В поледнее время участились случаи заражения вирусом-блокером под названием «as.exe». Представляет собой блокер с заголовком «Internet Security» и обвинениями в просмотре гей-порно и соответствующей картинкой. 🙂 Он тоже не имеет кодов разблокировки, как и 22CC6C32, но в отличие от 22CC6C32.exe не заражает/удаляет/заменяет системные файлы userinit и taskmgr. Блокер убирается следующим образом: Добавка: еще заметил при этом «зависании» панели в трее, что координаты по Х при клике мыши, как будто смещаются влево. Тыкая по значкам, расположенным левее объединенных значков громкости и сети, видно, что клик происходит и по значкам сети / громкости, но панель не появляется. Возможно, глюк связан с мультимониторной конфигурацией (мониторов у меня три, разного разрешения), и комп увожу в спящий режим, вместо выключения. Загружаемся с LiveCD с WinPE (например, ERDCommander) При загрузке подключаем реестр найденной Windows XP системы Запускаем из меню утилиту autoruns и смотрим где блокер прописался в пользователях System и своем собственном У блокера as.exe может быть несколько тел, поэтому внимательно изучаем содержимое /Windows/Temp, /Documents and Settings/*/ApplicationData, и прочие директории на предмет наличия файлов (можно искать по размеру в том же Total Commander). Удаляем все эти файлы, заодно чистим темпы, дллкэш Запускаем утилиту regedit: ищем по названию файла ветки, где он может быть. Как правило это замена Shell, в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon, добавление своего тела as.exe в отладчики к исполняемому системному фалу userinit.exe в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Image File Execution/userinit.exe (если не удалить этот раздел, то вход в систему пользователя будет невозможен и будет выкидывать обратно на окно логона) Стоит добавить, что все зараженные as.exe пользователи, которые мне попадались (9 человек), были рьяными сторонниками браузера Mozzilla Firefox (последней версии, кстати). 🙂 Делайте выводы.
При попытке залезть в веб-морду и что-то там настроить вручную оно категорически не давало, показывая то «Автоматическая настройка» при подключенном кабеле, то «Подключите кабель к WAN-порту» при отключенном. Решил засунуть туда обычный кабель от второго ноута, чтобы он учуял линк, но настраиваться там как бы было не на что, и о чудо! Появилась кнопка «Настроить вручную». Эти роутеры интересны тем, что оно периодически стучит про себя в телеком и любой сотрудник может поковыряться в нем удаленно. Штука эта называется протокол CWMP и описывается в TR-069. Так вот, оказывается в нем допом идет крутейший бэкдор: в веб-интерфейсе по логину superadmin и паролю Fn@ztE118zTE оно позволяет без палева настроить все, что требуется.
Network => WAN => WAN Connection => Connetction name => выбираем из списка существующие соединения и сносим. Выбрав пункт Create WAN Connection — создаем свои от провайдера.
Для отображения значков приходится либо тыкаться в настройку «Персонализация» -> «Панель задач» -> «Переполнение угла панели задач» (о, боже! кто это придумал?!!) и тыкать принудительно КАЖДЫЙ тубмлер на Вкл. около нужной программы (а если она еще не установлена? Ну да, ну да, пошел я на @#$)…
На всякий случай, если у вас нет под рукой дистрибутива винды, выкладываю оригинальные из дистра Windows XP SP3 в зипах: WINLOGON USERINIT TASKMGR
Загружаемся с LiveCD с WinPE (например, ERDCommander)
При загрузке подключаем реестр найденной Windows XP системы
Запускаем из меню утилиту autoruns и смотрим где блокер прописался в пользователях System и своем собственном
У блокера as.exe может быть несколько тел, поэтому внимательно изучаем содержимое /Windows/Temp, /Documents and Settings/*/ApplicationData, и прочие директории на предмет наличия файлов (можно искать по размеру в том же Total Commander). Удаляем все эти файлы, заодно чистим темпы, дллкэш
Запускаем утилиту regedit: ищем по названию файла ветки, где он может быть. Как правило это замена Shell, в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon, добавление своего тела as.exe в отладчики к исполняемому системному фалу userinit.exe в разделе HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Image File Execution/userinit.exe (если не удалить этот раздел, то вход в систему пользователя будет невозможен и будет выкидывать обратно на окно логона)
Стоит добавить, что все зараженные as.exe пользователи, которые мне попадались (9 человек), были рьяными сторонниками браузера Mozzilla Firefox (последней версии, кстати). 🙂 Делайте выводы.