bash.im
ithappens.me
zadolba.liТружусь веб-программистом в небольшой фирме. Сисадмин свой есть, но когда он занят, в пользовательских делах его замещаю по мере знаний я.
Вызывает меня Самый Главный Начальник и вручает свой двухдневный ноутбук Sony с Windows 8 на борту. Говорит, интернет не работает. Действительно, странички не открываются.
Начинаю разбираться. В hosts чистенько, да и пинг до сайтов идёт, значит, с DNS всё в норме. Но ни один браузер ничего путного мне не показывает. Телнетнуться на 80-й порт не получается.
Ни для кого не секрет, что ноутбуки продаются с большим количеством предустановленного ПО, качество которого иной раз иначе как мусорным не назовёшь. Вот и здесь, помимо разных приложений от Sony, очень громко о себе заявлял антивирус с белой буквой «М» на красном щите. Может, он чудит? Отключаем антивирус и файрвол… и ничего не меняется. Отключаем встроенный файрвол. Без изменений.
В отчаянии качаю ComboFix, ставлю на проверку. Проверка встаёт в самом начале. 20 минут преданного заглядывания в монитор ничего не дают. Озарение снисходит, как всегда, внезапно: запускаться надо из-под администратора! Ну, сам дурак. А винда — молодец. Троян счастливо находится, успешно удаляется. Откуда за два дня взялся с «крутецким» антивирусом? Но снова ничего не меняется.
Наконец вспоминаю о журналах ошибок. С них-то и надо было начинать! Открываю журнал и вижу, что постоянно падает служба по имени ${BrandName}. Именно так, без цензуры. Тут звенит какой-то колокольчик, что если служба так написана, что даже имя показать не может, то действительно лажа.
Открываю список служб, готовясь искать эту заразу вручную. Думаю, некая сетевая служба рушится, вот и… Обалдеваю: в списке первой строкой висит ${BrandName}, а в описании говорится, что сей антивирус зело крут, и далее по тексту… Ясно. Здорово. Слов нет.
Антивирус, удаляясь, говорил о том, что его модуль родительского контроля написан специально для Sony.
Перезагрузка. Открывающиеся сайты.
Мораль каждый найдёт свою.