Общественно-политический журнал

 

 

 

Как удалить вирус-порноинформер, порновирус на вашем компьютере

И ранее, а теперь особенно, в интернете пользователь, во время своих прогулок по сайтам и получении электронной почты, рискует подхватить себе проблему. А именно, после включения компьютера появляется окно с предложением послать СМС на определенный номер, для разблокировки компьютера и закрытия появившегося окна. Это, так называемые «трояны» или «порноинформеры»

Нужно сказать, что этим занимаются не совсем мальчики, хотя сам характер поступка говорит об инфантильности создателя подобной проблемы для других. Почему не мальчики? а потому что здесь чувствуется рука психолога – блокирующее окно содержит порноизображение и и включает автоматически у пользователя рефлекс стыда. То есть, направление - создать стрессовую ситуацию и ограничить здравый смысл. Пользователь безотчетно пытается разрешить эту проблему, как можно быстрее и проще, тем способом, который ему кажется самым доступным, скрыв факт проблемы от других. Какие шаги может предпринять пользователь в панике? Например, отправить СМС по указанному номеру, тем самым подтвердив вымогателю, что этот вид бизнеса еще актуален и можно продолжать и далее, пройдя самый начальный путь лоха. Избавится ли пользователь этим пожертвованием или слабостью от проблемы? Нет, не избавится. Не буду сейчас объяснять почему, так как разновидностей этих почемучек множество.

Итак, пользователь встает перед проблемой и начинает с нею бороться. Конечно же он выходит в интернет с другого компьютера и пытается найти ответ на этот вопрос на различных форумах. Самый лучший способ, это обратиться (если это на работе) к своему системному администратору. Для профессионала решить эту детскую проблемку особого труда не составит. А как быть дома простому юзеру? На форумах вы можете наслушаться самых разных советов, но здесь две беды – бесчисленный список предлагаемых вариантов и их неактуальность, так как интернет-вредители совершенствуются (мутируют) постоянно и то, что было вчера или у кого-то, необязательно повторяет ваш случай.

Что вам могут предложить на форумах? Это перечень последовательного отключения настроек в различных типах браузеров, порекомендовать различные типы антивирусов и других утилит для программной очистки компьютера. Это займет у вас много времени и сил и совсем может не помочь решить проблему, так как, повторяю – вредители мутируют постоянно. Здесь нужно учитывать, что последние трояны-информеры блокируют компьютер при старте и вы не сможете ни откатить систему (хотя это бесполезно), ни убить гада в трее, так как, клавиши ctrl+alt+del блокируются также и не работают, ни скачать и установить новый антивирус или утилиту. Вообще очень мало что сможете – только смотреть на баннер.

Что я вам могу предложить? Самое простое и эффективное. Без рекламы различного множества утилит - потом с ними сами разберетесь, на досуге, когда решите проблему.

Итак:

1. Перезагрузите свой компьютер, нажав в начале загрузки клавишу F8 и выберите в меню черного окна «Безопасный режим». (это для тоого, чтобы предотвратить самостоятельный старт порновируса и иметь возможность выполнять следующие операции)

Цитата:
Прежде чем приступать к очистке системы, следует удалить тот контейнер, в котором вирус попал на ваш компьютер, для предотвращения повторного заражения системы. Для этого, после того, как загрузитесь в безопасный режим, следует произвести очистку диска от временных файлов интернета и *.tmp это можно сделать с помощью стандартного сервиса очистки дисков. Тем, кто пользуется внешними браузерами, типа Оперы, Фаерфокса и т.д., следует сбросить надстройки в этих браузерах, установив первоначальные, по умолчанию (вирус мог установить свою стартовую страницу и этот линк нужно сбросить, чтобы не соваться туда опять автоматом).Только после этих действий по очистке возможной новой заразы, следует приступать к выполнению последовательности пунктов, указанных ниже

2. Нажимаете «Пуск» - «Выполнить» и вводите в окне команду «C:\WINDOWS\system32»

3. В меню окна открывшейся папки идете – «Сервис» - «Свойства папки» - «Вид» и в самом низу открывшегося списка опций ищете пункт - «Показывать скрытые файлы и папки», отмечаете его и нажимаете «ОК» (это для того, чтобы видеть все файлы, которые не нужны пользователю во время обычной эксплуатации компьютера).

