Держим компьютер в чистоте или чистим ПК от троянов вручную

Оглавление

• Вступление
• Вы заражены?
• Почему мой антивирус меня подвел?
• История заражения: начало
• Baby steps
• Как вернуть поиск
• Что же взамен?
• Не доверяй и несколько раз проверяй
• Заключение

Вступление

В предыдущих статьях цикла по очистке компьютера мы говорили о двух вещах: как чистить ПК от пыли внутри, и как не допустить заражения при установке и настройке программ.

Но бывают и такие случаи, когда какая-либо гадость уже пролезла. Поэтому по заявкам из зала мы решили об этом рассказать. Итак, как быть, если вы не доглядели, и что-то вредное все же попало на ваш компьютер? И почему?

Вы заражены?

… До сих пор популярно мнение из разряда «если не ставить антивирусов, то и вирусов не будет». То, что это, мягко говоря, далеко от истины, говорить излишне – конечно, если речь идет о Windows-компьютере, а Windows установлена на абсолютном большинстве ПК и ноутбуков. Разумеется, поставив Linux, вы автоматом избавите себя от десятков тысяч троянов, но по удобству этой ОС пока что далеко до Windows даже при всех ее неоспоримых преимуществах.

Да, вирусы будут, но и не только они: различные трояны, вредоносные коды, фишинговые сайты и adware-программы… И конца-края этому не видно, наоборот – с каждым годом количество желающих навредить возрастает в геометрической прогрессии. Вспомните, что было хотя бы десять лет назад: такого обилия гадости не было.

Наличие «дорогого и супер-пупер-крутого» антивирусного пакета – или пакета Internet Security – ни разу вас не предохраняет на 146% от всего. Adware (рекламные заразы) и malware (трояны и прочее) уже научились проникать на компьютер в обход всех защит, и каким бы вы ни были крутым сисадмином, не зазнавайтесь: на памяти автора с треском прокалывались даже самые матерые пользователи. А все почему?

Потому что никакая защита не спасет от «прокладки между клавиатурой и креслом»: от обычного пользователя.

Почему мой антивирус меня подвел?

Написать эту статью меня побудил мой личный опыт. Долгие годы я являлся пользователем продуктов ESET (в частности NOD32 Smart Security) и был ими вполне удовлетворен (когда-то честно пытался пользоваться Касперским, однако «не пошло» – и все даже знают, почему), но за последние недели довелось столкнуться с тем, что комплексная защита ESET стала хуже некуда.

За неделю на моем компьютере поселилось три трояна, причем нагло, и их было довольно трудно выкорчевывать. И если один из них на свою машину допустил я сам (поскольку «и на старуху бывает проруха»), то два других беспрепятственно проникли в систему, поскольку ESET их попросту прозевал. Не увидел. Не заметил.

Причем я не отношу себя к чайникам: за клавиатуру первого компьютера сел 26 лет назад, и, не являясь профессиональным сисадмином, могу назвать себя профессиональным пользователем. Но и я погорел со своим опытом. Что лишний раз доказывает: нельзя быть самоуверенным.

В общем, после третьего раза я решил, что с меня хватит, и полез искать разнообразные рейтинги и отзывы по другим антивирусным продуктам. В результате оформилось несколько выводов, которые показали, насколько же я отстал от прогресса с Eset:

1. Бесплатные (даже те, у которых есть платные версии того же производителя) антивирусы и файрволлы работают сегодня ничуть не хуже платных (как минимум!). И в случае ложных срабатываний не будет ощущения, что потратил деньги даром. К тому же, при полной удовлетворенности продуктом можно перевести авторам денежку в качестве благодарности по собственной воле.


2. «Комбайны» (так называемые пакеты «Internet Security») работают хуже, чем антивирус и файрволл по отдельности. При этом необязательно, чтобы они были разных производителей, это желательно, но не обязательно. Вы сами решаете, кто у вас где будет сидеть и что делать.


3. Google Chrome – дырявый, как решето. Вредоносные плагины могут жить в магазине месяцами, да и даже «хороший» плагин может стать вредоносом через какое-то время. Это бывает – и не так редко, как вы думаете. И не надо считать, что опыт вас спасет: вредоносы постоянно модифицируются, и вы не сможете за ними успеть. Ну никак.

История заражения: начало

Стоял яркий солнечный зимний денек, когда я наконец-то занялся поиском решения по удалению неудаляемых файлов. Есть такие – и это на самом деле очень небольшая проблема, поскольку они просто занимают место и мозолят глаза, не более. Но будучи перфекционистом, мне приспичило найти то приложение, которое это удалит и (желательно) будет бесплатным. Хотя и «триалка» тоже подойдет, если она умеет удалять.

Англоязычный запрос поисковику выдал программу Unlocker в первых десяти результатах, которую я в итоге скачал с сайта ее автора. ESET при этом молчал.

Неприятности обнаружились уже в процессе установки. Вдруг откуда ни возьмись выскочили окна Агента Mail.ru и Mail.ru Guard, которые сами собой установились и запустились. И нет – в процессе установки не было ничего, что хоть как-то указывало на их присутствие, поскольку рекомендацию, приведенную в одной из предыдущих статей цикла, «всегда запускать установку в расширенном режиме» я соблюдаю с детства.

Кроме того, они хотели прописаться и в автозапуске, но поскольку у меня стоит программа, сразу же оповещающая о попытках залезть в startup, эта атака была отбита.

Установку я прервал, но было поздно. Как минимум – гадость Mail.ru все же пробралась. Позже обнаружилось, что в браузере также поселился троян HTML/ScrInject.B (желающие могут найти в поисковике описание этого вредоноса).

А еще чуть позже обнаружилось, что данный троян в содружестве с Mail.ru намертво заблокировал мне стартовую страницу в Chrome и страницы поиска. Намертво – это значит, что их изменить нельзя.

Да, и такое возможно. Вам пишется, что это сделали вы: Setting is enforced by administrator, но вы твердо знаете, что это был неизвестно кто. Чуть ниже я расскажу, как можно все вернуть назад.

HTML/ScrInject.B – зараза очень мутная во всех смыслах. Она обнаружилась тогда, когда в ответ на попытку зайти на многие сайты еще работающий ESET громко вопил о том, что не может, дескать, войти на этот сайт, потому что он заражен HTML/ScrInject.B.

А, к примеру, если сделать поиск по этому названию, выяснится, что это может быть и ложное срабатывание именно Smart Security. Еще один камень в огород Smart Security. Но это оказалось тоже только начало.

Обнаружилось, что данный троян обладает неприятным и очень хитрым свойством: он, или что-то соседствующее с ним, начало DDOSить сайт, где у меня были расширенные права для изменения файлов. К счастью, эта проблема решилась за секунды – защита сайта быстренько меня забанила на несколько часов (и правильно сделала).

В общем, Mail.ru набедокурил очень прилично. Как же удалось со всем этим справиться?

Baby steps

После того, как вы отбили все атаки и Windows замолчала, настало время подумать, как от всего этого избавляться.

1. Перво-наперво воспользуйтесь стандартными возможностями Windows и снесите к чертям все подозрительные программы. Лучше всего отсортировать их по дате установки: так вы увидите, что было установлено сегодня.
2. Кстати, этот самый Guard Mail.ru на самом деле не делает абсолютно ничего полезного. Как написали в одной статье очень метко – «Mail.ru просто создает собственную сеть ботнетов по всему миру». По сути, это легализованный «мэйлрушный» троян, который сам инициирует нежелательные изменения (вроде прописывания себя в автозагрузке, жесткой блокировке домашней страницы и системы поиска, и тому подобные мелкие пакости).
   
   Mail.ru уверяет нас, что это все делается для нашей защиты, но как-то не верится. Кстати, аналогичный продукт есть и у РБК QIP: и тоже по странному совпадению называется Guard, нигде себя не указывает при установке и делает примерно то же самое.


