Windows XP Service Pack 3. Антивирус говорит "c:\windows\system32\userinit.exe модифицированный Win32/Kryptik.IBN". Вспомнил утилиту autoruns Марка Руссиновича, которая показывает все автостартующее в Windows. К слову Марк один из архитекторов ядра Windows. А его утилита используются Microsoft и в частности ее службой поддержки для выявления причин неисправностей в операционной системе.
Утилита autoruns показала в поле Description странное значение Notepad. А в поле Publisher, показывающем цифровую подпись издателя программы, было пусто. Хотя подлинный userinit в этом поле должен иметь значения "Корпорация Майкрософт" или "Microsoft corporation". Стало ясно, что это поддельный userinit.exe. Его размер был 14 кб. Это не было ошибкой антивируса, дефектом его сигнатур и т.д.
Естественный путь - проверить антивирусом, загрузившись с какого либо антивирусного компакт-диска или Live-флешки. Kaspersky и Dr.Web имеют на своих сайтах эти инструменты. Но это займет много часов. И его еще где-то надо найти. А был конец рабочего дня. Какие-то 20 минут оставались до момента, когда можно было махнуть домой. Поэтому решил вылечить вирус быстрее. То есть вручную. Решил восстановить настоящий, подлинный userinit.exe. Я имел с собой подлинный лицензионный диск Windows XP Service Pack 3. И в консоли восстановления восстановить оригинальный файл.
Тот кто знает как запустить консоль может пропустить следующий абзац.
- Вставляю CD-диск с лицензионной Windows.
- Загружаюсь с него
- Первый текстовый экран, где установщик спрашивает "Установить", "Зайти в консоль восстановления" или "Выйти". Нажимаю "r", чтобы войти в консоль восстановления.
- Нажимаю "1" в ответ на вопрос к какой копии операционной системы я хочу подключиться
- Консоль просит ввести пароль администратора. Наш не скажу. На большинстве компьютеров он пустой и тут просто нажать Enter.
Я в консоли. Далее считаем, что C: - это логический диск с установленной Windows, а D: - это мой компакт-диск с лицензионным установщиком операционной системы. Далее по пунктам как восстанавливал userinit.exe
- Захожу на CD-диск "d:"
- Перехожу в папку где лежат упакованные файлы "cd \i386".
- Набрал команду "expand c:\windows\system32 userinit.ex_". Именно так с подчеркиванием вместо последней "e". Ведь на компакт-диске этот файл лежит упакованным.
- Отвечаю "y" на вопрос о перезаписи файла.
- Для перезагрузки компьютера из консоли восстановления набрал команду exit.
Размер подлинного файла userinit.exe оказался 26624 байта. Т.е. почти в два раза больше чем у фальшивого. И оставил на несколько часов включенным.
Прийдя, обнаружил что сообщения о вирусе исчезли.
Комментариев нет:
Отправить комментарий