?

Log in

No account? Create an account

Previous Entry | Next Entry

Как я ловил вирусы

"Это была славная охота..."

Началось все вполне обыденно - такие жалобы я получаю каждую неделю. Всплывание десятков окошечек Нортона "сканирую исходящее сообщение". Все ясно, рассыльщик спама, которого тупой Нортон, в котором я окончательно разочаровался, прозевал , как и кучу прочих зараз. Сношу Нортон, ставлю adaware2007, который благополучно отловил какого-то рассыльщика спама и удалил его. Ставлю Касперского 7 - не ставится, выдает ошибку, не пишется файл klif.sys в системную папку. Делаю откат, устанавливаю доктора Веба (вернее desk agent) - встает с первого раза. Но... обновиться не может. Сношу его нафиг, запускаю cureit. Не запускается, выдает ошибку! Фигня вопрос, думаю, сейчас загружусь в безопасном режиме и запущу его там.

Тыкаю reset, после само-диагностики компа жму на F8. Ага, ЩАЗ! Комп упорно грузится, меня не замечая. Перегружаю еще раз, и на этот раз во время загрузки еще раз жму reset, чтобы он при следующей загрузке сам меня вывел в меню выбора способа загрузки. Ура, получилось! Но выбрать что-то, кроме "загрузить в обычном режиме" не могу - клава не реагирует!

Загружаюсь снова, лезу в сеть, в яндексе пишу симптомы. Куча ссылок. Но любые попытки вылезти на любой антивирусный информационный сайт блокируются - страница не найдена. Достаю флешку - у меня там есть avz. Вставляю ее, открываю папку... avz удален вирусом! Скачать не могу - доступ к сайту z-oleg.com тоже заблокирован вирусом. Лезу в файл hosts - он ПУСТОЙ!

Конечно, в этом месте можно было применить одну из двух радикальных мер... Либо снять хард, прицепить его к своему компу и там вылечить, либо тупо снести систему и поставить заново. Но инстинкт охотника оказался сильнее :)

Запускаю radmin, влезаю удаленным доступом в рабочий комп. Там лезу на z-oleg.com, скачиваю avz, распаковывю, переименовываю экзешник, запаковывю обратно, архиву тоже даю другое имя, закачиваю на свой ftp сервер. Отключаюсь от удаленного компьютера. С локального компа лезу в ftp, скачиваю переименованный avz и молю лишь о том, чтобы вирус его распознавал по имени, а не по структуре.

Ура, сработало! avz отловил штуки 4 трояна. После этого мне удалось загрузиться в безопасном режиме. Запустил cureit - он еще несколько штук убил. После этого загрузился нормально, поставил доктор Веб, он успешно обновился и загрузил новые базы. Провел полную проверку, десяток зараз еще нашли. Теперь все сайты грузятся, комп нормально работает.

Убил часов 7 в общей сложности, но победил! :)

P.S. Впрочем, не факт, что эти трояны не наследили в реестре. Будем посмотреть...

Comments

( 8 comments — Leave a comment )
grosh
Mar. 3rd, 2008 08:22 pm (UTC)
:)
Так вот кто вирусняк на сайт почившего в бозе ДМО складывал!
globalis
May. 4th, 2008 05:16 pm (UTC)
Я вижу вы разбираетесь в антивирусах, и вообще.
Подскажите, п-ста, а программы Авира достаточно для защиты РС? Или ещё что-то поставить посоветуете.Какой-нить фаер уолл?
И что такое avz?
golosrazuma
May. 5th, 2008 10:14 am (UTC)
Честно скажу, с Авирой не имел дела. Что касается антивируса, то до сих пор эффективнее Касперского я ничего не видел. Причем, не полный пакет, а именно антивирус, поскольку Total Security по очень многим отзывам здорово тормозит комп. Файрвол я использую ZoneAlarm Pro - рекомендую.
globalis
May. 6th, 2008 11:51 am (UTC)
Спасибо.
Но всё оказалось не так просто. Следуя вашему совету, скачал ZoneLabs, попробовал установить, установил, перезагрузился. После загрузки владелец прогр. потребовал оплаты, я отложил это, отключив пока программу. Попробовал войти в инет, но... не тут то было! Блокировано наглухо. Короче, удалил программу, причём удалил, как потом выяснилось "по-лоховски", с хвостами. Хвост в виде папки 2,2мб в системе32 остался и "не м.б. удалён".
И лишь сегодня после процедуры восстановления системы на состояние ДО файрвола смог войти в сеть. Сейчас же и хвосты все подтёр, сегодня почему-то удалилось.
golosrazuma
May. 6th, 2008 11:55 am (UTC)
Мда, такое бывает - одна и та же программа на разных компах ведет себя совершенно по-разному :)
golosrazuma
May. 6th, 2008 09:52 am (UTC)
avz - бесплатный вирус-скан, который даже не требует установки. Крайне полезен в таких запущенных случаях :) Обитает он здесь: http://www.z-oleg.com
globalis
May. 6th, 2008 11:54 am (UTC)
ОК. Ссылку сохраняю.
golosrazuma
May. 6th, 2008 11:56 am (UTC)
Кстати, как я описывал в "охоте", не мешает его переименовать, поскольку некоторые особенно агрессивные вирусы убивают AVZ, распознавая его по имени...
( 8 comments — Leave a comment )