Доброго дня, уважаемые друзья!

В ЖЖ меня теперь можно увидеть чаще! Напоминаю, что мой блог (дневник) находится по адресу: http://itaraskin.livejournal.com/ 

Иллюстрированный вариант сегодняшнего выпуска можно прочитать здесь.

Вирусная эпопея

Лучший антивирус – это правильно заточенные руки!
Из дебатов на одном интернет-форуме

Приветствую вас, уважаемые коллеги! Разговор сегодня поведем об иудах компьютерного царства – о вредоносных вирусах.

Так получилось, что в течение долгого времени я, мучимый атаками разношерстных инфекций, никак не мог найти себе места. Вот представьте: сидишь себе тихонечко в Интернете, «заливаешь», к примеру, новую статью на сайт, а перед этим заблаговременно отключишь файрволл, чтобы не мешал (бывают порою нестыковки и мой любимый Agnitum Outpost Firewall демонстрирует ложные «атаки» и сканирования портов, тем самым блокируя соединение). Трагедия оной сказки заключается в том, что вне поля моего зрения активизируется скрытый процесс, именуемый mssvcc.exe (ну а если наравне с ним еще и lup.exe – вообще немыслимая феерия). Я же, ввиду своей ламерской не подкованности, поначалу не обращал на все это дело существенного внимания. Но впоследствии, когда сей «танцор диско» стал невыносимо рваться в сеть на загадочный удаленный адрес, ваш покорный слуга насторожился и, естественно, заблокировал его странную деятельность.

Но «мсс» не унимался, таки тянуло парня на необъятные интернетовские просторы (счетчик открытых портов в Oupost прыгал, как ошалелый). Автор же данной статьи, в свою очередь, тянулся к ручке ящика письменного стола, в котором томился загрузочный диск программы Acronis True Image, не раз помогавшей в безвыходных ситуациях. Без труда и с песней система вновь обрела девственно-чистое состояние, а я снова стал медитировать, тупо глядя на экран монитора.

Да недолго длилась радость! Непонятно каким образом mssvcc.exe воскрес из мертвых и тихим сапом начал делать свои темные делишки. Ясно было дело, что Acronis’ом и шаманским бубном теперь не отделаешься – копайте, батенька, глубже. Ну, глубже – так глубже. Впоследствии раскопки привели в папку system32, откуда по сути и росли ноги заблудшего странника. Удалил, успокоился… Но опять – не тут-то было! Жив зараза! Лезу в RegCleaner, в закладку «Автозагрузка». Батюшки мои, какие люди! Этот гаденыш уже успел прописаться в системном реестре и теперь каждый раз запускался с загрузкой Windows! Благодаря магу реестра - RegCleaner’у, из списка автозапуска его удалось благополучно выкинуть, но, как выяснилось позже, ненадолго. По всей видимости, этой тварилке удалось пробраться в самые недры операционной системы, и дезактивировать ее можно было бы только после форматирования диска и установки системы заново. Что в общем-то я и сделал…

Несколько лирики относительно участия антивирусов во всей этой истории. Никто и знака не подавал, что mssvcc.exe является вирусом: ни Avast Antivirus, ни ClamWin. И даже, ради интереса установленный, Касперский слыхом не слыхивал о наличии в этом файле гадкой бациллы. Возможно, загвоздка крылась в необновленных антивирусных базах (не будем же мы в конце-концов унижать достоинство сих властителей безопасности). Так что, как вы понимаете, результаты не радовали. Но вернемся к переустановке системы.

О, друзья, знали бы вы какой кайф (разумеется, в ироническом смысле) переустанавливать Windows XP заново, после полугодовалой неприкосновенности. Все, как в новинку, ей богу! После четырехчасовой немыслимой оргии с компьютером ОС, к счастью, вновь приобрела былой вид. Ну да суть не в этом, суть в том, что под конец вышедший из себя, я мимолетно ринулся в интернет, дабы впитать в себя какую либо информацию о случившейся неразберихе. Порыскав немного во всемирной-паутиной, нашел чудеснейший портал VirusInfo, где доходчиво написано о моей проблеме.

Как оказалось, дело было не в бобине: mssvcc.exe – ни что иное, как Backdoor.Win32.IRCBot.oz (вот счастье подволило-то!). И, в конечном счете, я не один в своих муках: у многих форумчан наблюдалась проблема точь-в-точь идентичная моей. А путь решения, шутка ли, (прямо как по Макаревичу*) оказался очень простым. Есть даже несколько вариантов удаления заразы. С вашего позволения опишу все, мною найденные.

1) Скачиваем софтинку под названием AVZ [http://z-oleg.com], далее жмем «Файл» и выбираем "Отложенное удаление". Находим и щелкаем по вреднючему mssvcc.exe в папке system32 и перезагружаемся. Способ не гарантирует 100% удаление, и если не помогло – воспользуйтесь другим методом.

