Не далее как вчера мой опыт по борьбе с так называемыми «порно-баннерами» увеличился на еще один интересный экземпляр. Лицезреть данный экземпляр, можно было уже на окончательном этапе загрузки компьютера после выборы пользователя. Причем не было большой разницы, как загрузить компьютер, в обычном режиме или безопасном. В любом случае, выходило окно «попрошайко»:
Как обычно в этих случаях делается, загрузка с LiveCD и проверка в AVZ, Dr.Web CureIt!. К сожалению данное действие не дало положительных результатов. Ну как и полагается в этом случае, пришлось используя ERD Commader 2005 копать реестр.
Проверив стандартные места автоматической загрузки системных и прикладных программ, пришлось копать в сторону инициализации оболочки. Вот тут и обнаружилась бяка которая, при быстром взгляде не привлекла к себе внимание и только после тщательного анализа дала результат, в момент инициализации текущего юзера, выполняется параллельный запуск оболочки-попрошайки, выглядит это вот так:
Параметр:
Userinit
Значение:
C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\usrinit.exe
Зловред называется как видно «usrinit.exe» и находиться там же где вызывается инициализация текущего пользователя. Модификация трояна по спискам DrWeb значиться как Trojan.Inject.15264
Нормальное, рабочее значение данного параметра «Userinit» должно выглядеть так «C:\WINDOWS\system32\userinit.exe,» именно с запятой в конце. Хочеться заметить что данный баннер был в ОС Winndows XP поэтому его работоспособность и метод визуализации перед пользователям может отличаться в других операционных системах.
Мною был проведен повторный эксперимент запуска этого файла, он автоматически сам проверяет и прописывает значение реестра. Первичная инициализация данного файла происходит посредством Java приложения, поэтому после корректировки реестра, обязательно проверить весь компьютер антивирусом.
Ветка реестра в которой лежит данный параметр:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Успешных решений компьютерных проблем!
UPD: На компьютере пользователя стоял нод, так что думайте сами