Держим компьютер в чистоте или чистим ПК от троянов вручную (страница 2)
реклама
Baby steps
После того, как вы отбили все атаки и Windows замолчала, настало время подумать, как от всего этого избавляться.
- Перво-наперво воспользуйтесь стандартными возможностями Windows и снесите к чертям все подозрительные программы. Лучше всего отсортировать их по дате установки: так вы увидите, что было установлено сегодня.
- Кстати, этот самый Guard Mail.ru на самом деле не делает абсолютно ничего полезного. Как написали в одной статье очень метко – «Mail.ru просто создает собственную сеть ботнетов по всему миру». По сути, это легализованный «мэйлрушный» троян, который сам инициирует нежелательные изменения (вроде прописывания себя в автозагрузке, жесткой блокировке домашней страницы и системы поиска, и тому подобные мелкие пакости).
Mail.ru уверяет нас, что это все делается для нашей защиты, но как-то не верится. Кстати, аналогичный продукт есть и у РБК QIP: и тоже по странному совпадению называется Guard, нигде себя не указывает при установке и делает примерно то же самое. - В идеале нужно пользоваться специальными «клинерами» вроде Total Uninstall: утилитой, которая удаляет не только сами программы, но и мусор, остающийся после них в реестре и на жестком диске.
- Далее удаляем вручную то, что осталось от этих зловредов; если у вас не было ничего от Mail.ru, то смело сносите все папки в Program Files, Users и ProgramData (а вдруг что еще в каталоге Windows обнаружится), в названии которых есть «Mail.ru». «Спутник Mail.ru», кстати, тот еще вредонос.
- Если у вас оказался намертво забит поиск Mail.ru, Яндекса или других злоумышленников в браузере, то о том, как его разблокировать, смотрите чуть ниже в разделе «Как вернуть поиск».
- После чего сносим все лишние ключи реестра. Их будет много, причем многие из них – adware совершенно сторонних сайтов, и поэтому есть смысл применить специальную программу вроде SpyHunter. К сожалению, она платная, причем пользователь узнает об этом только к моменту удаления – но вы можете снести все вредоносные ключи руками, поскольку к их списку SpyHunter дает неограниченный доступ.
В моем случае обнаружилось 114 Adware- и Malware-ключей, большинство из которых относились к Mail.ru, а остальные – к неведомым сторонним сайтам, которых ранее не было. Вполне возможно, я подхватил их ранее – и это опять-таки камень в огород ESET. - Сканеров много не бывает, поэтому логичнее скачать еще один – например, AdwCleaner – и пройтись по всей памяти и ключам реестра еще раз.
- Если у вас уже стоял собственный антивирус, который все это прозевал, то пройдитесь им самим еще раз по всем областям памяти и реестра. Как уже говорилось, сканеров много не бывает.
- Наконец, применяем тяжелое оружие: Dr.Web Cure-It, портативный сканер на вирусы без установки, который быстро проверяет память и запущенные программы. Cure-It обнаружил неведомые изменения в файле hosts (он единственный их обнаружил!) и удалил их. Правда, в то же время он закрыл к нему доступ, включая даже чтение, но решение этой проблемы выходит уже за рамки данной статьи, хотя, возможно, в будущем мы к ней вернемся. К слову, после работы Cure-It сайты наконец-то стали открываться нормально. Поэтому снова: сканеров много не бывает.
реклама
Как вернуть поиск
Это решение работает для всех вариантов: Mail.ru или других вредителей. Для того чтобы разблокировать возможность изменения домашней страницы, нужно последовательно сделать следующее:
- Запустить консоль cmd от имени администратора. Быстрее всего это сделать нажатием Win+X, после чего выбрать в меню Command Prompt (Admin).
- Последовательно скопировать и вставить три строки, нажимая Enter после каждой
RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
RD /S /Q "%WinDir%\System32\GroupPolicy"
gpupdate /force - После этого перезагрузитесь, и вы сможете установить ту поисковую систему, которая вам нужна в любом браузере.
Кстати, после этого трояна через несколько дней был замечен другой – HTML/Refresh.BC.Trojan. Каким образом он попал на мой компьютер, я не понимаю пока еще, но смысл в том, что ESET Smart Security проморгал и его. Скорее всего, это «наследие» вредного Unlocker и Mail.ru.
Что же взамен?
реклама
Очевидно, что, когда уважаемый платный антивирус/файрволл настолько сильно подпортит свою репутацию, захочется чего-то иного. Что же выбрать? Очевидно, без антивируса/файрвола троянов будет еще больше.
От использования штатного Microsoft Security Essentials, который все получают в нагрузку с Windows, я отказался сразу. Его репутация очень плоха даже сегодня, и как рабочее решение его мало кто рассматривает.
Прочитав десяток статей, рейтингов и мнений, я остановился на двух продуктах. Бесплатном антивирусе Avira и файрволле Comodo. Оба они опережали в рейтингах как продукты ESET, так и Касперского, и Dr.Web; оба были полностью бесплатными с платными аналогами (с фишками, которые мне не нужны), и оба заслужили немало похвальных отзывов.