4. Далее ищете в панели меню этого же окна папки кнопку «Поиск» и нажимаете ее. Слева у вас появляется окно (столбец) «помощника по поиску», в котором выбираете пункт «файлы и папки». В поле «часть имени файла или имя файла целиком» вводите - *.dll Далее выбираете пункт «Когда были произведены последние изменения» и указываете диапазон или дату того дня, который предшествовал старту компьютера с уже возникшей проблемой (обычно происходит инфицирование во время предыдущей вашей работы и потом, после включения, возникает проблема). То есть, если вы работали в первой половине дня и выключали компьютер, а затем вечером его включили и «обрадовались» то дату следует указывать текущего дня. Жмете кнопку «Найти»

5. Среди найденных файлов, а их будет немножко, и будет ваш файл-проблема. Если вы не устанавливали в эту дату никаких программ, то можете смело удалять все найденные фалы не разбираясь особенно – какой из них паразит (скорее всего там только парочка паразитов и будет), но если файлов много, то присмотритесь к ним, чтобы не удалить нужный системе. Анализировать их следует, прежде всего, по дате появления на вашем компьютере. А названия у них могут быть самые разные.

Можете проверить таким же способом и не только файлы с расширением .dll, а вообще, с любым расширением, но это уже или для гурманов или для более сложных случаев, то есть - как сложится.

После этого можете перезагружаться в обычном режиме и работать, не забыв опять спрятать скрытые файлы для вашего удобства. Потом уже можете думать об антивирусе и вообще делать выводы, так как у вас появится опыт.

В особенно тяжелых случаях, не помогает даже безопасный режим - вирус появляется и там и не дает произвести необходимую процедуру действий. В этом случае, следует загрузить компьютер в режиме командной строки и очистить файлы *.dll требуемой даты в папке C:\WINDOWS\system32 руками в черном экране. Кто слаб в этом, но энергичен в действиях, может подключить свой диск слэйвом временно к другому компьютеру и произвести очистку своего диска с помощью операционной системы другого компьютера в той последовательности, что указана выше.

Буду рад, если вы с этим справитесь самостоятельно и не станете стимулировать финансово этих уродцев-вымогателей.
Да...и не советую обращаться с этим в милицию, если вы посчитаете, что если вам номер телефона известен, то милиция вас спасет и для нее все просто далее. Логика-то ваша будет верна, но ошибочно будет убеждение, что милиция вам будет помогать. Сами подумайте - номера к вам приходят открыто....и не один год. Те, кто этим вымогательством занимается, видимо, считают себя безнаказанными и имеют основания так считать


 

Хочу поделиться свежим опытом.

Так получилось, что эту гадость поймал сегодня ночью я сам.
Шарился по просторам инета в поисках различных утилит и щелкая все подряд без разбора, отвлекаясь на телефон и другие мелочи. На каком-то сайте, уже и не помню каком (слишком много было открыто вкладок в браузере) мелькали и порнушечные сайты (мимо них в рунете невозможно пройти – навязчивы со всех сторон) я и подцепил этот триппер. И не просто баннер, а такую жесточайшую порнуху, закрывшую весь экран и блокирующую компьютер. Досада моя сразу же прошла, после того, как я вспомнил что тут вам советовал. Вот и подумал, что мне представилась возможность проверить мои советы на себе самом, не обращаясь к средствам техническим.

Итак, начнем:
Я сразу же решил проверить тот LiveCD от Док.Вэба, который вам советовал постами выше. Я его скачал, залил на диск и вставил в упавший комп, запустив компьютер с него. Довольно долго грузился и выдал недружественный интерфейс для рядового юзера – линуксовая среда и англоязычный интефейс. Есть там и файловый менеджер, который свои задачи выполняет, но на самом нижнем уровне…только что одно название. Но я решил испытать сканирование системного диска на предмет заражения, чтобы понять – каково пользователю от этого толку. Запустил сканер и….понял, что я не дождусь результата, а потому оставил компьютер включенным, за выполнением этой задачи и лег спать. Проснувшись утром, обнаружил, что процесс сканирования продолжается!!! Дожидаться окончания я не стал, так как уже было ясно, что такое сканирование никого не удовлетворит и гарантий никаких не дает, а потому тупо ждать неведомого результата не стоит.
Засучив рукава и на свежую голову взялся опять удалять эту беду вручную. К этому меня подвигло еще и то, что в нашей стране сложно полагаться на антивирус потому, что большинство наших сограждан используют софт, который определяется антивирусными программами, как вирусы, а эта дрянь, которая посетила меня сегодня ночью имела совсем не вирусную природу, а обычное мошенничество, когда под обычную кнопку на сайте хозяин сайта, который вы посещаете, подсовывает скрипт с неприятными последствиями. Вот вы и нажимаете на эту кнопочку (как нажал и я), а последствия от нажатия совсем иные, чем вы ожидали. Потому вам и советую – уходить с тех сайтов, где навязчивая реклама, прыгают произвольные окна и происходит переадресайия без вашего контроля. Пусть там развлекаются те, кто это чудище создавал.

