Очередной баннер

Не далее как вчера мой опыт по борьбе с так называемыми «порно-баннерами» увеличился на еще один интересный экземпляр. Лицезреть данный экземпляр, можно было уже на окончательном этапе загрузки компьютера после выборы пользователя. Причем не было большой разницы, как загрузить компьютер, в обычном режиме или безопасном. В любом случае, выходило окно «попрошайко»:

Как обычно в этих случаях делается, загрузка с LiveCD и проверка в AVZ, Dr.Web CureIt!. К сожалению данное действие не дало положительных результатов. Ну как и полагается в этом случае, пришлось используя ERD Commader 2005 копать реестр.
Проверив стандартные места автоматической загрузки системных и прикладных программ, пришлось копать в сторону инициализации оболочки. Вот тут и обнаружилась бяка которая, при быстром взгляде не привлекла к себе внимание и только после тщательного анализа дала результат, в момент инициализации текущего юзера, выполняется параллельный запуск оболочки-попрошайки, выглядит это вот так:

Параметр:
Userinit
Значение:
C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\usrinit.exe

Зловред называется как видно «usrinit.exe» и находиться там же где вызывается инициализация текущего пользователя. Модификация трояна по спискам DrWeb значиться как Trojan.Inject.15264

Нормальное, рабочее значение данного параметра «Userinit» должно выглядеть так «C:\WINDOWS\system32\userinit.exe,» именно с запятой в конце. Хочеться заметить что данный баннер был в ОС Winndows XP поэтому его работоспособность и метод визуализации перед пользователям может отличаться в других операционных системах.

Мною был проведен повторный эксперимент запуска этого файла, он автоматически сам проверяет и прописывает значение реестра. Первичная инициализация данного файла происходит посредством Java приложения, поэтому после корректировки реестра, обязательно проверить весь компьютер антивирусом.

Ветка реестра в которой лежит данный параметр:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Успешных решений компьютерных проблем!

UPD: На компьютере пользователя стоял нод, так что думайте сами

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *