В пятницу винда меня очень обрадовала - при загрузке вылезает оповещение на английском, мол, Бог и все его архангелы, у нас, батенька, spyware на компе сидит (эт такое плохое приложение, которое пакости всякие делает, кто не в курсе) и предлагает установить мегаантивирус, который все подчистит. Интернет тут же вырубается, а Касперский, смущенный до ужаса, посыпает голову пеплом и даже загружаться от стыда не желает. Такие вот симптомы. Червь появился вроде как недавно, поэтому лучше приведу сразу алгоритм его дезоляции, пока еще не поздно.

В первую очердь грузим винду в безопасный режим (для этого как включится комп яростно давим на несчастную F8 и выбираем безопасный режим), после чего лезем в папку windows и windows/system32, где обнаруживаем замечательные файлы - bratsk.exe и karna.dat. Сносим их к чертям (получится только в безопасном режиме, когда не грузится ни автозагрузка, ни нужные дрова). Далее, лезем в реестр (пуск-выполнить-regedit) и ищем все ключи с именем brastk и удаляем их, плюс валим и karna тоже. Но это еще не все - злокачественный червь восстановится опять. Лезем в windows\system32\drivers и удаляем файл beep.sys. Да, это драйвер. Да, без него будет плохо, но без инета и с прожерливым червем на харде будет хуже. После удаления beep.sys brastk.exe потеряет шансы на восстановление (если, конечно, им компьютер не особо загажен), после чего надоедливое сообщение о заржении и сам червь пропадут. Остается вернуть доступ в инет. На форуме сообщалось, что нужно сносить к чертям касперский, чтобы он, зараза такая, перестал блокировать соединение, ибо, по мнение народа, вирус именно через него ставит блокировку. Может и верно, но мне значит попалась не особо оригинальная разновидность червя - он банально вырубил сетевую плату, обрадно включить ее можно в диспетчере устройств, после чего соединение заработает как миленькое.

Ну и, наконец, надо бы подчистить за червем. Скачиваем любой антивирус, лучше, конечно, NOD32 или Dr.Web, можно на худой конец Касперычем. Далее, лезем в несчастный windows и находим там папку Perfetch. Можно для интереса зайти туда - там найдете несколько файлов со странным расширением, названные именами тех приложений, которые вы запускали во время работы червя. Короче говоря, информацию он о компе собирал, не иначе чтобы подгадить еще сильнее. Удаляем и ее. После чего еще разочек не мешало бы все проверить.

Сам убил весь вечер пятницы на удаление этой гадины, мартышка и очки называется.

