Компьютер заразился антивирусом!

На днях позвонила знакомая девочка и рассказала, что компьютер подхватил какую-то гадость. По телефону я смог понять только, что название больше похоже на антивирус, чем на вирус. Стало любопытно, посмотрел вживую — действительно, пакость именует себя WinAntiSpyware (или AntiSpyware XP Pro, не помню точно), кричит, что компьютер инфицирован и просит ее купить, а уж она всё-всё вылечит.

Начал разбираться. На компьютере установлен Kaspersky Internet Security 7.0, но не запускается. Это понятно: лучшая оборона — нападение. Ладно, записал на флешку HijackThis, который не раз меня выручал. Вкратце — эта программа показывает запускающиеся при старте системы программы и позволяет их запрещать, останавливать работающие процессы, удалять файлы, в том числе при перезагрузке
системы, что позволяет справиться с такими файлами, которые немедленно удалить невозможно. А если непонятно, что является вирусом, а что — безопасной программой, лог HijackThis можно загрузить на специальный сайт и получить детальный анализ и степень опасности каждого файла.

HijackThis тоже запустился не сразу, только после переименования. Увидел файл WinCtrl32.dll, но удалить его не смог. На этом мои познания в борьбе с вирусами закончились, пришлось погуглить.

Выяснилось, что самый распространенный метод борьбы с такого рода нечистью — утилита AVZ. Существуют форумы, куда можно отправить лог-файл и добрые люди напишут скрипт для лечения. Беда в том, что существующие скрипты в моем случае не спасали — вирус устанавливал свой драйвер со случайным именем определенного
вида. А в скрипте имя драйвера должно быть указано точно.

Дальнейшие поиски вывели на форум программы OSAM (Online Solutions Autorun Manager), где была описана интерактивная процедура лечения такого вируса. Программа оказалась на редкость удобной: показывает все запускаемые программы, при наличии доступа в Интернет позволяет тут же проанализировать степень их опасности; для запрета запуска достаточно снять галочку у нежелательной программы. После перезагрузки можно удалить с диска файл уже незапущенного вируса.

Позапрещав все подозрительное я убедился, что Касперскому стартовать никто не мешает, и начал смотреть внимательнее — не запретил ли чего лишнего. Долго не мог поверить, что файл beep.sys — это тоже вирус, поскольку размер был меньше, чем у оригинального файла. Не разучились, оказывается, маленькие вирусы писать 🙂

Все закончилось благополучно, а в моем наборе инструментов появился еще один. Говорят, что AVZ обладает аналогичными возможностями по интерактивной борьбе с вирусами, а скрипты — это приятное дополнение для тех пользователей, которым сложно справиться самому.

26.09.2008  Метки: , , , ,   Рубрики: Программы

Один комментарий

  1. Самопроизвольная остановка служб » софт, хард & интERнет - 23.07.2009

    […] не в поврежденных файлах. Прогнал на одном компьютере проверенный OSAM — чисто. Второй — чисто. А службы продолжают […]

Написать комментарий