Цифры ответного кода предлагается водить мышкой, щелкая по изображению кнопок на экране. По Ctrl-Alt-Del за окошком псевдо-антивируса чего-то мелькает. И ничего.
  Насильно выключив ноутбук (краткое нажатие кнопки питания никакого результата не дало), еще на этапе БИОС-а нажимаю F8. Удачно попал как-раз на старт операционной системы. Выбираю "Безопасный режим". И то же окошко. Псевдо-антивирус требует денег.
  Еще раз насильно выключил ноут. По F8 на этот раз выбираю "Безопасный режим командной строки". При загрузке система предлагает зайти учетной записью Администратор либо Пользователь. Выбираю последнего. И -  успех. Меня радует темное окно командной строки с отсутствием всех графических атрибутов гламура. И отсутствием ненавистного окна псевдо-антивируса. Теперь есть где развернуться.
  Regedit нам поможет. Изучение всех известных мне мест автозапуска помогло обнаружить подозрительное место. Ветка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" содержит ключ Shell="E:\Films\xxxvideo.avi.exe". В здоровой системе там должно быть Explorer.exe. Двойное расширение показывает что вирусописатели под видом порнушки подсунули хозяину ноута исполняемое приложение. Исправляю ключ реестра.
  Далее в окне командной строки набираю sysdm.cpl И попадаю в окно свойств системы. Отключаю восстановление системы. Дело в том что при загрузке система может восстановить файлы, которые она считает поврежденными. Юмор этой ситуации в том, что так она может как само-излечиться от заразы, так и само-заразиться после успешного исцеления.
  На всякий случай командой "chkdsk c: /f" запланировал при старте проверку и исправление диска.
  Перегружаем Windows "shutdown -r -t 0" И система успешно стартует в нормальном режиме. Повторная перезагрузка показывает, что все исцелено.
  Снова включаю восстановление системы.
  Прекрасные утилиты Марка Руссиновича Autorun (показывает все автостартующее) и Process Explorer (изучение всего что работает в ОЗУ) не нашли подозрительных вещей.
  К сожалению хозяин спешил забрать свой агрегат и полная проверка жестких дисков выполнена не была. Эту операцию я обычно делаю инструментами DrWeb-a  - LiveCD и LiveUSB. Которые бесплатны для некоммерческого использования. Как и разборки с установленным антивирусом тоже не проводились.