Держим компьютер в чистоте или чистим ПК от троянов вручную

15 апреля 2016, пятница 09:00

Оглавление

Вступление

В предыдущих статьях цикла по очистке компьютера мы говорили о двух вещах: как чистить ПК от пыли внутри, и как не допустить заражения при установке и настройке программ.

Но бывают и такие случаи, когда какая-либо гадость уже пролезла. Поэтому по заявкам из зала мы решили об этом рассказать. Итак, как быть, если вы не доглядели, и что-то вредное все же попало на ваш компьютер? И почему?

Вы заражены?

… До сих пор популярно мнение из разряда «если не ставить антивирусов, то и вирусов не будет». То, что это, мягко говоря, далеко от истины, говорить излишне – конечно, если речь идет о Windows-компьютере, а Windows установлена на абсолютном большинстве ПК и ноутбуков. Разумеется, поставив Linux, вы автоматом избавите себя от десятков тысяч троянов, но по удобству этой ОС пока что далеко до Windows даже при всех ее неоспоримых преимуществах.

Да, вирусы будут, но и не только они: различные трояны, вредоносные коды, фишинговые сайты и adware-программы… И конца-края этому не видно, наоборот – с каждым годом количество желающих навредить возрастает в геометрической прогрессии. Вспомните, что было хотя бы десять лет назад: такого обилия гадости не было.

450x288  29 KB. Big one: 600x384  59 KB

Наличие «дорогого и супер-пупер-крутого» антивирусного пакета – или пакета Internet Security – ни разу вас не предохраняет на 146% от всего. Adware (рекламные заразы) и malware (трояны и прочее) уже научились проникать на компьютер в обход всех защит, и каким бы вы ни были крутым сисадмином, не зазнавайтесь: на памяти автора с треском прокалывались даже самые матерые пользователи. А все почему?

Потому что никакая защита не спасет от «прокладки между клавиатурой и креслом»: от обычного пользователя.





Почему мой антивирус меня подвел?

Написать эту статью меня побудил мой личный опыт. Долгие годы я являлся пользователем продуктов ESET (в частности NOD32 Smart Security) и был ими вполне удовлетворен (когда-то честно пытался пользоваться Касперским, однако «не пошло» – и все даже знают, почему), но за последние недели довелось столкнуться с тем, что комплексная защита ESET стала хуже некуда.

450x450  24 KB. Big one: 900x900  116 KB

За неделю на моем компьютере поселилось три трояна, причем нагло, и их было довольно трудно выкорчевывать. И если один из них на свою машину допустил я сам (поскольку «и на старуху бывает проруха»), то два других беспрепятственно проникли в систему, поскольку ESET их попросту прозевал. Не увидел. Не заметил.

Причем я не отношу себя к чайникам: за клавиатуру первого компьютера сел 26 лет назад, и, не являясь профессиональным сисадмином, могу назвать себя профессиональным пользователем. Но и я погорел со своим опытом. Что лишний раз доказывает: нельзя быть самоуверенным.

В общем, после третьего раза я решил, что с меня хватит, и полез искать разнообразные рейтинги и отзывы по другим антивирусным продуктам. В результате оформилось несколько выводов, которые показали, насколько же я отстал от прогресса с Eset:

450x450  28 KB. Big one: 600x600  65 KB
  1. Бесплатные (даже те, у которых есть платные версии того же производителя) антивирусы и файрволлы работают сегодня ничуть не хуже платных (как минимум!). И в случае ложных срабатываний не будет ощущения, что потратил деньги даром. К тому же, при полной удовлетворенности продуктом можно перевести авторам денежку в качестве благодарности по собственной воле.

  2. «Комбайны» (так называемые пакеты «Internet Security») работают хуже, чем антивирус и файрволл по отдельности. При этом необязательно, чтобы они были разных производителей, это желательно, но не обязательно. Вы сами решаете, кто у вас где будет сидеть и что делать.

  3. Google Chrome – дырявый, как решето. Вредоносные плагины могут жить в магазине месяцами, да и даже «хороший» плагин может стать вредоносом через какое-то время. Это бывает – и не так редко, как вы думаете. И не надо считать, что опыт вас спасет: вредоносы постоянно модифицируются, и вы не сможете за ними успеть. Ну никак.

История заражения: начало





Стоял яркий солнечный зимний денек, когда я наконец-то занялся поиском решения по удалению неудаляемых файлов. Есть такие – и это на самом деле очень небольшая проблема, поскольку они просто занимают место и мозолят глаза, не более. Но будучи перфекционистом, мне приспичило найти то приложение, которое это удалит и (желательно) будет бесплатным. Хотя и «триалка» тоже подойдет, если она умеет удалять.

Англоязычный запрос поисковику выдал программу Unlocker в первых десяти результатах, которую я в итоге скачал с сайта ее автора. ESET при этом молчал.

450x225  23 KB. Big one: 700x350  41 KB

Неприятности обнаружились уже в процессе установки. Вдруг откуда ни возьмись выскочили окна Агента Mail.ru и Mail.ru Guard, которые сами собой установились и запустились. И нет – в процессе установки не было ничего, что хоть как-то указывало на их присутствие, поскольку рекомендацию, приведенную в одной из предыдущих статей цикла, «всегда запускать установку в расширенном режиме» я соблюдаю с детства.

Кроме того, они хотели прописаться и в автозапуске, но поскольку у меня стоит программа, сразу же оповещающая о попытках залезть в startup, эта атака была отбита.

450x329  29 KB. Big one: 563x411  39 KB

Установку я прервал, но было поздно. Как минимум – гадость Mail.ru все же пробралась. Позже обнаружилось, что в браузере также поселился троян HTML/ScrInject.B (желающие могут найти в поисковике описание этого вредоноса).

450x264  10 KB. Big one: 1305x767  44 KB

А еще чуть позже обнаружилось, что данный троян в содружестве с Mail.ru намертво заблокировал мне стартовую страницу в Chrome и страницы поиска. Намертво – это значит, что их изменить нельзя.

Да, и такое возможно. Вам пишется, что это сделали вы: Setting is enforced by administrator, но вы твердо знаете, что это был неизвестно кто. Чуть ниже я расскажу, как можно все вернуть назад.

401x272  19 KB. Big one: 401x272  19 KB





HTML/ScrInject.B – зараза очень мутная во всех смыслах. Она обнаружилась тогда, когда в ответ на попытку зайти на многие сайты еще работающий ESET громко вопил о том, что не может, дескать, войти на этот сайт, потому что он заражен HTML/ScrInject.B.

А, к примеру, если сделать поиск по этому названию, выяснится, что это может быть и ложное срабатывание именно Smart Security. Еще один камень в огород Smart Security. Но это оказалось тоже только начало.

450x282  24 KB. Big one: 1265x792  114 KB

Обнаружилось, что данный троян обладает неприятным и очень хитрым свойством: он, или что-то соседствующее с ним, начало DDOSить сайт, где у меня были расширенные права для изменения файлов. К счастью, эта проблема решилась за секунды – защита сайта быстренько меня забанила на несколько часов (и правильно сделала).

В общем, Mail.ru набедокурил очень прилично. Как же удалось со всем этим справиться?

Страницы материала
Страница 1 из 2
Оценитe материал

Комментарии 65 Правила

Возможно вас заинтересует

Популярные новости

Сейчас обсуждают