3. В идеале нужно пользоваться специальными «клинерами» вроде Total Uninstall: утилитой, которая удаляет не только сами программы, но и мусор, остающийся после них в реестре и на жестком диске.
4. Далее удаляем вручную то, что осталось от этих зловредов; если у вас не было ничего от Mail.ru, то смело сносите все папки в Program Files, Users и ProgramData (а вдруг что еще в каталоге Windows обнаружится), в названии которых есть «Mail.ru». «Спутник Mail.ru», кстати, тот еще вредонос.


5. Если у вас оказался намертво забит поиск Mail.ru, Яндекса или других злоумышленников в браузере, то о том, как его разблокировать, смотрите чуть ниже в разделе «Как вернуть поиск».


6. После чего сносим все лишние ключи реестра. Их будет много, причем многие из них – adware совершенно сторонних сайтов, и поэтому есть смысл применить специальную программу вроде SpyHunter. К сожалению, она платная, причем пользователь узнает об этом только к моменту удаления – но вы можете снести все вредоносные ключи руками, поскольку к их списку SpyHunter дает неограниченный доступ.
   
   В моем случае обнаружилось 114 Adware- и Malware-ключей, большинство из которых относились к Mail.ru, а остальные – к неведомым сторонним сайтам, которых ранее не было. Вполне возможно, я подхватил их ранее – и это опять-таки камень в огород ESET.
7. Сканеров много не бывает, поэтому логичнее скачать еще один – например, AdwCleaner – и пройтись по всей памяти и ключам реестра еще раз.
8. Если у вас уже стоял собственный антивирус, который все это прозевал, то пройдитесь им самим еще раз по всем областям памяти и реестра. Как уже говорилось, сканеров много не бывает.


9. Наконец, применяем тяжелое оружие: Dr.Web Cure-It, портативный сканер на вирусы без установки, который быстро проверяет память и запущенные программы. Cure-It обнаружил неведомые изменения в файле hosts (он единственный их обнаружил!) и удалил их. Правда, в то же время он закрыл к нему доступ, включая даже чтение, но решение этой проблемы выходит уже за рамки данной статьи, хотя, возможно, в будущем мы к ней вернемся. К слову, после работы Cure-It сайты наконец-то стали открываться нормально. Поэтому снова: сканеров много не бывает.

Как вернуть поиск

Это решение работает для всех вариантов: Mail.ru или других вредителей. Для того чтобы разблокировать возможность изменения домашней страницы, нужно последовательно сделать следующее:

1. Запустить консоль cmd от имени администратора. Быстрее всего это сделать нажатием Win+X, после чего выбрать в меню Command Prompt (Admin).


2. Последовательно скопировать и вставить три строки, нажимая Enter после каждой
   
   RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
   RD /S /Q "%WinDir%\System32\GroupPolicy"
   gpupdate /force


3. После этого перезагрузитесь, и вы сможете установить ту поисковую систему, которая вам нужна в любом браузере.

Кстати, после этого трояна через несколько дней был замечен другой – HTML/Refresh.BC.Trojan. Каким образом он попал на мой компьютер, я не понимаю пока еще, но смысл в том, что ESET Smart Security проморгал и его. Скорее всего, это «наследие» вредного Unlocker и Mail.ru.

Что же взамен?

Очевидно, что, когда уважаемый платный антивирус/файрволл настолько сильно подпортит свою репутацию, захочется чего-то иного. Что же выбрать? Очевидно, без антивируса/файрвола троянов будет еще больше.

От использования штатного Microsoft Security Essentials, который все получают в нагрузку с Windows, я отказался сразу. Его репутация очень плоха даже сегодня, и как рабочее решение его мало кто рассматривает.

Прочитав десяток статей, рейтингов и мнений, я остановился на двух продуктах. Бесплатном антивирусе Avira и файрволле Comodo. Оба они опережали в рейтингах как продукты ESET, так и Касперского, и Dr.Web; оба были полностью бесплатными с платными аналогами (с фишками, которые мне не нужны), и оба заслужили немало похвальных отзывов.

