Некоторое время назад моя сестра попросила посмотреть ноутбук который «глючит». Выражалось это в показе рекламных баннеров со звуком на рабочем столе, открытие дополнительных вкладок в браузере. И, самое главное, загрузка iframe с рекламой, который полностью перекрывал страницу и не давал нормально пользоваться интернетом.





Потратив в общей сложности почти два часа на поиск источника проблем, и дойдя до белого каления от его изворотливости и стремления повторно прописаться куда только можно в системе, решил чистку автоматизировать. Для чего написал на С++ небольшую утилиту, куда внёс все обнаруженные «хвосты» зловреда, чтобы не чистить их по сотому разу.

Так и зародился проект «Чистилка». Постепенно добавляя новых зловредов, обнаруженных у мамы, папы, сестры, друзей и других, не сильно технически, подкованных юзеров. Разрекламировав программу на работе, я неожиданно получил поддержку своего начальника и друга в виде возможности тратить некоторое количество рабочего времени на доведение программы до ума. В марте вышли в паблик, что позволило собирать базу зловредов автоматически и увеличить за счет этого качество чисток.

По приходящим жалобам мы обнаружили что самым «ненавистным» зловредом является комплекс ПО от компании Mail.Ru. Которая агрессивно действует на поприще зловредов для захвата как можно большей части пользователей в свою экосистему. Начиная с установки «Защитника Mail.ru» и запретом менять поисковую систему и заканчивая выдачей своих электронных подписей сомнительным партнерам. Не спорю, у Mail Ru Group есть и хорошие сервисы (например, Cloud.Mail.Ru), но в данной статье я говорю только о их темной стороне.

Антивирусы, как правило, не реагируют на зловредов, так как формально это не вирусное ПО. И пользователь часто сам дает согласие на его установку, не заметив «галочку» в каком-нибудь установщике. За примером далеко ходить не надо.

Зоопарк зловредов достаточно широк и разнообразен, из самых популярных совершаемых действий можно выделить:
  • установка расширений в популярные броузеры
  • замена стартовой страницы
  • подмена поисковой системы
  • подмена ярлыков браузеров
  • внедрение баннеров и js скриптов на страницу
  • отключение обновлений браузеров
  • установка «своего» браузера по умолчанию
  • установка ПО, настойчиво требующего оплаты какого-то непонятного функционала
  • установка freemium игр без спроса пользователя
  • установка своих драйверов в систему для перехвата и модификации трафика


Вот так, например, выглядит Хабр на зараженной машине:



На данный момент в России 57 миллионов пользователей интернет, по нашим данным заражено зловредами порядка 12% — это огромная армия юзеров, на которых зарабатывают не чистые на руку производители софта.

За последние 30 дней мы помогли более 27 тысячам людей, проведя более 50 000 очисток.
У 70% установивших себе «Чистилку» мы обнаруживаем и удаляем вредоносы.

Вот отзывы некоторых из них:



Я представляю себе аудиторию хабра, как достаточно подкованных в IT людей способных очистить систему от подобных напастей. Но есть несколько «но»:
  • трата времени (на мой взгляд самый важный пункт)
  • отсутствие физической возможности приехать в ближайшее время к зараженной машине и провести квалифицированную чистку


И поэтому предлагаю хабраюзерам попробовать Чистилку.

Сайт программы: chistilka.com

P.S. если есть зловред — присылайте дистрибутивы, exe с файлопомоек, зловредные расширения и тому подобное на нашу почту support@chistilka.com

UPD: Чистилка изначально является portable версией. Установка требуется только для включения автоматической проверки при загрузке системы.
Будете использовать «чистилку»?

Проголосовало 636 человек. Воздержалось 232 человека.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Комментарии (63)


  1. Putin
    07.08.2015 14:15
    +8

    Святой человек, спасибо большое.


  1. Yavanosta
    07.08.2015 14:24
    +1

    Прикольно конечно, но через неделю будет полный интернет сайтов «почисти компьютер от вирусов» которые будет ставить вирусы. Как сейчас обновлялками браузеров, флэщ плеера и т.п.


