Это — весьма ценное наблюдение, поскольку на поиск специализированных программ, заточенных на удаление факеваров, у меня ушло больше всего времени. Лишь удостоверившись, что ничего не помогает, я перешел к мануальной терапии, которая хоть и муторна, но единственно действенна.
Итак, знакомьтесь: мразь № 1, побившая все рекорды назойливости а начале осени 2009 года (вполне вероятно случалась и ранее, не проверял, однако масштаб эпидемия получила явно только сейчас), называется uFAST Download Manager. Научная кличка — Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb (по Касперскому) или BehavesLike: Trojan.UserStartup (BitDefender). Пик активности этого вымогателя пришёлся на 30 и 31 октября.
uFast Download Manager изображает из себя крутой «ускоритель загрузок», который вы якобы добровольно установили (на самом деле никто ничего не устанавливает — факевары распространяются интернет-рекламой и троянами), а затем «нарушили лицензионного соглашение программы», а потому в отместку программа заблокировала ваш доступ в Интернет. Мне лично мотив вымогательства очень нравится, потому как прекрасно коррелирует с нравственной парадигмой борцов за авторские права на электронную продукцию. Само же вымогательство примитивно как только и бывает у напёрсточников: «Чтобы получить регистрационный код, отправьте смс с кодом wf17999 на номер 7122».
Интересно было бы узнать у несчастных ламеров, которые купились на разводку и отправили смс, сколько содрали с их мобильного счета: 100 рублей? 500? 1000? Ну да ладно: честно надеюсь, что у вменяемых людей до отправки смс всё-таки дело не доходит.
Как бы там ни было, uFast Download Manager работать нормально не позволяет, окно с вымоганием денег постоянно маячит на переднем плане экрана. В отчетах антивирусных компаний зафиксированы даже случаи блокировки «Диспетчера задач».
Уничтожение гниды проводится в четыре этапа:
1. Скачиваем замечательную бесплатную утилиту AZV (http://z-oleg.com/avz4.zip)
2. Копируем в буфер обмена вот такой небольшой текст скрипта:
var
SP: string;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
QuarantineFile(SP+ \zavupd32.exe',);
QuarantineFile(%UserProfile%\applic~1\ufastd~1\propet~1.exe',);
DeleteFile(%UserProfile%\applic~1\ufastd~1\propet~1.exe');
DeleteFile(SP+ \zavupd32.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
3. Вставляем этот скрипт (через Ctrl + V) в утилиту AZV и выполняем его по алгоритму, детально описанному по этому линку — http://virusinfo.info/showthread.php?t=7239
4. После перезагрузки мы проверяем работу Интернета. В 9 случаев из 10 коннекта не будет, потому что гнида uFast Download Manager уже успела покоцать сетевой адаптер. Поэтому отправляемся в «Диспетчер устройств» Windows и удаляем сетевой адаптер. Нажимаем на кнопку обновления конфигурации, адаптер вновь обнаруживается и устанавливается в систему уже в рабочем состоянии.
Ничего кроме описанного выше способа (с благодарностью ресурсу http://virusinfo.info!) в борьбе с uFast Download manager не помогает: популярные антивирусные пакеты и антитрояны с ним не справляются.
Второй факевар, напившийся моей кровушки уже в середине ноября, рядил себя под антивирусную программу. Называется стильно — SecurityTool.
Гнида симулирует поиск инфекции на компьютере и «находит» её — кто бы сомневался! — в невообразимом количестве. На одном из зараженных домашних ноутбуков «было» аж 20 троянов, вирусов, шпионов, червей и рекламных модулей! Изобилие «отловленной» инфекции рассчитано, видимо, на истероидных юзеров, которые столкнувшись с подобным букетом сразу же ринутся покупать волшебный SecurityTool. Благо ходить далеко не нужно: тут же в окне услужливо размещена форма для оплаты банковской карточкой.
