Материал просмотрен 1,418 раз(а)

Попался мне сегодня нетбук с баннером:

Баннер

Баннер

Слышал массу способов ввести номер телефона и код на сайте антивирусов, выдадут код. Его вводим в окне и баннер пропадает. Бла-бла-бла, все шоколадно. Но нам-то интересней докопаться до истины самостоятельно!

Посему, подцепил к нетбуку USB CD-ROM (кстати, незаменимая вещь!) с диском LiveCD Sonya, мне нравится эта вещица. LiveCD WindowsXP с набором интересненького софта, для восстановления файлов, разбивки дисков, поиска вирусов, сброса паролей и т.д. Ну не суть важно, идём дальше.

Съемный диск

Съемный диск

Загрузилась у меня операционка, начинаем работать. План действий, котрый я хотел провернуть:

  1. Внешний осмотр системных папок (и директорий пользователя);
  2. Подключение системного куста реестра и исследование его в поисках гадостей;
  3. Включение логирования загрузки, дабы увидеть что и на каком этапе грузится лишнее;
Рабочий стол Sonya

Рабочий стол Sonya

При беглом осмотре обнаружилось две папки Windows!

Уж пока не знаю, как вирусу это удалось, но похоже символы подставные.

Две папки Windows

Две папки Windows

А в папке WINDOWS фейковый Explorer. Готов поспорить, что это и есть баннер (оболочка по-умолчанию).

Explorer. Готов поспорить, это и есть баннер.

Explorer. Готов поспорить, это и есть баннер.

Переименовал фейковую папку с эксплорером в ~WINDOWS.

Переименуем и проверим загрузку

Переименуем и проверим загрузку

После перезагрузки всё запустилось прекрасно! Блин, я даже расстроился, что все так просто оказалось. Хотел статью про правку кустов реестра другой системы сделать, но, видимо, не судьба. Будем ждать другой баннер. Если кому-то этот коротенький ман поможет – буду очень рад!