• Narrow screen resolution
  • Wide screen resolution
  • Auto width resolution
  • Increase font size
  • Decrease font size
  • Default font size
  • default color
  • red color
  • green color

Официальный сайт Дяди Зорыча

Thursday
Nov 28th
Главная arrow Заметки arrow Век живи, век учись. История вторая
Век живи, век учись. История вторая Версия для печати
Написал Максим ИВАНОВ   
17.02.2010

В последние месяцы трояны, блокирующие работу Windows, и требующие выслать СМС на некий номер, буквально наводнили компьютеры пользователей. Меня эти беды обходили стороной: на моем компьютере уже больше года не появлялось никаких вирусов. И в душе наступило самоуспокоение. За что в середине января я и поплатился. В этот раз расскажу короткую историю о том, как подхватил заразу и как от нее избавился. Постараюсь описать всю последовательность моих действий. >>>


В один из темных январских вечеров я забрел на сайт сомнительного содержания. Там мое внимание привлек один видеофрагмент. Я попытался его запустить, но тут появилось сообщение, что для просмотра необходимо установить Adobe Flash Player 10. И сразу же предлагалась ссылка для скачивания. Я скачал, проверил антивирусом. Он промолчал. Тут я допустил первую ошибку: забыл о том, что у меня уже установлена последняя версия этого плеера. К тому же файл был скачан не с официального сайта производителя.
Запустил инсталляционный файл. Никакой реакции не последовало. Скачал еще раз “плеер”, запустил установку. Ничего. И видеофайл по-прежнему не запускался. Открыл диспетчер задач, а там висели несколько неизвестных мне процессов: файлы с расширением .tmp. Выгрузил подозрительные объекты и перезагрузил браузер и почтовый клиент, так как они стали сильно загружать процессор. Тут я допустил вторую ошибку: не проверил систему на наличие вирусов. Это было нужно сделать не только установленным антивирусом Avast Home Edition, но и скачать утилиту Dr.Web CureIt! (http://www.freedrweb.com/cureit/). Этот продукт компании “Dr.WEB” не требует установки и не конфликтует с другим антивирусом. Я же беспечно продолжил работу.
Утром включаю компьютер и вижу, что почти весь рабочий стол занимает надпись: “Уведомление о необходимости оплаты...” В тексте сообщения просят выслать СМС на некий номер. Высылать, естественно, я ничего не стал. 200-300 рублей уйдет в никуда, а проблема не решится. У меня был в запасе час, поэтому я попытался решить проблему.
Загрузка последнего работоспособного состояния Windows и безопасного режима не помогла. В последнем случае я увидел только черный экран. Пришлось загружаться в обычном режиме. К сожалению троян заблокировал Интернет и “Диспетчер задач” (отключен администратором). В реестр я зайти мог, но не знал что и где нужно редактировать или удалять.
Запустил Аваст, но рабочее окно программы оказалось скрыто под надписью. Нажал правой кнопкой мыши на вкладке антивируса в панели задач, выбрал “Переместить”, клавишами-стрелками вытащил рабочее окно к краю экрана и запустил сканирование системного раздела. Увы, Аваст не нашел ничего подозрительного. На флешке хранился скачанный месяц назад Dr.Web CureIt!, но подтащить его к краю экрана не удалось. Для доступа к опции “Переместить” надо было необходимо пройти несколько диалоговых окон. Чего я не смог сделать, так как не видел задаваемых вопросов.
Отвинтил системный диск и понес на работу. Подключил. Скачал свежие версии Dr.Web CureIt! и Dr.Web LiveCD (http://www.freedrweb.com/livecd/) — диск аварийного восстановления системы. Запустил CureIt! 60-гиговый винчестер сканировался около двух часов. Результат нулевой — троянов не найдено. На всякий случай записал антивирусный LiveCD на диск. Дома, включив компьютер, никаких следов трояна не обнаружил. Только “Диспетчер задач” был также отключен. Но это не проблема. В Интернете удалось вычитать два основных способа. Первый: “Пуск > Выполнить > regedit”, далее в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System нужно установить значение параметра установите значение параметра типа DWORD DisableTaskMgr равным 0 (у меня стояла единица). Второй: “Пуск > Выполнить > gpedit.msc > Конфигурация пользователя > Административные шаблоны > Система > Возможности Ctrl + Alt + Del > Удалить Диспетчер Задач > Не задана”. Кроме того, я на всякий случай очистил папки \Documents and Settings\имя_пользователя\Local Settings\Temp\ и \Documents and Settings\имя_пользователя\Local Settings\Temporary Internet Files\
А куда же делся троян? Его я вряд ли удалил. Видимо, он самоуничтожился через некоторое время. Поэтому некоторые советуют, столкнувшись с появлением подобного блокирующего окна, оставить компьютер включенным на несколько часов. Либо перевести системного время вперед, а после исчезновения трояна установить правильное время.
Разумеется, покопавшись в Интернете, вы найдете несколько способов обмануть троян и уничтожить его не дожидаясь его самоликвидации. Почитайте на досуге.
И помните: враг не дремлет! Будьте бдительны, товарищи.

(Опубликовано в газете "Мой друг компьютер", № 3, февраль 2010 года. Здесь дана авторская редакция.)



28582 просмотров

  Коментарии
Написал(а) как бе хакер, в 2010-02-20 00:35:30
гы-гы-гы :)

Добавить комментарий
  • Пожалуйста оставляйте комментарии только по теме.
Имя:
E-mail
Домашняя страница
Тема:
BBCode:СсылкаEmailЖирный текстКурсивПодчёркнутый текстКавычкиCodeСписокПункт спискаЗакрыть список
Коментарий:



Код:* Code

 
< Пред.   След. >

///2011///
12 декабря. Новый рекорд: 812 посетителей (по данным счетчика "liveinternet.ru").
Апрель. Еженедельные горячие десятки анекдотов теперь не выкладываются на главной странице.
///2010///
27 января. Новый рекорд: 560 посетителей (по данным счетчика "mail.ru").
25 января. Перешел на более мощный тарифный план. Теперь сайт работает в 1,5-2 раза быстрее.
///2009///
19 ноября. Новый рекорд: 312 посетителя (по данным счетчика "mail.ru").
15 апреля. Закрылась почтовая рассылка "Лучшая десятка анекдотов от Дяди Зорыча". Сам раздел продолжит существование.
///2008///
21 октября. Новый рекорд: 102 посетителя (по данным счетчика "mail.ru").
26 июня. Сайт переехал на собственное доменное имя www.zorych.ru (спасибо Алексею Радченко).
01 июня.
День рождения сайта. В этот день начал заливать информацию на локальный сайт.