Продолжим. Первым делом, я определил степень поражения, чтобы понять механизм воздействия, а она оказалась такова – порнозаставка на весь экран, нет панели задач и меню «Пуск». Естественно, сбросить это с рабочего стола не получается стандартными средствами. Пробую перезагружаться в безопасный режим – эта гадость и там….ясно. Первым делом необходимо очистить то, что закрывает рабочий стол.
Нажимаем клавиши ctrl+alt+del - появляется диспетчер задач. Во владке «приложения» жмем кнопку внизу «новая задача» и в появившемся окне вводим в строке путь - C:\ Теперь у нас появилось окно проводника с содержимым диска C:\. В меню окна ищем кнопку «сервис» - «свойства папки» - «вид» и ставим галочку на пункте «показывать скрытые файы и папки». Теперь нам стали доступны те места, где прячется зараза, а прячется она во временных каталогах пользователя. Потому очищаем содержимое вот этих каталогов: C:\Documents and Settings\[имя пользователя]\Local Settings\Temp; C:\Documents and Settings\[имя пользователя]\Local Settings\Temporary Internet Files; C:\WINDOWS\Temp и содержимое других временных каталогов, если есть (браузеров Opera, Mozilla и т.д.). Могут быть случаи, когда и «диспетчер задач» окажется заблокирован. В этом случае можно воспользоваться файловыми менеджерами типа far, norton, volkov, file navigator, расположенными на флэш и стартовать менеджер, указав путь к исполняемому файлу в командной строке типа E:\fn\fn.exe, где «Е» буква диска вашего флэш-накопителя. Можно и использовать уже ранее установленные менеджеры на вашем компьютере, если устанавливали в свое время, например, тот же Total Comander, соответсвенно указав в командной строке путь к исполняемому файлу.

После очистки временных каталогов, приступаем к восстановлению функций системы. Так как у нас нет рабочего стола, то делаем вывод – сбит путь к файлу explorer.exe. Идем туда. Для этого запускаем редактор реестра C:\WINDOWS\regedit.exe и идем далее -[HKEY_LOCAL_MACHINE]-[SOFTWARE]-[Microsoft]-[Windows NT]-[CurrentVersion]-[Winlogon].

Значение строкового REG_SZ-параметра Shell должно быть - explorer.exe (скорее всего там у вас красуется путь и имя файла, который заполнял рабочий стол, либо ссылка на интернет-ресурс),
а строковое значение REG_SZ-параметра Userinit должно быть C:\WINDOWS\system32\userinit.exe.
Если у вас иначе, то сделайте так, как указано выше.

Далее убираем остатки агрессии на ваш компьютер. Для этого идем в "Пуск - программы - стандартные - служебные - назначенные задания". Здесь вы увидите то, что закрывало ваш рабочий стол (заставка), то есть не сама заставка, а путь к ней (программы, удаленные уже вами из временных каталогов). Посмотрев внимательнее на строку заданий, которые установились помимо вас, вы обнаружите, что режим запуска у них установлен при старте Windows. Все эти задания следует удалить. Если вы сами не планировали ранее заданий, то у вас там ничего не должно быть.

Теперь можете перезагрузить компьютер и войти в него уже нормально.

Все эти действия, описанные выше, можно произвести и с помощью LiveCD, а точнее с помощью ERD-Comander. В этом случае вам, загрузившись с CD, не понадобиться работать в командной строке, а можете работать мышкой в графическом интерфейсе.

Способов у тех, кто изобретает эти гадости множество, но и убрать все это – способов тоже не мало.