Альтернативы у них были, конечно, и их тоже десяток, но именно об этих двух продуктах хорошо отзывались больше всего. Хотя насчет «Авиры» люди ведут жаркие споры в плане конкуренции с «Авастом», но негативный опыт с этим антивирусом десять лет назад (знаю, что прошло много времени, но «и ложечку нашли, и осадок остался») не давал мне использовать его. Хотя я уверен, что с тех пор он значительно улучшился (в отличие от продуктов ESET).

Не доверяй и несколько раз проверяй

Можно сделать первый вывод: если вы ищете конкретную программу, не доверяйте общеизвестным и перегруженным рекламой файлопомойкам наподобие Download.com, CNet, и особенно всяким DepositFiles или другим мутным облачным свалкам.

Поскольку файлообменники типа MegaUpload уже давно утратили свою популярность, вредный народ предпочитает выводить в топ запросов поисковиков зараженные файлы, располагающиеся на облаках вроде Google Drive (и почему-то именно его любят больше всего). А если и есть автоматические проверки на вирусы, то они ничего не дадут по двум причинам: они не способны обнаружить трояны, инфицирующие сайты, да и владелец может файл запаролить, написав пароль в прилагаемом документе.

А уж всякие шильдики а-ля «Проверено супер-пупер антивирусом», «Троянов нет – я гарантирую это! (c)», ложные отзывы, которые появились от призраков «вот буквально минуту назад» – вот этому доверять не стоит ни разу и никогда. Ведь все это сделано с одной целью – заставить вас скачать этот вкусный файл, который вы ищете, и который внезапно нашелся точно по тому запросу, что вы делали.

Больше доверия – магазину Windows Store, который есть у каждого, потому что им «нагружена» каждая ОС Windows старше «семерки». Однако и у него есть свои недостатки, глюки и непонятные ошибки (например, он может просто не видеть соединение с интернетом), поэтому в поиске нужного приложения данный вариант может и занимает первое место, но не является панацеей. Кроме того, Windows Store стремительно разбухает, и (побуду Вангой) недалек тот час, когда его постигнет судьба Google Play Store: миллион программ приведет к тому, что их просто не будут успевать проверять, и на какие-то часы, дни и даже недели там обоснуются десятки и сотни вредоносов. Так что – ловите фишку, пока можно, но все равно проверяйте.

Второй вывод – не доверять антивирусным системам на сто процентов и проверять все, что только можно. Держать на компьютере несколько сканеров (включая сканер реестра) и периодически шерстить абсолютно все.

Ибо даже хорошая и честная программа – по аналогии с расширением для Google Chrome – может в одной из версий стать malware и adware, а то и чем похуже.

Заключение

Я описал так подробно схему заражения своего компьютера для того, чтобы и вы могли как-то учесть мой негативный опыт. Лично меня подвела излишняя самоуверенность, а также доверие к Google и платной комплексной защите ESET Smart Security.

Впрочем, скачивание непроверенных программ – это только один из путей, по которому зараза может проникнуть на ваш компьютер. Все это «добро» может маскироваться под аудиофайл, PDF- или DOC-документ, да и фактически под любой файл, который вы ищете.

Теперь я пользуюсь бесплатными антивирусом Avira и файрволлом Comodo, а в качестве основного браузера используется Chrome-базированный Chromodo (того же Comodo), к которому подключен анализатор сайтов Avira (в дополнение к «гугловскому» стандартному).

К сожалению, от Chrome мне куда-то деваться сложно, поскольку в нем сосредоточено очень много вещей, как по работе, так и по жизни. Это не значит, что я агитирую за применение Chrome, скорее – за использование сторонних проверенных инструментов для анализа сайтов, на которые вы переходите.

P.S. Кстати, в хорошем файрволле можно запускать программы в «песочнице» от греха подальше. Это некая изолированная среда для запуска, в которой вы управляете каждым «чихом» приложения – и если вредонос содержит гадость в исполняемом пакете инсталлятора или уже установленной программе, все в этой «песочнице» и останется, не затронув систему.

В принципе, это некая виртуальная машина без заморочек таковой. Рекомендуется для любой новой и непроверенной программы. Этот урок тоже был вынесен из данной ситуации, и теперь все хотя бы немного подозрительные программы будут проходить через «песочницу».