заметки на полях

Блокнот разработчика

Вирус требующий SMS

Февраль 28th, 2010 оставить комментарий

Принес мне товарищ ноутбук с вирусом, который при загрузке блокирует все действия и требует отправить SMS для разблокировки. Ну вещь вроде бы довольно распространенная в последнее время, а переустанавливать все заново было жалко времени – решил полечить.
Вылечилось все на ура с Dr. Web Live CD
Дальше оказалось все не так просто, установленный Avast отказывался запускаться под таким предлогом «невозможно открыть данную программу из-за политики ограничения применения программного обеспечения». Немного погуглив открыл для себя что в XP Home есть политики безопасности. Нашел даже на Microsoft ответ на мой вопрос

Пользователи получают сообщение «Windows не может открыть эту программу, так как это запрещено политикой ограничений программ. За дополнительной информацией обратитесь системному администратору или откройте «Просмотр событий».» Или в окне командной строки появляется сообщение «Не удается выполнить указанную программу.»
Причина. В установленном по умолчанию уровене безопасности (или правиле) для программы выбрано значение Не разрешено, и в результате программа не запускается.

Решение. Найдите в журнале событий более подробное описание сообщения. Сообщения журнала событий указывают, для какого программного обеспечения установлен параметр Не разрешено и какое именно правило применяется к программе.

Но не ответ на самый главный вопрос «че делать-то?!»
Вариант копания в политиках отпал быстро, т. к. gpedit.msc или отсутствовал изначально или был заботливо удален вирусом. Нашел более элегантный вариант, удалить целиком ветку реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer
Ну вот и все, борьба окончена ) набираю в консоли regedit и получаю ху…

Конец? Перестановка?
Нашел что редактирование реестра можно разрешить через групповые политики (подробнее тут), но вариант не подходит потому как редактор потерт – замкнутый круг какой – то :)
Так вот политики все равно хранятся как я понял в реестре и можно из консоли удалить запрет на редактирование реестра (честно говоря сначала сомневался что получится – в редактор зайти нельзя, а из консоли пожалуйста) (подробнее тут):

REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f

Regedit заработал и удалив указанную выше ветку реестра стал запускаться антивирус.

Tags:

«
»

Leave a Reply