После перезагрузки, когда вы убедились, что вошли в систему нормально и увидели свой рабочий стол, очень советую откатить назад систему, встроенной стандартной утилитой Windows "восстановление системы". Дело в том, что я описал легкий случай, но злоумышленники, написавшие свой скрипт, могут пойти и чуть дальше, сбив у вас и групповые политики безопасности, а это вы можете сразу и не заметить и обнаружите уже когда упретесь при необходимости, которая возникнет спустя время. Потому следуйте в программы - стандартные - служебные - восстановление системы. И выбирайте там дату восстановления на пару дней ранее даты, когда произошла проблема. Ваши все настройки восстановятся в прежнем объеме, ну, а если настройки и не были сбиты, то вы ничего не потеряете. Объяснять же как и это привести в порядок в ручном режиме - очень муторно и объемно. Да такое и не делают специалисты на обычных ПК, такое делается только на серверах, а на ПК используют откаты - просто и не хлопотно.

Вся процедура ручного удаления проблемы у меня заняла минут пятнадцать, вместе с утренним чаепитием.


Есть еще один вид насморка не очень серьезный или совсем несерьезный, но приносящий начинающим или не глубоким пользователям проблемы.

Часто пользователь при входе на сайты "вконтакте", "одноклассники" или другие упирается в иммитацию настоящего окна, например, "одноклассников". В окне ему предлагается какая-либо дрянь в виде отправки той же SMS. Вы должны понимать, что вы, при наборе адреса в строке браузера, набрав правильный адрес, попали в ложное окно. При этом, другие сайты работают без проблем.

Как с этим бороться? Очень просто - нужно убрать эту подмену. Она находится по адресу:

C:\WINDOWS\system32\drivers\etc\HOSTS

Необходимо открыть этот файл HOSTS с помощью текстового редактора "блокнот"  и удалить строку, где написано, в данном случае - "одноклассники.ру". То есть удалить всю строку, где присутствует название этого сайта. Также и в случае с другими сайтами - вконтакте и т.д.


 

Сегодня ко мне, с утра, обратился пользователь, у которого при включении компьютера вышло окно сообщения о вирусной угрозе. Баннер, выскочивший при старте компьютера имел, как бы, официальный вид окна сообщения одного из типов антивируса с предложением отправить СМС на указанный номер, в целях получения дальнейших инструкций по удалению вируса.

Обращаю ваше внимание, что это такая же дрянь, как и описанный выше вирус с порнозаставками и прочими заставками-банерами. Общее у них одно – получение денег посредством СМС. Среди программистов эта гадость не относится к категории вирусов, так как имеет несколько другую природу, но проблем простым пользователям приносит немало, так как далеко не всегда обнаруживается антивирусными программами.

Не обнаружился различными антивирусными программами и утилитами и этот продукт (я специально проэкспериментировал на пробу).

Как же с этим бороться? Я сделал очень просто, что и вам советую:
Загрузился в безопасном режиме и вошел в папку C:\WINDOWS\system32
Затем по поиску (см. посты выше в этой теме), пытался найти файлы *.dll, появившиеся на этом компьютере вчера перед выключением, то есть задал диапазон поиска одного дня, в данном случае - 19.01.2010.

Никаких новых файлов с данным расширением не нашлось. Тогда я изменил тип поиска, убрав поиск по расширению и вызвал поиск вообще всех файлов появившихся в данный день. Поиск опять не дал результатов.

Тогда я перешел в папку на уровень выше - C:\WINDOWS\ и задал поиск без расширения на дату прошедшего дня. Программа поиска выдала, что-то, около десятка-полтора файлов. На файлы с расширением *.txt и *.log я внимания обращать не стал, а вот на другие обратил – открыв каждый текстовым редактором для чтения и просмотрев записи в них. Те файлы, где имелись записи до указанной даты (внутри), я оставил, а вот те, где записи начинались датой прошедшего дня – удалил.

Подобные файлы могут встретиться с самым разным названием и могут быть где угодно, как в корне диска "С", так и в папках профиля пользователя.

Да, все описанные в этой теме действия для Windows ХР.

Ну и не забывайте об антивирусных программах. Обновляйте их регулярно и сканируйте при подозрениях свой диск. Не изменяйте кардинально мнение в негативную сторону о своем антивирусе, если он вам однажды не помог, ведь вы даже не знаете сколько раз он вас выручил.

