Как я с вирусом сражался
Я очень давно не получал на компьютер какой-либо гадости. Даже рекламная панель в браузер не устанавливалась! В связи с чем я решил, что тратиться на антивирус - не экономно. Я же и сам умный, обойдусь чем-то простым. Последний раз платным антивирусом пользовался в 2008 году, после него были разные бесплатные. Но всё рано или поздно случается.
При скачивании какого-то архива из сети я имел неосторожность запустить его "бесконтрольную" распоковку.
Как и следовало ожидать, мне на компьютер было любезно установлено 2 браузера (Амиго и еще какой-то) и куча всяких замечательных всем известных утилит от компании Мэил.ру (Guard, Upddater и т.д.).
Конечно же на рабочем столе, в панели быстрого запуска, в пуске, а так же у меня на лбу и на спине появились ярлыки на все установленные программы и сайты царства "Мэил.ру".
После того как все возможные сервисы завершили своё победоносное распространение по компьютеру, Avast гордо объявил, что нашел нежелательное ПО "GuardMailRu" и я согласился на его удаление.
Как позже выяснилось некоторые продукты установились в двух копиях (в Program Files и в ProgramData), тем самым обеспечивая собственное выживание. Например, Guard был деинсталирован из Program Files и пропал из списка установленных программ, но каким-то чудом продолжал работать из ProgramData (даже после перезагрузки) не вызывая никаких подозрений со стороны Avast.
Ах, да. Перезагрузка. Зря я в общем её сделал до полной очистки компьютера.
После перезагрузки я продолжил чистить следы всей гадости, что была установлена и, как мне показалось, удалил всё.
Довольный собой я открыл Хром и увидел, что у меня появились дополнительное расширение, а AdBlock убит. Убит самым дерзким образом - он как бы есть, но его как бы нет. Т.е. он числится установленным, но на самом деле его нет. Совсем нет. При клике на его иконку (у которая была без картинки) выдавалось белое окошко с ошибкой (кажется 404).
Я удалил это неизвестное расширение и переустановил AdBlock. Для проверки перезагрузил компьютер еще раз.
Запустив Хром я обнаружил, что AdBlock снова мёртв и почерк убийцы мне уже знаком, но нет того самого неопознанного расширения - значит дело было не в нём. Я решил установить блокировщик снова, чтобы без рекламы поискать решение проблемы в интернете. Заодно зашел в ВК. Тут я заметил, что мой AdBlock не блокирует рекламу ВК. Проверил на парочке других сайтов - блокировка рекламы происходит как обычно. Чутьё подсказало проверить на мэил.ру - там реклама тоже не блокировалась.
Изучив запущенные процессы и список автозагрузки я не нашел ничего подозрительного. Затем я запустил проверку Авастом, который ничего не нашел. Я скачал Ксаперский Фри и проверил им. Тоже ничего.
Почти отчаявшись после десятка перезагрузок я был готовить переустановить винду, ибо на тот момент уже было потрачено 2 часа на борьбу. Переустановка занимает меньше времени. Но тут я смог отследить процесс, который появляется при запуске Хрома.
Так я и нашел где же "живёт" этот паразит. Поизучав его папку, я нашел файл конфигурации. В нем содержалость не мало информации, среди которой я смог понять, что я сайтов ВК, Мэил и ОК нужно делать какие-то исключения. Я убрал из списка ВК и, о чудо, AdBlock теперь мог блокировать рекламу ВК. То есть этот вирус не просто убивал блокировщик рекламы, а еще и запрещал ему блокировать определенную рекламу, если блокировщик заново установить.
Удаление этой папки не решило проблему до конца. AdBlock продолжал умирать при перезагрузке компьютера. После изучения интеренета я наткнулся на форум в техподдержке гугла, где предлагали 2 варианта:
1. Сброс настроек Хром "по умочанию".
2. Проверить не повреждён ли профиль.
Зайдя в настройки Хрома, вверху вылезло сообщение, что конфигурация была изменена посторонним приложением. Там же появилась кнопка сброса настроек. Сбросил, перезагрузил - не помогло.
Теперь нужно проверить второй. Для этого нужно было в меню Настроек удалить профиль из браузера и заново авторизоваться.
Второй вариант сработал.
Итог:
1. Я удалил Аваст, т.к. он допустил установку вредоносного ПО, которое издевалось над браузером. Он допустил рекламное ПО. Установка производилась явно без моего на то согласие - в фоне. Не было никаких сообщений, окошек, лицензионных соглашений и т.д. Просто сами по себе стали появляться ярлыки. По скольку источником был архив, можно догадаться почему оно запустилось "само". Распаковку архива ведь я начал.
2. Я удалил Касперский Фри, т.к. он тоже не смог найти угрозу.
3. Не экономьте на защите компьютера. По крайней мере, если там имеются данные, которые вам дороги.
P.S. Немного одумавшись, я все же установил пробную версию KIS'a. Так сказать дал шанс реабилитироваться, заодно и посмотреть стоит ли его покупать.