• Narrow screen resolution
  • Wide screen resolution
  • Auto width resolution
  • Increase font size
  • Decrease font size
  • Default font size
  • default color
  • red color
  • green color

Официальный сайт Дяди Зорыча

Monday
Nov 25th
Главная
Век живи, век учись. История вторая Версия для печати
Написал Максим ИВАНОВ   
17.02.2010

В последние месяцы трояны, блокирующие работу Windows, и требующие выслать СМС на некий номер, буквально наводнили компьютеры пользователей. Меня эти беды обходили стороной: на моем компьютере уже больше года не появлялось никаких вирусов. И в душе наступило самоуспокоение. За что в середине января я и поплатился. В этот раз расскажу короткую историю о том, как подхватил заразу и как от нее избавился. Постараюсь описать всю последовательность моих действий. >>>


В один из темных январских вечеров я забрел на сайт сомнительного содержания. Там мое внимание привлек один видеофрагмент. Я попытался его запустить, но тут появилось сообщение, что для просмотра необходимо установить Adobe Flash Player 10. И сразу же предлагалась ссылка для скачивания. Я скачал, проверил антивирусом. Он промолчал. Тут я допустил первую ошибку: забыл о том, что у меня уже установлена последняя версия этого плеера. К тому же файл был скачан не с официального сайта производителя.
Запустил инсталляционный файл. Никакой реакции не последовало. Скачал еще раз “плеер”, запустил установку. Ничего. И видеофайл по-прежнему не запускался. Открыл диспетчер задач, а там висели несколько неизвестных мне процессов: файлы с расширением .tmp. Выгрузил подозрительные объекты и перезагрузил браузер и почтовый клиент, так как они стали сильно загружать процессор. Тут я допустил вторую ошибку: не проверил систему на наличие вирусов. Это было нужно сделать не только установленным антивирусом Avast Home Edition, но и скачать утилиту Dr.Web CureIt! (http://www.freedrweb.com/cureit/). Этот продукт компании “Dr.WEB” не требует установки и не конфликтует с другим антивирусом. Я же беспечно продолжил работу.
Утром включаю компьютер и вижу, что почти весь рабочий стол занимает надпись: “Уведомление о необходимости оплаты...” В тексте сообщения просят выслать СМС на некий номер. Высылать, естественно, я ничего не стал. 200-300 рублей уйдет в никуда, а проблема не решится. У меня был в запасе час, поэтому я попытался решить проблему.
Загрузка последнего работоспособного состояния Windows и безопасного режима не помогла. В последнем случае я увидел только черный экран. Пришлось загружаться в обычном режиме. К сожалению троян заблокировал Интернет и “Диспетчер задач” (отключен администратором). В реестр я зайти мог, но не знал что и где нужно редактировать или удалять.
Запустил Аваст, но рабочее окно программы оказалось скрыто под надписью. Нажал правой кнопкой мыши на вкладке антивируса в панели задач, выбрал “Переместить”, клавишами-стрелками вытащил рабочее окно к краю экрана и запустил сканирование системного раздела. Увы, Аваст не нашел ничего подозрительного. На флешке хранился скачанный месяц назад Dr.Web CureIt!, но подтащить его к краю экрана не удалось. Для доступа к опции “Переместить” надо было необходимо пройти несколько диалоговых окон. Чего я не смог сделать, так как не видел задаваемых вопросов.
Отвинтил системный диск и понес на работу. Подключил. Скачал свежие версии Dr.Web CureIt! и Dr.Web LiveCD (http://www.freedrweb.com/livecd/) — диск аварийного восстановления системы. Запустил CureIt! 60-гиговый винчестер сканировался около двух часов. Результат нулевой — троянов не найдено. На всякий случай записал антивирусный LiveCD на диск. Дома, включив компьютер, никаких следов трояна не обнаружил. Только “Диспетчер задач” был также отключен. Но это не проблема. В Интернете удалось вычитать два основных способа. Первый: “Пуск > Выполнить > regedit”, далее в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System нужно установить значение параметра установите значение параметра типа DWORD DisableTaskMgr равным 0 (у меня стояла единица). Второй: “Пуск > Выполнить > gpedit.msc > Конфигурация пользователя > Административные шаблоны > Система > Возможности Ctrl + Alt + Del > Удалить Диспетчер Задач > Не задана”. Кроме того, я на всякий случай очистил папки \Documents and Settings\имя_пользователя\Local Settings\Temp\ и \Documents and Settings\имя_пользователя\Local Settings\Temporary Internet Files\
А куда же делся троян? Его я вряд ли удалил. Видимо, он самоуничтожился через некоторое время. Поэтому некоторые советуют, столкнувшись с появлением подобного блокирующего окна, оставить компьютер включенным на несколько часов. Либо перевести системного время вперед, а после исчезновения трояна установить правильное время.
Разумеется, покопавшись в Интернете, вы найдете несколько способов обмануть троян и уничтожить его не дожидаясь его самоликвидации. Почитайте на досуге.
И помните: враг не дремлет! Будьте бдительны, товарищи.

(Опубликовано в газете "Мой друг компьютер", № 3, февраль 2010 года. Здесь дана авторская редакция.)



28567 просмотров

  Коментарии
Написал(а) как бе хакер, в 2010-02-20 00:35:30
гы-гы-гы :)

Добавить комментарий
  • Пожалуйста оставляйте комментарии только по теме.
Имя:
E-mail
Домашняя страница
Тема:
BBCode:СсылкаEmailЖирный текстКурсивПодчёркнутый текстКавычкиCodeСписокПункт спискаЗакрыть список
Коментарий:



Код:* Code

 
< Пред.   След. >

///2011///
12 декабря. Новый рекорд: 812 посетителей (по данным счетчика "liveinternet.ru").
Апрель. Еженедельные горячие десятки анекдотов теперь не выкладываются на главной странице.
///2010///
27 января. Новый рекорд: 560 посетителей (по данным счетчика "mail.ru").
25 января. Перешел на более мощный тарифный план. Теперь сайт работает в 1,5-2 раза быстрее.
///2009///
19 ноября. Новый рекорд: 312 посетителя (по данным счетчика "mail.ru").
15 апреля. Закрылась почтовая рассылка "Лучшая десятка анекдотов от Дяди Зорыча". Сам раздел продолжит существование.
///2008///
21 октября. Новый рекорд: 102 посетителя (по данным счетчика "mail.ru").
26 июня. Сайт переехал на собственное доменное имя www.zorych.ru (спасибо Алексею Радченко).
01 июня.
День рождения сайта. В этот день начал заливать информацию на локальный сайт.