Еще раз обращаю ваше внимание, что все выскакивающие сообщения, предлагающие вам послать СМС с целью вам помочь, или связаться с бюро помощи, должны обрабатываться вашим разумом. Будь то сообщение "антивируса" или "системы". Знайте, что производитель антивирусных продуктов так делать не будет никогда. Подобные сообщения вас всегда должны настораживать.

И не пытайтесь идти по легкому пути, который вам задал вредитель - послать СМС. Помните, что этот путь, в итоге, окажется самым тяжелым и безрезультатным.


 

Отслеживание загрузки шпионских программ в системе Windows

 

Случайно наткнулся в интернете на статью, которая, как мне показалась, будет интересна и доступна для понимания простому пользователю для общего развития. Статья старая, но почитать ее стоит, для общего понимания.

Публикую эту статью вместе с именем автора:

Цитата:
Автор: Трофименко А.В. (tavo@permonline.ru)
Источник: whatis.ru

Последнее время в Интернете часто встречаются вопросы о том, что при использовании Internet Explorer происходит смена стартовой страницы, при загрузке по ссылке открываются совершенно другие страницы. Я сам столкнулся с этим и поэтому изучал проблему на себе. Первое, что советовали, это воспользоваться спецпрограммами типа Ad-aware и Антивирус Касперского с новыми базами. Это правильно и на какое-то время решает проблему, но потом опять все повторяется. Я же решил выяснить вручную где прописывается шпион и как мне кажется выяснил это. Я не писатель и не журналист, стиль моей писанины прошу не критиковать, пишу потому что сам не нашел в одном месте подробного описания как и что происходит и решил восполнить это. Может кому будет интересно.

Итак, встретившись с тем, что ваш Internet Explorer стал загружать не те ссылки, первое что можно посоветовать - это поставить Ad-aware и Антивирус Касперского с новыми базами и просканировать компьютер. Но если вы хотите сами решить эту проблему, то моя статья для Вас. Также я постараюсь описать свои действия подробно, может кому из начинающих пригодится в качестве методики поиска шпионов. Специалистам это может будет излишне. Они и без меня это знают, поэтому я адресую статью в первую очередь для начинающих.

Для наблюдений я использовал два компьютера: на работе Windows XP без сервис паков и дома сначала также Windows XP без сервис паков, потом поставил последовательно SP-1 и SP-2.

Когда я впервые столкнулся с этой проблемой, то для выяснения где же что грузиться стал проверять, во-первых, пункт «Автозагрузка». У меня в нем стоит только загрузка офиса. Во-вторых, ключи реестра ответственные за автозагрузку программ: это раздел реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion
а в нем подразделы Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce. В этих разделах есть строковые ключи (некоторые разделы пустые), отвечающие за запуск программ. Название ключа может быть произвольным, а в качестве значения у них указывается запускаемая программа, если надо - то с параметрами. Обратите внимание на разделы, в названии которых присутствует "Once". Это разделы, в которых прописываются программы, запуск которых надо произвести всего один раз после следующей загрузки системы. Например, при установке новых программ некоторые из них прописывают туда ключи, указывающие на какие-нибудь настроечные модули, которые запускаются сразу после перезагрузки компьютера. Такие ключи после своего запуска автоматически удаляются. В параметре
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
я нашел одну программу с именем из произвольного набора букв. Программа была записана в папке Windows, дата создания оказалась свежая. Поняв что это шпион, решил потом с ним разобраться. Владельцам линейки Win98 рекомендую заглянуть еще и в файл win.ini в раздел [windows]. В нем есть два параметра load и run. Если в них записаны какие то программы, то стоит проверить какие именно и нужны ли они Вам. Кроме этого в реестре есть параметр
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AppInit_DLLs
В нем можно прописать DLL которые будут грузиться при всех загрузках во все запускаемые Windows процессы, которые используют библиотеку User32.DLL. У меня этот параметр пустой.

Таким образом все проверив я нашел только одного шпиона в параметре реестра, отвечающего за автозагрузку программ. Перезагрузив компьютер я сразу вывел на экран диспетчер задач Windows и понаблюдал, как этот процесс загрузившись при старте системы отработал несколько минут и выгрузился. Решив что он загружает DLL в память и уже потом она играет роль шпиона, я этот параметр удалил из реестра и из папки Windows.

