Позвал меня хороший знакомый, который пытается овладевать компьютером и Интернетом с пользой для себя. Говорит, смотрел футбол по Интернету, да открылось рекламное окошко с порнухой, да предложило ему что-то скачать и установить (якобы обновлённый Flash Player), и после того, как он на это согласился, его компьютер захворал. Броузер был Opera, и Windows был XP SP3. Антивирус был Avira, даже с обновлениями, но он от этого не уберёг. Самый первый симптом - очень скоро после загрузки системы аварийно завершается процесс LSASS, и через минуту вся система перезагружается. Т.е. более-менее долгий антивирусный скан запустить нельзя.
В таких случаях я обычно загружаюсь с "живого CD". Люблю сборку , хотя включённые в её состав антивирусы не слишком полезны, а доустановить другие антивирусы там почти невозможно - недоступна для записи папка \windows\ на CD.
Загрузился с Alkida, поискал исполняемые файлы (*.exe;*.dll;*.sys;*.ocx), созданные или изменённые за прошедший день. Нашёл подозрительную DLLку в пользовательском профиле (\Documents and Settings\...\) и удалил её. Перезагрузился в нормальном режиме - и вот результат, LSASS больше не падает. Но остался другой симптом - на рабочем столе висит окошко, требующее отправить платную SMS на короткий номер и ввести полученный в ответ код для разблокировки системы. К счастью, запускать любые другие программы не запрещено.
Запускаю Autoruns - вижу подозрительный файл с раширением .tmp, внесённый в список UserInit. Запускаю regedit, нахожу имя этого файла в реестре, удаляю - оно снова появляется там через некоторое время. Запускаю Process Explorer, нахожу два процесса с таким именем и завершаю их. Заодно ищу дескрипторы, ссылающиеся на это имя файла, и принудительно закрываю те, что нашлись. Всё, теперь можно удалить файл с диска и ссылку на него из реестра.
Перезапускаю систему - приятно, вымогательское окошко исчезло. На всякий случай устанавливаю программу , обновляю её базу и делаю быстрое сканирование. Она находит ещё один вредоносный файл в \windows\system32 и пару ссылок в реестре, характерных для злонамеренных программ, и удаляет их.
Ещё один перезапуск - и систему можно возвращать владельцу.
Проверили с ним потом, как отличается поведение телефутбольного сайта под Operой и под Firefoxом. Firefox блокирует то всплывающее окно, с которого всё началось. Вот с Firefoxа и надо было бы начинать ...