Как-то недавно, еще до моей поездки в Барселону в конце августа (о ней позже), ко мне обратилась подруга. Дело в том, что на ее компьютере (кстати, совсем не хилая машинка, хоть и немного устаревшая) начали всплывать рекламные окна с предложением купить и инсталлировать новый суперантивирус. Компьютер стал виснуть, страницы не грузились. Ее антивирус, максимально обновленный Avira AntiVir Personal 8, не находил на компе ничего противоестественного.

Оставалось два пути - либо все стирать подчистую (а за 3 года там накопилось немало!), либо звать кого-то, кто сможет обезвредить заразу. Выбор пал на меня. Мне частенько приходится заниматься такой работой по отлову червей и троянов в свободное от работы время.

Ближе к обеду попал к ней домой. Компьютер подвисал недурно. Сайты не грузились, вместо них грузилась реклама. Постоянно всплывало окно лжеантивируса, и этой программы в установке программ панели управления естественно не было! Правда, и я пришел не один. Взял с собой загрузочный Live-диск (система грузится с CD), флешку с набором спасательных программ, среди которых были Spybot Search & Destroy, Clam-антивирус, программы для отлова руткитов. Первая проверка, сделанная моим портативным Clam, почти не дала результатов. Было найдено всего пара троянов. Комп не стал работать быстрее, реклама не исчезла, все осталось на своих местах после удаления троянов. Проверка длилась почти два часа.
Мы успели поесть с ней, пока антивирус обыскивал папку Windows. Следом я запустил Spybot Search & Destroy 1.6. Обновляться он не захотел, Firefox и Internet Explorer были парализованы. Пришлось ставить последнюю Opera и обновлять Spybot вручную.Последний получил новейшие базы и его поиск дал уже больше результатов - 100 с лишним разных записей в реестре, файлов и другой нечисти. Не все он смог удалить. Пришлось перезагружать Windows XP. Но удалить он все так и не смог. Реклама повлялась и страницы грузились все также плохо. Даже HijackThis 2 помочь не смог.

Система была поражена очень сильно. Такого я еще не видел. Проверил на руткиты программой Sophos - нулевой результат. Тогда на помощь пришла Panda Antirootkit. После проверки оной программой - руткит был-таки найден и удален! Это был мой первый настоящий руткит. Восторгу моему не было предела! Наступал вечер. Я решил перезагрузить систему и... Как дождь посыпались сообщения антивируса о найденных им вирусах, но он только сообщал, но не удалял их. Я их нашел в папке Windows/System32 под какими-то дурацкими названиями-наборами букв. Удалить их тоже не смог. Даже в безопасном режиме. Как я разузнал, относились они к Vundo, более известному как Zlob. Я попытался загрузиться со своего CD и удалить их, но CD не стала грузиться! Мистика.
Мне уже за день поднадоело разбираться с этим червем и руткитом, его скрывавшим. Шел восьмой час моей борьбы с ним. На форумах настойчиво советовали сносить систему и ставить все заново. Я уже начал задумываться об этом. Но напоследок решил проверить антивирусом системные папки. Он нашел эти вредные библиотеки и смог даже удалить их! После перезагрузки ПК система стала работать гораздо быстрее и никакой рекламы. Firefox и IE стали быстро грузить нужные страницы. Обошлось без переустановки. Все были рады. Даже ее мама. А я поехал домой. Вот так был побежден коварный Zlob.