Проверил ключи реестра:

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\DefaultPrefix
Значение параметра по умолчанию должно быть "http://"

2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\Prefixes
Там должны быть следующие значения параметров:
"ftp"="ftp://"

"gopher"="gopher://"

"home"="http://"

"mosaic"="http://"

"www"="http://"

и не должно быть никаких адресов интернет. У меня там стояли url, которые я и удалил.

Решив, что со шпионом покончено, я успокоился и некоторое время работало все нормально, но через несколько дней повторилось опять то же самое, что было сразу заметно т.к. менялась стартовая страница. Решив, что работая в Интернете я опять ловлю заразу, я также вручную убрал из автозагрузки появившийся файл, в имени которого были уже другой набор букв, но сравнение файлов с предыдущим выдавало, что они одинаковы. Удалил файл и исправил ключи реестра, т.к. там опять прописывались url. Конечно можно было сразу накатить сервис паки, но я решил наблюдать что же будет дальше. Дома поставил SP-1. Поработав я стал более внимательно следить и обратил внимание, что в один день произошли изменения страницы и url в то время, когда я не был подключен к Интернету. Заражение так же произошло и на домашнем компе при работе в Интернет. До этого он не был заражен из чего я сделал вывод что SP-1 не является защитой от используемой шпионом дыры.

Вывод: шпион так и сидел на рабочем компе; на домашнем только что произошло заражение, только вносил изменения он видимо не сразу, а через несколько дней, видимо чтобы привлекать меньше внимания. Если бы он сразу вносил изменения после меня, то я бы раньше сообразил, что шпион продолжает работать и не прекратил бы поиски. А так я потерял несколько недель, думая что ловлю шпиона из Интернета, в то время, как он сидел у меня и продолжал работать.

Проверяя компьютер, и, в первую очередь, папку Windows по дате создания файлов, я обратил внимание на файл qwe7972.ini в папке Windows\System32. Особенность его была в том, что после каждой перезагрузки у него менялась дата и время создания файла, т.е. при каждой загрузке какая-то программа пишет в файл информацию. Причем информация в файле была нечитаемая - просто набор символов в строках. По виду похож на другие ini файлы, т.е. также в файле [разделы], в разделах параметр=значение_параметра, только информация была зашифрована. Сразу вывод, что информацию пытаются от нас скрыть и, естественно, таким файлом надо заинтересоваться. Если бы это была система, то были бы обычные записи хотя бы и на английском. Отсортировав файлы в папке по имени я увидел файл qwe7972.dll. Естественно напрашивается вывод что именно эта библиотека и пишет инфу в файл, учитывая что у них одинаковые имена и дата создания DLL свежая, а систему я ставил давно и никаких обновлений не проводил, во всяком случае на рабочем компе. Поэтому файл с такой датой никак не мог попасть на компьютер в результате моих действий. Осталось разобраться как библиотека грузится. Убрав шпиона из автозагрузки (как я уже писал файл с именем из набора букв) и перезагрузившись я увидел, что время файла qwe7972.ini изменилось, следовательно библиотека продолжает грузиться и работать. Попробовал удалить библиотеку, но система выдала, что объект заблокирован, что подтвердило догадку о работе библиотеки в данный момент. Воспользовавшись программой ProcessInfo из прилагаемых к книге Рихтера «Windows для профессионалов», я посмотрел какие процессы грузят эту DLL. Это оказался EXPLORER и только он ей пользовался (есть и другие проги для просмотра инфы о процессах, но я в то время читал книгу Рихтера и для опыта использовал его проги). Я сравнил файл EXPLORER с рабочего компа с заведомо исправным файлом с дистрибутива Windows. Оказалось, что они одинаковы и на тот момент у меня не возникло версий как же грузится библиотека, т.е. изменений в заголовок файла не вносились. Перезагрузив комп в безопасном режиме я эту библиотеку удалил. Из антивирусников на то время я использовал Нортон Антивирус с новыми базами, обновляемыми раз в неделю, но Нортон на эту библиотеку не ругался. Я поставил Касперского 5 с новыми базами. В копии этой библиотеки Каспер увидел шпиона.

Около месяца все было нормально пока у меня не был решен один вопрос - как же библиотека грузилась? Через месяц на рабочем компе я опять увидел проблемы, стартовая страница уже так явно не менялась, но происходили изменения url в реестре и при работе в IE открывались совсем другие ссылки, а не те, на которые я нажимал. Идя проторенным путем я обнаружил в папке Windows\System32 библиотеку qweХХХХ.dll, где вместо "ХХХХ" уже другие цифры, а также ini файл с тем же именем. Стоящий на компе Каспер уже не видел в ней шпиона.

