Тиша. Комп'ютер не працює. Господарі періодично кидають на нього сумний погляд і зітхають. Хлопчик Миша, десяти років, повідомляє про те, що треба заплатити гроші якомусь абоненту МТС, щоб він включив їм комп'ютер. Сумно. А я все-таки спробую зробити це безкоштовно. Натискаю кнопку живлення з думкою, що і сам би не відмовився від смачної вечері, але, напевно, знову все зроблю швидко, так що навряд чи встигнуть нагодувати.
Буде потрібно завантажувальний диск. Вірус в нульовому секторі жорсткого диска отримує управління після того, як BIOS (Basic Input / Output System, ну я прям сьогодні як вікіпедія!) Перевіряє встановлений порядок завантаження з виявлених пристроїв. Значить, завантаження з CD вірусом відключена бути не може, якщо тільки він не прописався в саму BIOS, що велика рідкість останнім часом. Дістаю диск з ERD Commander, завантажувати з нього і відразу тисну кнопку, що виправляє помилки в MBR. Диск більше не потрібен. Windows запускається, абонент МТС грошей не просить.
У скрипт для AVZ вписав всіх порушників, виконав. Вірус в MBR виявився звичайним жадібним здирником, драйвер з мінливою зовнішністю і прізвищем шляхом перехоплення системних функцій операційної системи намагався обдурити користувача, невміло маскуючи імена своїх процесів під svchost.exe. І браузери тепер завантажуються нормально навіть без допомоги адміністратора. Перемога напередодні Дня Перемоги, а святковою вечерею так і не нагодували.
Тиша. Комп'ютер не працює. Господарі періодично кидають на нього сумний погляд і зітхають. Хлопчик Миша, десяти років, повідомляє про те, що треба заплатити гроші якомусь абоненту МТС, щоб він включив їм комп'ютер. Сумно. А я все-таки спробую зробити це безкоштовно. Натискаю кнопку живлення з думкою, що і сам би не відмовився від смачної вечері, але, напевно, знову все зроблю швидко, так що навряд чи встигнуть нагодувати.
Буде потрібно завантажувальний диск. Вірус в нульовому секторі жорсткого диска отримує управління після того, як BIOS (Basic Input / Output System. Ну я прям сьогодні як вікіпедія!) Перевіряє встановлений порядок завантаження з виявлених пристроїв. Значить, завантаження з CD вірусом відключена бути не може, якщо тільки він не прописався в саму BIOS, що велика рідкість останнім часом. Дістаю диск з ERD Commander, завантажувати з нього і відразу тисну кнопку, що виправляє помилки в MBR. Диск більше не потрібен. Windows запускається, абонент МТС грошей не просить.
Щоб прискорити процес вигнання бісів подумав, що можна запитати містера Гуглінга, якими деструктивними діями вже засвітилися віруси з MBR. дізнатися таким чином явки, паролі, ключі реєстру. Запускаю Chrome і не можу відкрити жодну сторінку. Доступ до інтернету є, файл c: \ windows \ system32 \ drivers \ etc \ hosts - чистий, google.com з консолі пінгуєтся успішно. Internet Explorer і Opera падають на зльоті з невідомої помилкою. FireFox не встановлено. Що ж, може бути хитрий вірус знайшов виконувані файли браузерів і підмінив їх чимось, або просто якусь бібліотеку кинув до них в папочку. Встановлюю FireFox з флешки, повинен бути аки наречена в першу шлюбну ніч. Але і чистий вогнелис косить та сама біда. Треба дивитися на процес завантаження, дарма чи спеціальну програму для цього написав! Запускаю свій Process Launch Watcher від імені Адміністратора, знаходжу бінарник opera.exe, відкриваю. Браузер запустився. У балці нічого лівого немає, все бібліотеки потрібні, ніхто не прилаштувався. Пробую ще раз завантажити Оперу самостійно - той же падіж. А якщо від імені Адміністратора? А ось так - виходить. Вже цікаво! Але сенс не ясний.
У скрипт для AVZ вписав всіх порушників, виконав. Вірус в MBR виявився звичайним жадібним здирником, драйвер з мінливою зовнішністю і прізвищем шляхом перехоплення системних функцій операційної системи намагався обдурити користувача, невміло маскуючи імена своїх процесів під svchost.exe. І браузери тепер завантажуються нормально навіть без допомоги адміністратора. Перемога напередодні Дня Перемоги, а святковою вечерею так і не нагодували.