Альтернативы у них были, конечно, и их тоже десяток, но именно об этих двух продуктах хорошо отзывались больше всего. Хотя насчет «Авиры» люди ведут жаркие споры в плане конкуренции с «Авастом», но негативный опыт с этим антивирусом десять лет назад (знаю, что прошло много времени, но «и ложечку нашли, и осадок остался») не давал мне использовать его. Хотя я уверен, что с тех пор он значительно улучшился (в отличие от продуктов ESET).
Не доверяй и несколько раз проверяй
Можно сделать первый вывод: если вы ищете конкретную программу, не доверяйте общеизвестным и перегруженным рекламой файлопомойкам наподобие Download.com, CNet, и особенно всяким DepositFiles или другим мутным облачным свалкам.
Поскольку файлообменники типа MegaUpload уже давно утратили свою популярность, вредный народ предпочитает выводить в топ запросов поисковиков зараженные файлы, располагающиеся на облаках вроде Google Drive (и почему-то именно его любят больше всего). А если и есть автоматические проверки на вирусы, то они ничего не дадут по двум причинам: они не способны обнаружить трояны, инфицирующие сайты, да и владелец может файл запаролить, написав пароль в прилагаемом документе.
А уж всякие шильдики а-ля «Проверено супер-пупер антивирусом», «Троянов нет – я гарантирую это! (c)», ложные отзывы, которые появились от призраков «вот буквально минуту назад» – вот этому доверять не стоит ни разу и никогда. Ведь все это сделано с одной целью – заставить вас скачать этот вкусный файл, который вы ищете, и который внезапно нашелся точно по тому запросу, что вы делали.
Больше доверия – магазину Windows Store, который есть у каждого, потому что им «нагружена» каждая ОС Windows старше «семерки». Однако и у него есть свои недостатки, глюки и непонятные ошибки (например, он может просто не видеть соединение с интернетом), поэтому в поиске нужного приложения данный вариант может и занимает первое место, но не является панацеей. Кроме того, Windows Store стремительно разбухает, и (побуду Вангой) недалек тот час, когда его постигнет судьба Google Play Store: миллион программ приведет к тому, что их просто не будут успевать проверять, и на какие-то часы, дни и даже недели там обоснуются десятки и сотни вредоносов. Так что – ловите фишку, пока можно, но все равно проверяйте.
Второй вывод – не доверять антивирусным системам на сто процентов и проверять все, что только можно. Держать на компьютере несколько сканеров (включая сканер реестра) и периодически шерстить абсолютно все.
Ибо даже хорошая и честная программа – по аналогии с расширением для Google Chrome – может в одной из версий стать malware и adware, а то и чем похуже.
Заключение
Я описал так подробно схему заражения своего компьютера для того, чтобы и вы могли как-то учесть мой негативный опыт. Лично меня подвела излишняя самоуверенность, а также доверие к Google и платной комплексной защите ESET Smart Security.
реклама
Впрочем, скачивание непроверенных программ – это только один из путей, по которому зараза может проникнуть на ваш компьютер. Все это «добро» может маскироваться под аудиофайл, PDF- или DOC-документ, да и фактически под любой файл, который вы ищете.
Теперь я пользуюсь бесплатными антивирусом Avira и файрволлом Comodo, а в качестве основного браузера используется Chrome-базированный Chromodo (того же Comodo), к которому подключен анализатор сайтов Avira (в дополнение к «гугловскому» стандартному).
К сожалению, от Chrome мне куда-то деваться сложно, поскольку в нем сосредоточено очень много вещей, как по работе, так и по жизни. Это не значит, что я агитирую за применение Chrome, скорее – за использование сторонних проверенных инструментов для анализа сайтов, на которые вы переходите.
P.S. Кстати, в хорошем файрволле можно запускать программы в «песочнице» от греха подальше. Это некая изолированная среда для запуска, в которой вы управляете каждым «чихом» приложения – и если вредонос содержит гадость в исполняемом пакете инсталлятора или уже установленной программе, все в этой «песочнице» и останется, не затронув систему.
В принципе, это некая виртуальная машина без заморочек таковой. Рекомендуется для любой новой и непроверенной программы. Этот урок тоже был вынесен из данной ситуации, и теперь все хотя бы немного подозрительные программы будут проходить через «песочницу».
реклама
Страницы материала
Лента материалов раздела
Соблюдение Правил конференции строго обязательно!
Флуд, флейм и оффтоп преследуются по всей строгости закона!
Комментарии, содержащие оскорбления, нецензурные выражения (в т.ч. замаскированный мат), экстремистские высказывания, рекламу и спам, удаляются независимо от содержимого, а к их авторам могут применяться меры вплоть до запрета написания комментариев и, в случае написания комментария через социальные сети, жалобы в администрацию данной сети.
Комментарии Правила