Перезагрузившись в безопасном режиме я эту библиотеку удалил. Все опять встало на места. Обновил базы Каспера. Но мне все не давала покоя мысль как библиотека грузилась. Я проверял все ключи ответственные за автозагрузку программ, там удалял все подозрительное, и, даже когда там оставались только необходимые программы, которым я доверяю, библиотека все равно грузилась. Читая литературу я встретил информацию, что есть и еще возможность загрузки которую я не проверял.

В Internet Explorer встроена технология Browser Object Helper. Данная технология позволяет встраивать другим программам свои плагины в IE и выполнять какие-то действия во время его работы. Так, например, поступают качалки. У меня стоит FlashGet. Данная технология может быть использована и для наблюдения за действиями пользователя в IE и вместо его действий выполнять свои, в том числе для загрузки других страниц вместо тех на которые хотим перейти по ссылке.

Объекты загружаемые через BHO хранятся в ключе:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects
где перечислены значения с именем равным CLSID загружаемого объекта. В ключе
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
находим по CLSID раздел с именем этого CLSID. В нем можно посмотреть параметры объекта, в том числе и путь до загружаемой библиотеки в параметре \InprocServer32\(По умолчанию)="путь до загружаемого объекта".

Посмотрев данные ключи я увидел, что через них грузились эти DLL, и хотя фактически сами файлы я удалил, но ключи ответственные за загрузку остались на месте. Т.е. EXPLORER не изменялся, он оставался именно тем каким и был при установке WINDOWS, другие проги не грузили библиотеки, использовалось то, что было встроено разработчиками. При загрузке EXPLORER просматривал ключи реестра и подгружал библиотеки. Если какой-то из них не было, то это просто пропускалось не выводя никаких сообщений.

Таким образом можно вручную разобрать что нам надо в данных ключах реестра, а что нет, и удалить шпиона. А можно воспользоваться спецпрограммами, например, BHO Captor или WinPatrol. Последняя мне особенно понравилась, так как кроме этого выдает много другой полезной информации по тому что запускается на компе. Но первая, что хорошо, имеет в комплекте исходные тексты на DELPHI. Во всяком случае, та версия которую я скачал. По исходникам можно посмотреть используемые ключи реестра.

Вот в принципе и все, что я хотел рассказать в своей статье. Технология загрузки BHO для меня была открытием. Если о вышеописанных ключах и методах загрузки я слышал ранее и при поиске шпиона их использовал, то BHO я открыл для себя впервые, и ранее в общедоступных местах я не встречал описания этого, поэтому решил восполнить пробел.

Конечно, если использовать более новые версии программ для наблюдения за системой и регулярно обновлять базы, то эти шпионы будут удалены (Каспер также сообщает, что объект DLL заражен и удалить его невозможно, т.к. он заблокирован. Приходилось перезагружать в безопасном режиме и удалять вручную), но для меня было интересно разобраться самому где это происходит. Кроме того хочется сказать слово в пользу установки сервис паков: хотя SP-1 позволял шпиону пролезть в систему, то SP-2, стоящий у меня дома, пока не дает этого сделать. Видимо дыру, через которую шпион лез на компьютер, он закрывает. Сейчас подумываю и на работе установить сервис паки.

Еще раз повторюсь - моя статья для начинающих, специалистов прошу меня не ругать. Возможно Вам это было уже давно известно, но ранее среди ответов на решение данной проблемы ссылку на технологию BHO я не видел.


 

Цена СМС

Да, пожалуй стоит сказать, пусть не о самом главном, но очень неприятном последствии для тех, кто все же отправит СМС по указанному наглому номеру.

Ваш номер попадает в базу данных тех людей, к которым вы обратились в надежде на откуп. Вам это не говорит ни о чем?

Совсем недавно, одна знакомая призналась, что отправила в панике СМС, не зная что делать. В ответ ей пришло сообщение, что на ее счете недостаточно средств (у нее было, как она сказала, что-то около трехсот рублей на счете)

Ее спасло то, что был поздний вечер и она поленилась идти пополнять счет. А наутро наступило просветление и она уже думала о смене номера. Послав однажды, вы совсем не гарантированы от последующих произвольных опустошений вашего счета.

Читайте по этой же теме еще здесь