Итак, Касперский отсиживается в углу, поэтому сначала полностью проверяю систему Ccleaner'ом, Window's Care'ом и Ad-aware Se. Ничего. Придется разбираться вручную. Первая мысль - так, что-то подцепил вчера, поэтому полез в поиск и поискал файлы, которые вчера были созданы. Сразу наткнулся на brastk.exe, karna.dat, а так же некие данные из папки pchealth виндуса и что-то со странным названием Catroot и Catroot2. Логично рассудил, что, если завалю что-то системное - виндус выдаст критическую ошибку и все восстановит. Радостный, удаляю все, перезагружаю. Разумеется, ничего не исчезло. Лезу опять в виндус и нахожу удаленные папки и файлы полностью восстановленными. Проверяю автозагрузку, нахожу brastk.exe среди остальных приложений. Ну, думаю, попался, сволочь, осталось тока удалить тебя. Лезу в безопасный режим, удаляю файлы червя, удаляю из автозагрузки, довольный, перезагружаю и снова вижу все ту же картину. Все это продолжалось около получаса, в надежде на то, что у вируса сдадут нервы. Дальше решил покопаться в реестре. Радостный нашел кучу значений с брастком. Удалил, довольный перезагружаю, думаю, ура, за все будет работать. Разумеется, я в обломе, вирус уходить и не собирался. Подумал задним умом: Касперский его не ловит, а что если поставить другой антивирь и стереть его? Сказано - сделано, завалил Каспера, поставил для начала Spy bot. Вирус сказал фи и тупо запретил ему запускаться. Ладно, прийдется прибегать к тяжелой артиллерии. Перерыл половину дисков с Игроманией (а их порядка сотни) и нашел инсталлятор последнего NOD32. Ну, попытка не пытка. Пытаюсь его ставить. В безопасном режиме он говорит бу и не запускает установку, в обычном же пишет, что у вас, батенька, беда с виндус инсталлером и я ничего поделать не могу. Умывает руки, закрывает установку и оставляет меня с носом. Но я не унываю, наушники в уши, Misfits на полную и размышляю. Тут меня потянуло на творчество. Я не могу вирус удалить, а что если заменить экзешники какими-нибудь приложениями с такими же названиями, но которые бы не делали ничего плохого? Автозагрузка запускает эти пустышки и я спокойно удаляю все следы деятельности вируса. Написал в билдере прогу очистки экрана, назвал ее так же, brastk.exe, заменил в безопасном режиме (в этом режиме работы виндус не трогается ни автозагрузка, ни лишние драйвера, так что вирус запуститься просто не может) файлы вируса на эту программу. Логика была такая: хакер - лох, сломал Касперский (это равносильно сольному взятию Бастилии, будучи вообуженным зубочисткой), но не догадался прописать проверку целостности файлов при загрузке. Провел необходимые манипуляции. Гипотеза о хакере оказалась неверна, процесс зашел в тупик. Но я не отчаивался - время час ночи, мне вставать в семь утра, энтузиазма море. Решил идти по другому пути. С помощью программы Unlocker можно удалить любое приложение, какой бы защитой оно не обладало. Удалить уже запущенное приложение нельзя никаким макаром не вырубив его (а вирус вырубить, увы, не получится), поэтому unlocker удаляет его при перезагрузке системы. Заметил, что удаленный таким образом экзешник браста не появляется при следущей загрузке, значит, подумал я, загрузка происходит следущем образом: вирус проверяет целостность своих файлов, затем заменяет их если что. После чего лезет анлокер, удаляет вирус, после чего вирус пытается запуститься, не находит удаленный файл... и загружает второй. Как я уже говорил, два главных файла вируса, brastk.exe и karna.dat лежат двумя копиями в папках windows и windows\system32. Значит, решил я, если удаляется один, его восстанавливает второй и все начинается заново. Мой больной мозг пришел к выводу, что при перезагрузке надо удалить оба файла и все будет хорошо - автозагрузка не обнаружит ни одного экзешника вируса, обидется и пошлет его на все четыре стороны. Вопрос в том, как это сделать? Нормальный человек давно бы выдрал к чертям диск, отнес его к другу, чтобы он проверил его своим антивирусом. Но нет, блин, мы люди технические, значит надо действовать как велит тебе твоя логика, то есть через жопу. Итак вопрос, как поставить оба файла на удаление при перезагрузке? Я в этом ноль ( как, в общем, и во всем остальном), анлокер не запущенное приложение удалить при перезагрузки не хочет - не видит смысла, а запустить два одинаковых процесса нельзя - уже виндус не видит смысла. То есть удалить обычным методом оба файла нельзя. Что мой разум мне подсказал: поставил я на удаление при перезагрузке один из запущенных экзешников, полез в реестр и посмотрел, появились ли какие ключи с именем браста (до этих манипуляций они были удалены, поэтому, я решил, что если значения и появятся, то только из-за удаления). К своему удивлению нашел, проверил значение. Для подтверждения запустил еще одно приложение и попытался его удалить, на что анлокер заорал, мол, хватит мучить меня, давай его лучше при перезагрузке удалим? Ну ладно, мне оно и надо. Проверяю тот ключ в реестре и действительно, рядом с путем к экзешнику вируса, который располагался в папке виндус, появился путь ко второму приложению. Изменяю адрес и имя последнего на адрес экзешника вируса, который лежал в папке систем32. Довольный перезугружаю, мол, ща все будет клево. Загружается виндус. Как оказалось, системя меня послала далеко и надолго и просто решила не удалять ничего. Тут в мою душу начали забредать искорки сомнения. И я решил послать все к чертям и лечь спать. На утро попросил Пашку прихватить с собой диск с Нортон антивирус. У него есть замечательная способность - проверять жесткий диск на вирусы, не запуская виндус (то есть до загрузки еще можно запустить антивирус и проверить хард на вирусы). Из инста я вернулся пздно, так что времени на поэкспериментировать было много. Заодно в инсте поговорил с Пашкой и Пашкой по поводу автозагрузки и прочих прелестей. Они меня сильно загрузили, оба, на пару. Поэтому как пришел радостный ставлю диск и думаю, что сейчас все будет хорошо... Сначала подумал, что я где-то что-то не догоняю. Потом понял, что меня подставили, но не сообразил где - антивирус сканил 750 ГБ за две секунды. Сие удивительно, ибо куда более вероятно встретить, скажем, динозавра на улице. И ничего не находит. Мой мозг спас Пашка - у меня дисковая система NTFS, а не FAT32 (что это значит пояснять не буду, ибо долго, разница здесь: на одном антивирус работает, на другом нет). Здорово. Этот паразит тупо просканировал диск самого себя и радостно выдал, что вирусов нет. Решился я на робкую попытку запуска антивируса через виндус. В безопасном режиме он тоже работать не захотел, в основном жалуется на поврежденный инсталлятор. Обидно. Хотел застрелиться, но опять пришел на помощь великий Буржуй - раскрыл тайну проклятого beep.sys и все встало на круги своя. Немного погеморроился с интернетом, пока не догадался влезть в диспетчер устройств и не обнаружил, что брастк банально отрубил сетевую плату. Включил. Вот, сижу. Следы деятельности вируса все еще видны невооруженным глазом - половина ссылок не открывается, да и нортон ставиться не хочет. Однако, инет есть и это главное...

Уххх, народ... будьте бдительны, эта сволочь пострашнее blast.exe будет.

И на последок... сегодня так и не удалось погулять с Натой... эт свинство с моей стороны =\\