четверг, 26 апреля 2012 г.

Ручная работа. Фальшивый userinit.

  Windows XP Service Pack 3. Антивирус говорит "c:\windows\system32\userinit.exe модифицированный Win32/Kryptik.IBN". Вспомнил утилиту autoruns Марка Руссиновича, которая показывает все автостартующее в Windows. К слову Марк один из архитекторов ядра Windows. А его утилита используются Microsoft и в частности ее службой поддержки для выявления причин неисправностей в операционной системе.
  Утилита autoruns показала в поле Description странное значение Notepad. А в поле Publisher, показывающем цифровую подпись издателя программы, было пусто. Хотя подлинный userinit в этом поле должен иметь значения "Корпорация Майкрософт" или "Microsoft corporation". Стало ясно, что это поддельный userinit.exe. Его размер был 14 кб. Это не было ошибкой антивируса, дефектом его сигнатур и т.д.
  Естественный путь - проверить антивирусом, загрузившись с какого либо антивирусного компакт-диска или Live-флешки. Kaspersky и Dr.Web имеют на своих сайтах эти инструменты. Но это займет много часов. И его еще где-то надо найти. А был конец рабочего дня. Какие-то 20 минут оставались до момента, когда можно было махнуть домой. Поэтому решил вылечить вирус быстрее. То есть вручную. Решил восстановить настоящий, подлинный userinit.exe. Я имел с собой подлинный лицензионный диск Windows XP Service Pack 3. И в консоли восстановления восстановить оригинальный файл.
  Тот кто знает как запустить консоль может пропустить следующий абзац.
  1. Вставляю CD-диск с лицензионной Windows.
  2. Загружаюсь с него
  3. Первый текстовый экран, где установщик спрашивает "Установить", "Зайти в консоль восстановления" или "Выйти". Нажимаю "r", чтобы войти в консоль восстановления.
  4. Нажимаю "1" в ответ на вопрос к какой копии операционной системы я хочу подключиться
  5. Консоль просит ввести пароль администратора. Наш не скажу. На большинстве компьютеров он пустой и тут просто нажать Enter.

  Я в консоли. Далее считаем, что C: - это логический диск с установленной Windows, а D: - это мой компакт-диск с лицензионным установщиком операционной системы. Далее по пунктам как восстанавливал userinit.exe
  1. Захожу на CD-диск "d:"
  2. Перехожу в папку где лежат упакованные файлы "cd \i386".
  3. Набрал команду "expand c:\windows\system32 userinit.ex_". Именно так с подчеркиванием вместо последней "e". Ведь на компакт-диске этот файл лежит упакованным.
  4. Отвечаю "y" на вопрос о перезаписи файла.
  5. Для перезагрузки компьютера из консоли восстановления набрал команду exit.

  Размер подлинного файла userinit.exe оказался 26624 байта. Т.е. почти в два раза больше чем у фальшивого. И оставил на несколько часов включенным.
  Прийдя, обнаружил что сообщения о вирусе исчезли.