Попался мне сегодня нетбук с баннером:
Слышал массу способов ввести номер телефона и код на сайте антивирусов, выдадут код. Его вводим в окне и баннер пропадает. Бла-бла-бла, все шоколадно. Но нам-то интересней докопаться до истины самостоятельно!
Посему, подцепил к нетбуку USB CD-ROM (кстати, незаменимая вещь!) с диском LiveCD Sonya, мне нравится эта вещица. LiveCD WindowsXP с набором интересненького софта, для восстановления файлов, разбивки дисков, поиска вирусов, сброса паролей и т.д. Ну не суть важно, идём дальше.
Загрузилась у меня операционка, начинаем работать. План действий, котрый я хотел провернуть:
- Внешний осмотр системных папок (и директорий пользователя);
- Подключение системного куста реестра и исследование его в поисках гадостей;
- Включение логирования загрузки, дабы увидеть что и на каком этапе грузится лишнее;
При беглом осмотре обнаружилось две папки Windows!
Уж пока не знаю, как вирусу это удалось, но похоже символы подставные.
А в папке WINDOWS фейковый Explorer. Готов поспорить, что это и есть баннер (оболочка по-умолчанию).
Переименовал фейковую папку с эксплорером в ~WINDOWS.
После перезагрузки всё запустилось прекрасно! Блин, я даже расстроился, что все так просто оказалось. Хотел статью про правку кустов реестра другой системы сделать, но, видимо, не судьба. Будем ждать другой баннер. Если кому-то этот коротенький ман поможет – буду очень рад!
Дмитрий, а на файлопомойку LiveCD Sonya случайно не можешь выложить?
Попробую конечно залить, iso-шник Может правда пригодится кому.
Добавил ссылку на файлопомойку, ищи Sonya