    1. AraneusAdoro
      07.08.2015 15:40
      +8

      «Будет»? Никогда не видели поп-апы а-ля «Ваш компьютер заражён вирусами!!» или «Обнаружен вредоносный файл в C:\Program Files\. Удалить?»?


      1. mammuthus
        07.08.2015 19:48
        +2

        На вашем компьютере обнаружена подозрительная активность


    1. vlivyur
      07.08.2015 15:57
      +3

      У вас Андроид тормозит.


  1. sindrom
    07.08.2015 14:37
    +2

    Обязательно посоветую всем друзьям и знакомым!


  1. 7313
    07.08.2015 14:44
    +9

    исходник бы еще в комплект :) или хотя бы список производимых действий — все равно ж бесплатно раздаете. А то ведь самые злобные зловреды как раз и маскируются под такие вот чистилки…


    1. petro_64
      07.08.2015 15:06
      +3

      Свободное ПО и открытое ПО это разные вещи. Бесплатность не подразумевает автоматическую выкладку исходного кода.
      Действия Чистилки просты:
      — поиск и анализ процессов зловредов для их последующего удаление
      — поиск «плохих» расширений для браузеров
      — откатывает в настройках браузеров изменения внесенные зловредом


      1. Yaruson
        07.08.2015 15:44

        Прежде всего, спасибо вам за полезный и удобный инструмент! Положил на полочку рядом с Unchecky :-)
        Как насчёт электронной подписи к распространяемому EXE'шнику? Это помогло бы защититься от возможных подделок.


        1. petro_64
          07.08.2015 16:43

          Спасибо.
          О цифровой подписи думал, но острой необходимости пока не было. И стоит достаточно дорого, чтобы покупать ради «пусть будет»


          1. MaximChistov
            07.08.2015 17:03

            сделайте кнопку доната, тут многие будут непротив приплатить.


          1. Yaruson
            07.08.2015 17:08

            В первую очередь это вопрос доверия пользователей, почему бы не озаботиться об этом до того, как случится что-то плохое?
            60$ на два года в StartSSL — не очень много по-моему, как для частного лица, так и для организации. Можно и правда донатом собрать.


      1. CTpaHHoe
        08.08.2015 00:17
        +1

        действительно жаль, что исходники не выкладываете.
        хотелось бы поучаствовать в подобном проекте. а свой велосипед изобретать нет желания


  1. petro_64
    07.08.2015 14:44

    Не пришло в голову прикрепить к статье скриншот самой программы. Исправляюсь.
    Выглядит Чистилка так

    image


  1. norlin
    07.08.2015 15:10
    +2

    А как же Spybot – Search & Destroy? Для Винды ничего лучше не видел, по крайней мере, старые версии. Сейчас туда ещё антивирус запихали, ещё что-то, не знаю. Но старая версия всё ещё доступна: www.safer-networking.org/mirrors16


    1. PocketSam
      08.08.2015 15:10
      +1

      Что на счет Malwarebytes AntiMalware? Сканирует быстро, удаляет почти всю пакость за крайне редкими исключениями, базы обновляются регулярно. Несколько лет чистил им клиентские ПК по работе или знакомым по запросу. Ручное вмешательство после 10 минут сканирования программы обычно уже не требуется.

      Лично мой фаворит.


  1. DimZ
    07.08.2015 15:21
    -3

    ждем для мобильных платформ.


  1. masterkit
    07.08.2015 15:31
    +1

    Кто попробовал? Как впечатления?


  1. webboy
    07.08.2015 15:32

    Я так понимаю, что это аналог AdwCleaner? Попробуем Чистилку…


  1. thunderspb
    07.08.2015 15:41
    +1

    Выглядит стильно-модно-молодежно :)
    — Как оно определяет зловред-незловред? Ну и про расширения тоже самое.
    — каким образом вычищает? записи в реестре тоже подчищает?
    — тот же Baidu тоже сумеет вычистить?
    — какие браузеры поддерживаются?
    — удаляет все молча или можно выбрать что удалить и что оставить?
    — на каких версиях виндов работает (не знаю сильные ли различия в структурах xp-vista-w7-w8-w10)

    Скриншотов работы не хватает, на сайте не нашел ничего такого.

