Решил написать сюда, т.к. Сисадминские задачки почти никто не читал (просмотров 102к против 2.7к).
Значицца, вызвали меня друзья родителей. Ходил-ходил дяденька по порносайтам и (не с первого раза, видимо), получил-таки известный вирус - разблокировка компа через СМС.
Умудрились укатать Сивку-Бурку так, что при стандартном заходе (как раз вспомнил, что safe mode им забыл починить) отображал пустой рабочий стол с обоиной. Ни меню пуск, ни ярлыков. На Crtl+Alt+Del (равно как и на Ctrl+Shift+Esc) - низзя, администратор запретил запуск диспетчера задач.
У ребят оказалось по винде на каждом из винтов (их 2, на 120 и 250Г). Убили ту, которая на новом, 250Г. Хозяйская дочка рассказала, что Каспера она на старой винде обновила и уже прогнала сканирование, обнаружив вирусы (о дивная юзерская память) в кэше Оперы. Получив ответ о длительности сканирования (30 минут) я решил сделать полный ре-скан, т.к. время маловато для больших винтов, очевидно сканирование было каким-то выборочным.
К удовольствию Термыча скажу, что загрузка Norton 2004 с BartPE (но под виндой, а не самим Бартом - обычно тоже работало) окончилась фейлом и было решено пустить в ход спецоружие - DrWeb Live CD. Загрузка прошла нормально, сначала поставил сканироваться все разделы, но после того как сканирование С на первом винте (10Г занято) заняло почти 3 часа - туча chm файлов и прочего говна, ну и сканит Веб имхо медленно - я решил остановить сканирование и проверить лишь второй системный диск. Отключил проверку архивов и вроде прошло быстрее (хотя всё равно архивы сканил - что за херня, не в курсе). Скан второго раздела (занято примерно столько же) занял 1.5 часа. Итого - 4 с лишком.
Забавный глюк - после одного или нескольких засыпаний (моник тухнет в процессе сканирования) DrWeb LiveCD терят мышу
Пришлось ребутнуться.
За всё 4-часовое сканирование было поймано 2 виря, downloader'а. Один в кэше Гугл Хрома, второй - экзешник первого в одной из папок. То есть - ничего серьёзного и имеющего
прямое отношение к делу.
С диска XP попробовал запустить восстановление (уже потом понял что без толку). На F2 программа установки не откликнулась, почему - понял только на следующий день. МегоУмная клава имела режим переключения для клавиш F1-F12. И он стоял не в том положении.
На ночной смене побродил по тырнетам, поискал чего пишут на эту тему. У многих запускался диспетчер задач по Ctrl+Shift+Esc, хотя блокировался по другим "трём педалям". Наиболее умный совет я нашёл случайно, но о нём позже. У нас сложный случай - рабочий стол пустой, ничего не запустить.
Ночью был скачан procxp от Марка Руссиновича, а также скопирован и переименован regedit от рабочей системы.
Я рассчитывал, что вирус, не узнав в лицо своих противников, допустит из запуск (из-под 2й винды они были помещены в Автозагрузку больной). Не сбылось и в этом главный секрет.
Кстати, ложечка дёгтя для Терма - для вот таких операций с утилитками и подкладыванием их куда надо и нужен BartPE (винда всё же). DrWeb LiveCD бесполезен в данном плане.
Оставался последний резервный вариант - т.к. не выполняются никакие приложения (а нужна разблокировка через редактирование реестра). С сайта DrWeb была ссылочка на феноменально полезную штуку - редактор реестра под DOS.
Полученные на просторе интернета совета заключались в следующем:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
и (внимание, в нашем случае это было даже важнее)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=Explorer.exe
Подмена шелла и дала отображение пустого рабочего стола.
Редактором реестра были найдены и успешно отредактированы файлы ntuser.dat (ветка HKCU) и software (ветка HKLM\SOFTWARE).
Шелл пришлось вбивать в HEX, по крайней мере возможности вбить строку я не нашёл. Т.к. полный путь к вирусу был гораздо длиннее "explorer.exe" добил оставшееся нулями - сработало.
На том же сайте DrWeb нашёл и ссылочку на reg-файл восстанавливающий безопасный режим (ах, да, кроме прочих прелестей наш вирь еще и загубил безопасный режим - винда вываливалась в BSoD при попытке стартануть в нём). Однако, безопасный режим не проверил (не думаю, что он заработал) и забыл запустить файлик.
В общем, опыт можно считать вполне удачным, только количество потраченного времени жаль (4+1.5 часа).
Добавлено:
).
Новая тема
Ответить