Удаление этого факевара прошло не столь гладко, как uFast Download Manager. Ни рекомендованные почтенным ресурсом http://fakeware.ruMalwarebytes' Anti-Malware, ни Spyware Doctor не помогли. Первая программа вроде что-то обнаруживала (SecurityTool появлялся в списке присутствующих на компьютере гадов), но после процедуры исправления и перезагрузки вымогатель появлялся снова.
Опять же, помогла только работа ручками. Алгоритм следующий.
Остановите процессы фальшивого Security Tooclass="underline"
1. Останавливаем через «Диспетчер задач» процесс, запускающий факевар. Разумеется в «Диспетчере» он не представлен под прозрачным именем (типа securitytool.exe или security.exe), а скрывается под несуразностью типа 4946550101.exe. Это числовое имя дает ресурс http://fakeware.ru, однако факевар явно мутирует, потому что на ноутбуке, который я лечил, цифры были другие. Какие — уже не помню, но это и не важно — цифровое имя исполняемого exe-процесса в вашем списке (не дай бог — подхватите!) будет в единственном роде.
2. Удаляете из реестра следующие ключи SecurityTooclass="underline"
HKEY_CURRENT_USER\Software\Security Tool
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run «4946550101»
У меня опять же, цифры были другими и записи в реестре оказались в иных местах, но и это не имеет значения: сначала через F3 вы проводите поиск на «SecurityTool» в слитном написании, затем в раздельном («Security Tool»), и все ключи удаляете. Затем отправляетесь в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, в котором перечислены программы автозагрузки и находите в списке процесс с тем именем, который вы удалили в пункте 1 данного алгоритма.
3. Заключительный этап — удалите все файлы и директории SecurityTooclass="underline"
%UserProfile%\Application Data46550101
%UserProfile%\Application Data4655010146550101.bat
%UserProfile%\Application Data4655010146550101.cfg
%UserProfile%\Application Data4655010146550101.exe
%UserProfile%\Desktop\SecurityTool.lnk
%UserProfile%\Start Menu\Programs\SecurityTool.lnk
%UserProfile% — это имя, под которым вы работаете на своем компьютере. В Application Data4655010146550101.[1]
Такие вот замечательные факевары пришли на наши компьютеры. С ужасом догадываюсь, до какой изощренности дойдут вымогатели на следующих этапах разработки своих поделок. Впрочем, меня лично это уже вряд ли коснется, потому как — читатели онлайн уже в курсе — я с «Винды» таки-соскочил — на 20-м году пользования компьютерами! И перешёл на Мак. Как там у меня сложится, ещё не знаю, но по крайней мере от вирусов и прочей нечисти надеюсь отдохнуть.
Кивино гнездо: Симулятор религии
В своих «Письмах с Земли» Марк Твен написал о нашей природе примерно так: «Человек — это религиозное животное. Это единственное религиозное животное. Это единственное животное, имеющее Истинную религию — причем не одну. Это единственное животное, которое любит ближнего своего как себя самого, и перережет ему горло, если разойдется с ним в богословских вопросах»…
Суть религиозных распрей, раскалывающих человечество и порождающих океаны насилия, подмечена, что называется, не в бровь, а в глаз. С одной стороны — неиссякаемые проповеди о человеколюбии с наставлениями душ людских на благие мысли и достойные дела, а с другой — века и тысячелетия жестоких смертоубийств во имя утверждения очередной самой истинной религии.
Осмысливая этот удивительный парадокс бытия человеческого, никак невозможно проигнорировать феноменально популярную ныне продукцию видеоигровой индустрии. Потому что и здесь, при выборе надлежащего ракурса, компьютерные игры заслуженно считаются мощными средствами обучения, через всевозможные симуляторы способными прививать геймерам самые разные полезные навыки и знания. Ну а если посмотреть иначе, то мало что из массовых развлечений может тягаться с видеоиграми по масштабам и концентрации насилия на единицу затраченного времени.
1
Цифры могут отличаться, но парадигма общая, так что перепутать и удалить что-то полезное у вас не получится при всём желании.