Замученным разными вирусными баннерами посвящается.
На днях словил очень неприятный вирус. Сидишь, сидишь себе, и вдруг раз — окошко с ненужной рекламой появляется. У меня, как правило, возникала либо сеть игровых автоматов «Вулкан», либо что-то с покером связанное. Самое интересное, что даже когда ни один из браузеров на компьютере не включён, через какое-то время браузер включается сам и грузит эту дурацкую рекламу.
У меня браузером по умолчанию стоит Mozilla Firefox, и я сначала подумал, что проблема в нём. Начал удалять всякие ненужные плагины и дополнения в самом Firefox, затеял чистку куков и кэша, потом дошёл аж до того, что удалил весь профиль браузера в своём виндусовом профиле (C:\Users\%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles). Ничего не помогло, через некоторое время всё равно появляется эта реклама и всё тут. Тут, естественно, до меня начало доходить, что проблема не в Firefox. Попробовал поработать с другим браузером, включил Yandex-браузер. И увы, через некоторое время Вулкан появился снова, уже в Yandexе. Значит, проблема в какой-то программе, которая даёт инструкцию браузеру запустить определённую страницу.
Ну, что ж. Настало время почистить компьютер всерьёз. Скачал я для начала утилиту AVZ4 (ссылка). Хорошая утилита для обнаружения вредоносных файлов, которой я пользуюсь уже не первый год. Утилита хороша тем, что быстро обнаруживает файлы с прямым чтением, что является одной из характеристик работы вируса. Перед запуском сканирования обновил антивирусные базы AVZ4. Потом начал проверку компа. Ничего. На всякий случай покопался ещё раз сам во всевозможных системных папках и в своём виндусовом профиле. Ничего подозрительного не обнаружил, кроме как в C:\Program Files или в C:\Program Files(x86), у кого 64-битная система стоит, папку, точное имя которой не помню, но со словом server в имени. Внутри лежал какой-то exe-шник. Попробовал его удалить, не тут-то было. Файл занят каким-то процессом. Смотрю, а у меня в службах винды действительно хрень какая-то со словом server висит. Ага, думаю, попалась птичка. В утилите AVZ4 есть прекрасная функция — отложенное удаление файла с очисткой реестра и удалением ненужных служб. Попробовал удалить этот exe-шник как раз через отложенное удаление файла. Перезагрузился. Файл удалился, служба тоже. Начал уж было радостно потирать ручонки, но вирусный баннер появился снова.
Тогда я скачал Dr.Web CureIt (ссылка) — пожалуй, лучший антивирусный сканер. Запустил. Он тоже ничего не нашёл кроме подпорченного системного файла hosts, который он сам и исправил (туда вирусы часто прописывают пути к своим сайтам). Но в принципе, это не удивительно. Дело в том, что программы, запускающие рекламные баннеры, не содержат внутри себя вредоносный код. И, к сожалению, вам не помогут ни установленный на компьютере антивирус, ни антивирусная утилита очистки.
Полез тогда я проверять всё, что связано с автозагрузкой. Делается это примерно так. Нажимаем Пуск в нижнем левом углу — Все программы — Автозагрузка. В моём случае ничего подозрительного там не оказалось. Потом нажимаем сочетание клавиш Win+R, появляется окошко Выполнить, вводим команду msconfig (команда работает только под учётной записью с правами администратора). Идём во вкладку Автозагрузка. В моём случае опять ничего подозрительного не нашлось. Можно самому проверить реестр. Как правило это две ветки: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. У меня и там ничего подозрительного не нашлось.
В общем, странная ситуация. Ничего нигде обнаружить не удалось, реклама всё равно возникает сама, когда ей заблагорассудится, да ещё браузер сама включать умеет. Лезу в гугл в надежде найти информацию о нечто подобном. Нашёл утилиту, которая как раз на рекламной заразе специализируется. AdwCleaner называется (ссылка). Скачал, запустил, о, уже есть результат. Эта программа таки нашла кучу папок, файлов и ключей реестра, заражённых рекламой. Уже полегчало. Но полегчало ли? После очистки с перезагрузкой та же песня — любимая реклама с Вулканом или покером.
Дальше стал думать, чё делать. Пришёл к выводу, что надо бы найти такую программу, которая подсказала бы, какие файлы на компьютере запускались. Ведь запуск рекламы — это запуск какого-то определённого файла. И такая программа нашлась — ExecutedProgramsList (ссылка). Запустив её, я стал ждать, когда появится очередное окно с рекламой, чтобы засечь запуск нужного файла. И вот, минута X настала! Во время запуска рекламы сработал файл «C:\Windows\System32\taskeng.exe». Полез в гугл смотреть, что за файл такой. Но он оказался обычным системным файлом. Заражён? Кто его знает, всё может быть. Но тут мой взгляд упал на другой файл — taskschd.msc. Ну, точно, это же планировщик задач Windows! Полез туда, и что бы вы думали, обнаружил там созданную задачу по запуску рекламы каждые 22 минуты.
Всё, что осталось сделать, удалить это задание. Больше эта реклама не включалась. А как всё просто оказалось)
Но всё равно, пренебрегать антивирусной защитой не стоит. Также для профилактики рекомендуется периодически сканировать систему на вирусы, предварительно освежив антивирусные базы. Чтобы у вас не возникали неприятности, не стоит посещать подозрительные страницы и скачивать оттуда различное программное обеспечение. В моём случае я погорел на поиске редакторов pdf-файлов. Скачал, установил какую-то непонятную прогу, а она потянула за собой такие вот проблемы. Неопытным пользователям рекомендуется защищать свой браузер различными плагинами такими, как Adblock Plus в Mozilla Firefox. И уж если устанавливаете какую-то программу на свой страх и риск, не торопитесь кликать на Далее. Многие установочные файлы, даже такие официальные, как от Яндекса, например, тянут за собой установку дополнительных ненужных программ. И никогда не работайте на компе под учёткой с правами администратора. Меньше прав, меньше проблем.
