| English version | Распечатать |
***
Сказ о том, как Галя попала на панель… Проводника Windows
…Намедни попросили меня решить очередную загадочную проблему Windows XP SP3.
Пользователи "подцепили" на свою флешку какой-то вирус.
При подключении флешки к ноутбуку антивирус расправился с вирусом, – но зловред успел-таки сделать своё "чёрное" дело: в Проводнике Windows на панели меню появилась красная надпись "ГАЛЯ" и красный смайлик, а на панели инструментов – красное оконтуренное (окантованное) стилизованное изображение сердечка.
Подобные вирусы относятся к программам-шуткам: вреда от них нет, но они изрядно раздражают пользователя, так как штатными средствами Windows ни удалить, ни отключить их нельзя!..
Тщательная антивирусная проверка не выявила вирусов.
Основные элементы графического интерфейса пользователя (кнопки, надписи, фоновые изображения, элементы меню и т.д.) хранятся в файле Проводника Windows (explorer.exe) и в Общей библиотеке оболочки Windows (shell32.dll).
Однако проверка этих файлов с помощью редактора ресурсов не выявила ни "Гали", ни её атрибутов.
И тут я вспомнил об одном малоизвестном параметре Реестра Windows, позволяющем установить свой фон для панели инструментов и панели меню Проводника Windows.
После запуска Редактора реестра Windows в разделе [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] был обнаружен строковый (REG_SZ) параметр BackBitmapShell, значением которого был путь к файлу "Гали" – C:\Program Files\usb_anti_autorun\Thumds.db:
В вышеуказанном каталоге был обнаружен файл Thumds.db (308 118 байт), имеющий атрибуты Скрытый, Системный, Только чтение.
Как известно, Thumds.db – это файл базы данных изображений (кэш эскизов изображений, содержащихся в папке).
Но в данном случае в недрах этого файла скрывался (путём простого переименования, точнее, смены расширения файла) обычный .bmp-файл – картинка "Гали" – на бледно-сером фоне – размером 1024x100 пикселей:
…А нагадил в системе наш старый знакомец – так называемый «антивирусный» скрипт usb.wsf, – об этом недвусмысленно свидетельствует название каталога с ложным файлом Thumds.db – usb_anti_autorun.
Удаление строкового (REG_SZ) параметра BackBitmapShell и каталога \Program Files\usb_anti_autorun\ вернуло Проводнику Windows девственную чистоту.
Дело о таинственном проникновении "Гали" на панель Проводника Windows закрыто!..
Валерий Сидоров
***
• Дело о…
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…