    зыж на чем форум сделан? :) и, кстати, ссылка Справка не работает.


    1. petro_64
      07.08.2015 16:16
      +1

      — ищет по наработанной базе и немного эвристики
      — останавливает процессы, удаляет файлы, реестр тоже чистит
      — да, baidu удалять умеет, но нужно учитывать, что зловреды не стоят на месте и часто обновляются
      — IE, Chrome, Firefox, Opera, yandex-browser, другие браузеры chrome-based
      — после сканирования предлагает отметить элементы к удалению
      — XP и выше

      Скриншоты есть на странице инструкции chistilka.com/how_to_use.php
      vBulletin. Спасибо за отзыв — поправил.


      1. thunderspb
        07.08.2015 16:19

        Спасибо. Еще бы ответ на вопрос ниже по политике конфеденциальности.

        Про скриншоты — там только скриншоты настроек, сам процесс и отчет не освещен, поэтому и спросил. Описаний про «предложит» не нашел.


        1. petro_64
          07.08.2015 17:21

          Добавлю немного позже


  1. Yaruson
    07.08.2015 15:55
    +8

    Разъясните, пожалуйста, первую часть пункта «Использование информации» из Политики конфиденциальности:

    Chistilka использует Ваши Персональные Данные в целях предоставления пользователям сервисов и потребностей и интересов пользователей.

    Вообще, документ в целом вызывает некоторое беспокойство у моего внутреннего параноика :-)
    Также, мы можем использовать, в том числе и сообщать третьим лицам по собственному усмотрению, IP-адрес или другие идентификаторы устройств, для идентификации пользователей, и можем использовать их в сотрудничестве с третьими лицами, такими как владельцы авторских прав, Интернет-провайдеры, поставщики услуг беспроводной связи и/или правоохранительные органы, в том числе разглашения такой информации третьим лицам, все на наше усмотрение. Такое разглашение может осуществляться без предварительного уведомления.


    1. petro_64
      07.08.2015 16:34
      +1

      Собираемая информация носит технический характер и хранится в обезличенном и агрегированном виде.
      Мы не храним персональные данные и не собираемся этого делать. Соблюдаем 152-ФЗ

      Сбор статистики нам необходим для развития и поддержания качества сервиса. Без обратной связи не получится быстро отслеживать обновления зловредов.


      1. Yaruson
        07.08.2015 17:05
        +4

        > Собираемая информация носит технический характер и хранится в обезличенном и агрегированном виде.

        Хорошо, это «Неперсонифицированные данные», о которых также говорится в Политике, к этому вопросов нет. Однако, что значит «в целях предоставления пользователям сервисов и потребностей и интересов пользователей» по-прежнему не понятно.

        >> Мы не храним персональные данные и не собираемся этого делать.

        “Персональные данные” означают информацию, связанную с Конечным Пользователем имя, персональные идентификаторы или другую информацию, которая может быть разумно использована, чтобы идентифицировать Вас лично, такие как ваш адрес электронной почты, номер мобильного телефона и др.

        Чистилка не будет продавать, арендовать или сдавать в аренду Ваши персональные данные третьим лицам за исключением случаев, описанных в настоящей Политике конфиденциальности.

        Мы не передаем Ваши персональные данные третьим лицам без Вашего предварительного на то согласия за исключением случаев, предусмотренных законом...

        Не храните, но собираете, используете и можете кому-то передать.
        Зачем? Неужели для технических целей недостаточно обезличенных данных?

        Также, мы можем использовать, в том числе и сообщать третьим лицам по собственному усмотрению, IP-адрес или другие идентификаторы устройств, для идентификации пользователей, и можем использовать их в сотрудничестве с третьими лицами, такими как владельцы авторских прав, Интернет-провайдеры, поставщики услуг беспроводной связи и/или правоохранительные органы, в том числе разглашения такой информации третьим лицам, все на наше усмотрение. Такое разглашение может осуществляться без предварительного уведомления.

        Не знаю, относится ли что-либо из перечисленного к персональным данным, но звучит это очень сомнительно.
        Запросил по электронной почте подробности о собираемой информации.


