Позвонила двоюродная племянница и сообщила о том, что на ее компьютере вылазит баннер с просьбой отправить 500 руб. на номер МТС. Сначала я подумал, что она имела ввиду "практически" безобидный троян смс-баннер, который прописывается вместо explorer в ветке реестра KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon.
CurrentVersion\Winlogon.
Оказалось, что совершенно другой троян, который стартует вместо загрузки Windows. Выглядит примитивным образом в текстовом режиме: красные буквы на черном фоне.
Как видно из скриншота, троян просит заплатить N-ую сумму денег на номер МТС. Вроде бы немного, но платить не стоит - все равно не разблокируется). Данный тип троянов правит MBR, подменяя загрузчик Windows XP на свой, который лишь выводит текст на экран. Благо он не портитит системные файлы и файлы пользователя. Итак, я взял установочный диск Windows XP, но он оказался без консоли восстановления, т.к. сборочка умельцев с автоматической установкой. Выбрав системный диск и начав установку, я тем самым затер баннер загрузчиком Windows XP. Не дождавшись завершения установки, отрубил комп и далее уже загрузился с системного диска. Вуаля: баннера нет! Правда была еще одна небольшая проблемка: когда началась установка Windows XP на процедуре копирования драйверов устройств, выскочила ошибка: "Не удалось загрузить Ntkrnlmp.exe Код ошибки 32xxx". Точно код не помню. Погуглив выяснилось, что ошибка возникает в двух случаях: неисправен(ы) модуль(и) памяти или неправильные настройки BIOS. Протестировав память (через memtest) и дальше погуглив узнал, что такая ошибка бывает если включен параметр AHCI в BIOS'е, но он был выключен. Выполнив действие наоборот и включив этот параметр, снова попробовал установку. И установка пошла. Уже после того как произошло исцеление от баннера, я загрузился через Alkid LiveCD и просканировал антивирусниками. В итоге нашлись еще два трояна.
Комментариев нет:
Отправить комментарий