• Некоторые компульсии по поводу околокомпьютерных обсессий.

    Tuesday, June 21, 2011

    Personal shield pro

    Появилась вот такая гадость: Personal shield pro
    Я не знаю, откуда она взялась на компе, хозяйка неделю была на больничном. Но факт остается фактом: Эта хрень не дает запускать практически все программы, разве что IE, Task manager, Total commander, FAR, regedit, msconfig, gpedit.msc рубит на лету с сообщением, что Personal shield pro запретил выполнение этой программы из-за возможной угрозы для системы. Постоянно включает свой "модуль сканирования", "находит" кучу зараженных файлов и предлагает для удаления ввести лицензионный код, который можно получить через смс-ку.
    В безопасном режиме то же самое. Антивирус Аваст, который был установлен на компьютере исчез как класс, даже папочки "c:\Program Files\Alwil Software\" не осталось. Я так думаю, кто-то из "продвинутых" сотрудников посидел за компом во время болезни хозяйки компьютера. И установил более "продвинутый антивирус". Но кто ж признается-то?
    Методы лечения, описанные на форумах не сработали. Хотя бы потому, что в безопасном режиме тоже ничего запустить не представляется возможным.
    Лечил так:
    Загрузка с Live-CD.
    можете просканировать диск антивирусом с Live-CD, можете не сканировать - все равно не найдет, разве что там базы очень новые.
    Включаем отображение скрытых и системных файлов.
    Сразу пошел в локацию %ALLUSERPROFILE%\Application Data, в моем случае это было "c:\Documents and settings\All users\Application Data"
    В этой папке имеет право на существование один файлик: "destop.ini" и папки разных приложений.
    Там же лежал файлик непонятного назначения с именем файла вида "8x1bdt2a.bson" размером чуть больше 800 кб. Запомним имя файла в клипборд и запускаем редактор реестра с LiveCD. Не забываем, что нам надо редактировать реестр не текущей загруженной системы, а с жесткого диска. Ищем в реестре имя файла. Нашел в одном месте, ключ удалил. Заодно прошерстил реестр на предмет лишнего в RUN.
    Перегрузил - вроде б все нормально. Но! Я имел неосторожность сканировать с LiveCD диск антивирусом AVG и он посносил ассоциации к файлам с расширением ".exe", ".pif". Естественно, ни одна программа не запускается. regedit даже не запустить, чтобы все исправить :)
    Спас сайт Касперского, а именно, утилита cleanautorun с тремя возможными расширениями: .exe, .com, .pif. С расширением .com запустилась, сразу бегом поставил антивирус и компьютер вновь стал трудоспособным.

    ЗЫ!
    Бейте юзеров по рукам линейкой.
    Post a Comment