2) Для начала гасим процесс в диспетчере задач (ctrl+alt+del). Потом скачиваем программу по прозвищу Hijackthis [http://www.merijn.org], запускаем ее и выбираем "Do a system scan only". Теперь отмечаем галочкой нужные нам «убиенные» процессы, нажимаем «Fix Checked» (надо помнить, что браузер при этом должен быть закрыт) и перезагружаем компьютер. Вуаля! (Этот прием был позаивствован с форума сайта softodrom.ru)

Я же, слава богу, до поры, до времени отрешен от очередного нашествия backdoor’a (тьфу-тьфу-тьфу) и волноваться пока не стоит. Однако эта история вселила в мой мозг непреодолимое желание попробовать что-нибудь новое из стана антивирусных продуктов. Говоря простым-русским - парню захотелось разнообразия. Но разнообразие по сути своей должно было быть шустрым и ненапрягающим лишний раз и без того трудящуюся систему.

Увы и ах, но от услуг Avast’а пришлось отказаться, ввиду того, что он лишний раз выдавал, именуемое народом, «False-Positive», то бишь ложное срабатывание (бывалые поймут). От старичка ClamWin’а никуда не денешься, ибо мал и медлителен золотник, да дорог [http://www.clamwin.com]. Но что же все-таки выбрать? Вестимо, AVZ – истиный must have и большое спасибо Олегу Зайцеву, но как быть с постоянным монитором и, собственно, тяжелой артиллерией? Ответ на это вопрос прост, как откровение - Nod32. Попрошу маститых «юзверей» не смеяться бога ради и не тыкать в меня пальцем, мол: «Зачем ты нам такую чушь предлагаешь?» Nod32 я выбрал потому что: 1) Он шустрый и удалой 2) Находит большинство заразы и бесследно удаляет ее, при этом не нагружая компьютер. Конечно, стоит признать, постоянный монитор у него не акти какой, но смею заверить, при глубоком анализе системы вирусам не скрыться. Факт.

Многим моим знакомым Nod32 показался весьма трудным в освоении. Эти AMON’ы, DMON’ы и прочая ерунда сложны в настройках. Но! Как только вы поймете, что там, да как – предела мечтаниям не будет. Итак, для тех, кому лень изучать софтинку методом «тыка» и переводить иностранные каракули поясняю:

AMON – это резидентный модуль, томящийся в оперативной памяти и проверяющий файлы на наличии вирусов после каждого перезапуска компьютера.

DMON – проверялка документов MS Office. Вещь весьма нужная.

IMON – это так называемый «интернет-монитор». Немного «квазимодовский», ну да сойдет. Первичная его функция заключается в проверки входящей почты (Друзья, если вам также, как и мне, не нравится, что Nod32 постоянно в каждом письме уведомляет, что,мол, «проверил все, претензий нет!», то проделываем следующую операцию: открываем свернутое меню «Нода» в панели задач, щелкнув по нему два раза мышкой; далее выбираем модуль IMON и жмем-с «Настройка». В появившемся окошке быстренько находим «Подтверждение о проверки электронной почты» и перемещаем точку с пункта «Все сообщения» на пункт «Только инфицированные». Все, готово!), а уже HTTP и прочее на втором плане.

EMON – модуль, обеспечивающий проверку электронной почты в Microsoft Outlook. Любителям ThunderBird’ов (таким, как я) и The Bat’ов лучше этот монитор отрубить сразу, ибо присутствие его просто-напросто незачем.

NOD32 – сканер по требованию. Лесовичок-здоровичок, который умеет проводить глубокий анализ системы и не только. По желанию можно проверить локальные диски и дискеты.

В главных же настройках Nod32 следует отметить все методы сканирования и диагностики, кроме «Расширенной эвристики» и «Упаковщиков», потому что они не подходят для регулярной проверки системы, ввиду своей медлительности и тормозов. Ну что, отметили? Поздравляю вас, друзья, мы вплотную подошли к нирване, осталось лишь загрузить новые антивирусные базы и будет нам всем счастье! Гарантирую, что работу этого антивирусного продукта вы не заметите и не ощущите. Стоит только изредка просматривать лог сканирования…

Пользуйтесь, оно того стоит! Подробнее о Nod32 можно узнать на сайте http://www.esetnod32.ru

P.S. Возращаясь к горячелюбимому mssvcc.exe (подумать только, упомянул имя этого красавца целых пять раз!), хочется кое-что добавить. Судя по результатам исследований пользователей портала VirusInfo с «мсс»’ом справляется большинство антивирусов (в том числе и Антивирус Касперского, что очень странно, на мой взгляд). Так что, не уличайте в рекламе! ;)

Тараскин Илья
itaraskin@mail.ru

* - Если вы не знакомы с творчеством Андрея Макаревича, то настоятельно рекомендую послушать песню «Ты и я», так как цепляет неимоверно!