В последние месяцы трояны, блокирующие работу Windows и требующие выслать CMC на некий номер, буквально наводнили компьютеры пользователей. Меня эти беды обходили стороной: на моем компьютере уже больше года не появлялось никаких вирусов. И в душе наступило самоуспокоение. За что в середине января я и поплатился. В этот раз расскажу короткую историю о том, как подхватил заразу и как от нее избавился. Постараюсь описать всю последовательность моих действий.

В один из темных январских вечеров я забрел на сайт сомнительного содержания. Там мое внимание привлек один видеофрагмент. Я попытался его запустить, но тут появилось сообщение, что для просмотра необходимо установить Adobe Flash Player 10. И сразу же предлагалась ссылка для скачивания. Я скачал, проверил антивирусом. Он промолчал. Тут я допустил первую ошибку: забыл о том, что у меня уже установлена последняя версия этого плеера. К тому же файл был скачан не с официального сайта производителя.

Запустил инсталляционный файл. Никакой реакции не последовало. Скачал еще раз «плеер», запустил установку. Ничего. И видеофайл по-прежнему не запускался. Открыл диспетчер задач, а там висели несколько неизвестных мне процессов: файлы с расширением .tmp. Выгрузил подозрительные объекты и перезагрузил браузер и почтовый клиент, так как они стали сильно загружать процессор. Тут я допустил вторую ошибку: не проверил систему на наличие вирусов. Это было нужно сделать не только установленным антивирусом Avast Home Edition, но и скачать утилиту Dr.Web Curelt! (http://www.freedrweb.com/cureit/). Этот продукт компании «Dr.Web» не требует установки и не конфликтует с другим антивирусом. Я же беспечно продолжил работу.

Утром включаю компьютер и вижу, что почти весь рабочий стол занимает надпись: «Уведомление о необходимости оплаты...» В тексте сообщения просят выслать CMC на некий номер. Высылать, естественно, я ничего не стал. 200-300 рублей уйдет в никуда, а проблема не решится. У меня был в запасе час, поэтому я попытался решить проблему.

Загрузка последнего работоспособного состояния Windows и безопасного режима не помогла. В последнем случае я увидел только черный экран. Пришлось загружаться в обычном режиме. К сожалению, троян заблокировал Интернет и «Диспетчер задач» (отключен администратором). В реестр я зайти мог, но не знал, что и где нужно редактировать или удалять.

Запустил Аваст, но рабочее окно программы оказалось скрыто под надписью. Нажал правой кнопкой мыши на вкладке антивируса в панели задач, выбрал «Переместить», клавишами-стрелками вытащил рабочее окно к краю экрана и запустил сканирование системного раздела. Увы, Аваст не нашел ничего подозрительного. На флешке хранился скачанный месяц назад Dr.Web Curelt!, но подтащить его к краю экрана не удалось. Для доступа к опции «Переместить» надо было пройти несколько диалоговых окон. Чего я не смог сделать, так как не видел задаваемых вопросов.

Отвинтил системный диск и понес на работу. Подключил. Скачал свежие версии Dr.Web Curelt! и Dr.Web LiveCD (http://www.freedrweb.com/livecd/) - диск аварийного восстановления системы. Запустил Curelt! 60-гиговый винчестер сканировался около двух часов. Результат нулевой - троянов не найдено. На всякий случай записал антивирусный LiveCD на диск. Дома, включив компьютер, никаких следов трояна не обнаружил. Только «Диспетчер задач» был также отключен. Но это не проблема. В Интернете удалось вычитать два основных способа. Первый: «Пуск > Выполнить >regedit», далее в разделе HKCU\Software\Microsoft\ Windows\CurrentVersion\ Policies\System нужно установить значение параметра типа DWORD DisableTaskMgr равным 0 (у меня стояла единица). Второй: «Пуск > Выполнить > gpedit.msc > Конфигурация пользователя > Административные шаблоны > Система > Возможности Ctrl + Alt + Del > Удалить Диспетчер Задач > Не задана». Кроме того, я на всякий случай очистил папки \Documents and Settings\имя_пользователя\ Local Settings\Temp\ и \Documents and Settings\имя_ пользователя\ Local Settings\Temporary Internet Files\ А куда же делся троян? Его я вряд ли удалил. Видимо, он самоуничтожился через некоторое время. Поэтому некоторые советуют, столкнувшись с появлением подобного блокирующего окна, оставить компьютер включенным на несколько часов. Либо перевести системное время вперед, а после исчезновения трояна установить правильное время.

Разумеется, покопавшись в Интернете, вы найдете несколько способов обмануть троян и уничтожить его, не дожидаясь его самоликвидации. Почитайте на досуге.

И помните: враг не дремлет!