(no subject)
Словил сегодня улыбку судьбы.
Всё удивлялся, как у людей получается ловить WinLock'и.
Оказалось достаточно поискать картинок по варезным сайтам.
Стоит заметить что на машине всё это время стоит лицензионный
антивирус Касперского 6, в активном режиме!
Для начала появилось синее окно, с предупреждением о черезмерном
просмотре прона. Курсор дальше окна не выходит, команды
с клавиатуры машина не воспринимает. Нормально, первый же код с
сервиса Dr.Web разлочивает окно.
Запускаю Каспера на сканирование системы. В это время отрубается
Диспетчер задач и начинает устанавливаться что-то под логотипом
Sun.
Проходит 2 минуты и машина сваливается в перезагрузку.
После включения машины все пользователи оказались залочены,
на этот раз WinLock был чёрно-красным и просил отправить смс
на номер 3116.
Попытки зайти в безопасном режиме не увенчались успехом -
система выдаёт bsod.
Загрузился с LiveCD, решил попробывать поковыряться с
реестром.
Встроенная утилита, раз за разом не пускала менять реестр - ссылаясь
на административные ограничения! Но пара пользователей с незалоченными
правами оказалась.
Удалил ветку Winlogon и подозрительно похожую winlogon - ступил и
не посмотрел какой там загрузочный путь был прописан.
После этих действий баннер исчез, но пользователь не заходит - загрузка подвисает
на появлении обой.
Восстановил ветку реестра скопировав её с соседней машины.
Получилось зайти пользователем, но к сожалению функционал машины сильно ограничен.
Нельзя менять реестр, не работает рабочий стол.
Единственное сообщение об ошибке которое появилось - об отсутствии ldr.dll.
Сейчас сканирую систему CureIT от Dr.Web... пока результатов нет.
Как плевок в душу... так не хочется переустанавливать Ось :)