Будь-спец по інформаційному захисті стовідсотково скаже, що найнадійнішого антивіруса немає. Краще використовувати файрволи та шукати малваре вручну. Однак це не посил навіть більшості просунутих користувачів.
Цей досвід допоміг мені і зараз. Я реєстрував свій сайт на одному з каталогів, після чого вимкнув комп'ютер. Nod 32 абсолютно спокійно реагував на той сайт, що розслабила і мою пильність. Як виявилося, даремно.
Сканування комп'ютера Нодом нічого не дало. Не допоміг і Cure IT. Промовчав AVZ. У пору було починати нервувати. Тим більше, що я сидів на XP (просто я ще перепрограмують чіпи на принтерах, тому без хрюши ніяк). До 7-рке UAC таке б не дав зробити. В цьому плані сімка надійніше. Хоча і в XP можна було зробити обмежену обліковий запис для інтернету і нею користуватися. Але вже назад все не повернеш. Потрібно було боротися з вірусом.
Панель завдань вірус не відключив. Але і там нічого стороннього не відображаються. Довелося використовувати утиліту від Марка Руссиновича Procexp. Дана тулза вміє знаходити всі запущені процеси в системі. Поряд з Procmon вона повинна бути в арсеналі будь-якого поважаючого себе комп'ютерника.
Ця утиліта відразу ж знайшла незрозумілий екзешнік. Лежав він у улюбленому для вірусів місці в папці Documents and Setting / user / LocalSettings / Temp. У вірусу вистачило нахабства зробити під себе окрему папку. Природно, потрібно було видаляти. Найцікавіше, що вірус був якісним -він використовував нульове кільце, що допомогла йому ховатися від антивірусів і працювати в захищеному режимі (іншими словами, якщо він працював, його неможливо було вимкнути).
Перевіривши автозагрузку утилітою Autoruns від того ж Руссиновича і переконавшись, що нічого в автозавантаженні немає (гаденищ прописав себе в бутовому ini файлі), я приступив до видалення. Цю всю папку можна було видалити або в Досі, або в іншій системі. Я використовував свій улюблений лайв дистрибутив Linux Slax, через який видалив всі проблемні файли.
Запуск Windows і Procexp показують, що вірян більше немає. Але ось Mozilla вважає інакше. Добре, хоч аська відучилася від цього.
Що робити в цьому випадку? Беремо натискаємо Win + F і викликаємо пошук файлів. Вірус заразив сьогодні, а значить, що і напаскудив сьогодні. Це спрощує завдання щодо його розшуку. Встановлюємо в пошуку параметри пошуку фалів і папок на поточну дату і чекаємо результат. А ось він неприємно здивував.
Поряд з кількома файлами мій досвідчене око помітило і файли з .js розширенням. В принципі, я і очікував побачити яваскрипт або vbs скрипт. Первй збентежив мене файл user.js.
Відкривши його блокнотом, я побачив таке:
Цей скрипт вносив цей сайт у внутрішній реєстратор браузера. Стираємо ці рядки і зберігаємо скрипт.
Наступний файл носив назву sessionstore.js. Також відкриваємо його блокнотом і стираємо докучливий сайт. Перед збереженням відкриємо Мозілли і встановимо сторінку за замовчуванням на той же Яндекс. Тепер зберігаємо наш скрипт і закриваємо його і браузер.
Запускаємо всі браузери і переконуємося, що докучливий сайт відстав від нас.
Якщо ви не використовуєте 7 або Vista, то в XP під інтернет зробіть собі обмежену обліковий запис. Працюючи в ній шкідлива програма вже не запуститься. Крім цього, не варто покладатися на антивірус. На додачу до нього встановіть ще й брендмауер.
Все це дозволить вам максимально захистити свій комп'ютер від усіляких вірусів.
Завантажити procexp і Auroruns можете тут (один архів).
В'ячеслав «VeGA» Головлев