Уборка за вирусами
АрхивReaditorialКак я уже писал в предыдущей статье, я предпочитаю бороться с вирусами руками, а не софтом. В данном случае поработали до меня, с помощью live cd была "вылечена" система. В итоге: файлы и ярлыки не запускаются.
Наш читатель Кирилл Вернон продолжает исследование темы борьбы с вирусами нестандартными методами. И, как это ни странно, у него неплохо получается. Орфография и пунктуация автора сохранены. - прим. ред.
Новая интересная ситуация возникла. Как я уже писал в предыдущей статье, я предпочитаю бороться с вирусами руками, а не софтом. В данном случае поработали до меня, с помощью live cd была "вылечена" система. В итоге: файлы и ярлыки не запускаются. Начинаю реанимацию: во первых, очевидно, что вирус заменил команду на запуск exe файлов. Соответственно невозможно вызвать ни одну программу. Попытка запустить через "выполнить" из "пуска", приводит к 0 результату. Это только лишь подтверждает предположение по замене шелла на запуск файлов.
Мне повезло, служба "Вторичный вход в систему" была активирована. Первым делом я перешел в /windows/system32/restore/ нажал на правую клавишу на файле "rstrui.exe" и выполнил команду "запустить от имени" (в этом случае вместо шелла по умолчанию, вызывается программа runas.exe, соответственно последствия вируса в пролёте). Пришлось снять флажок "защитить компьютер от несанкционированных действий", иначе система восстановления не работает.
К сожалению, после восстановления образа системы за май месяц, выяснилось, что вирусом компьютер был уже заражен - соответственно время потрачено в пустую. Формально конечно можно было бы поиздеваться над пользователем, проставив в опциях критически нужных ему ярлыках во вкладке "ярлык" в кнопочке "дополнительно" галочку всегда запускать от имени другого пользователя. И заставить таким образом поработать с компьютером пару деньков (таким образом запускаться будут только те ярлыки, кому это было сделано, при условии, что юзер не спалил фишку с запуском от имени другого пользователя), исключительно в воспитательных целях, чтобы не затягивал с лечением вирусов. Но т.к. у меня не случилось приступа садизма, я решил продолжить реанимацию.
Этим же не хитрым методом я спокойно запустил regedit и увидел то, что и ожидал увидеть HKEY_CLASSES_ROOT\exefile\shell\open\command указывала на файл вируса. Замена строки на "%1" %*, как и следовало ожидать, проблему решило.
На самом деле, если бы я не оказался так удачлив со службой вторичного входа, у меня был запасной план - то, что однажды мне уже приходилось использовать, впрочем, немного в другой ситуации. Достаточно вызвать "сервис/свойства папки" в браузере файлов (если по какой то причине, отсутствует ярлык "мой компьютер" то можно просто нажать правую кнопку мыши на "пуск" и выбрать строку "проводник"). В свойствах папки будет интересовать третья вкладка "типы файлов". В них надо будет создать разрешение "exe", нажать на "дополнительно" и выбрать среди предложеного строчку "приложения". Теперь при попытки запустить exe и lnk виндоус будет услужливо предлагать выбрать программу по умолчанию для запуска файлов. (вообще то это можно сделать с помощью правой клавиши мышки, выбрать пункт "открыть с помощью", а там "выбрать программу", но часто вирусы удаляют эту строчку из выпадающего меню). В качестве программы для запуска выбераем windows/system32/cmd.exe. Конечно это не запустит программу, зато вместо нее запуститься консоль :).
А с консолью уже все тривиально, можно просто вбить regedit и получить доступ к реестру, далее все как написано выше.