        1. petro_64
          07.08.2015 17:18
          +1

          Сам я не юрист и спорить с вами не могу.
          Спасибо за ваши комментарии. На письмо отвечу.


    1. petro_64
      07.08.2015 17:06
      +2

      Вообще подумал, попрошу юриста переработать данный раздел, чтобы он стал менее «людоедским».


  1. Beholder
    07.08.2015 15:56
    +14

    Кто все эти люди? И почему им можно доверять?

    Где гарантии, что кроме чистки чужого, оно не установит что-то своё?

    Отызвы? Отзывы мог написать специально обученный Вася.


  1. lola_term
    07.08.2015 16:02
    +4

    Чем лучше AdwCleaner? даешь сравнение со всем софтом, что есть в доступе ориентированным на такие проблемы, по-гиковски будет.


    1. petro_64
      07.08.2015 16:55
      +2

      Тем, что команда Чистилки знает специфику российских зловредов лучше, чем зарубежные компании.


      1. lola_term
        07.08.2015 19:47
        +1

        Протестировал вашу чистилку, ничего не нашла, это конечно верно :)
        Но собственно даже не показало прогресс поиска — чего же она конкретно она искала, сейчас больше напоминает на фейковые антивирусы если честно по дизайну да и в целом, если бы не ваша статья и общий обзор так и не смотрел бы даже в ее сторону…

        Сравниваю опять же с адваре, ккликенр и тд — вижу что находится в базе для очистки… т.е. пока сравнивать даже сложно, просто вам на заметку — а привыкши к ручной чистке и найдя после AdwCleacner был рад — привык к нему, могу отслеживать и контролировать очистку определенных папок, файлов, служб, ярлыков, реестра, назначенные задания, браузерные плагины, надстройки и т.д. (мало ли что забыл упомянуть), в общем самое удачное для вас решение мне думается будет совместить чистку адваре, рекламы и системы/дампов памяти, кусков файлов, и тд в целом…
        Тогда это будет поистине замечательная разработка, плюс не мешало бы в опен сорс проект — сейчас к пропиетарным продуктам не коммерческого назначения относятся с опаской :)
        Плюс ко всему не имеет достоверной цифровой подписи, права админа сразу требует… многие на это косо посмотрят.
        А в общем удачи и всех благ вам и вашему проекту. Надеюсь мои комментарии наведут уже на какие то мысли.


        1. petro_64
          07.08.2015 20:59

          Первая цель для меня — это простота в использовании. И я не вижу смысла перегружать обычного пользователя технической информацией.

          Перечисленный вами функционал в Чистилке присутствует.
          И после сканирования позволяет выбрать, что конкретно удалить.


        1. petro_64
          07.08.2015 21:07

          Интерфейс и процесс поиска максимально упрощен, с самого начала задавался целью именно о создании однокнопочной утилиты для максимально простой работы. Такую утилиту можно отдать соседке-блондинке чтобы она перестала постоянно звать почистить ей компьютер :-)

          Да, о проблемах недоверия и отсутствии подписи я знаю, буду думать как решить вопрос. Спасибо вам за отзыв!


          1. lola_term
            07.08.2015 21:33

            С передачей такого софта соседкам-блондинкам вы поспешили…
            Все же было бы круто включить расширенный интерфейс ;)


      1. lola_term
        07.08.2015 20:30
        +2

        При закрытии скрылась в трей, не уведомив даже, в настройках нашел этот пункт однако… в системе остался висеть открытый локальный порт 19399. Может при первом запуске хотя бы спросить чего желает пользователь?
        Посмотрим подробнее может он еще и отстукивает куда нибудь при запуске %)

        ага фаервол заблочил исходящий TCP h1net91-105-232-116.h1host.ru на порт 7118, после как не получилось попробовал пройтись через локальный 80ый порт… разрешать не стал, мало ли бекконнект какой нибудь повешается %)

        Зачем и куда оно стучит?)


        1. petro_64
          07.08.2015 20:51

          Порт 19399 нам раньше был нужен для взаимодействия с расширением Google Chrome, пока не научились чистить его более корректно. В любом случае этот порт наружу не смотрит и биндится на интерфейс localhost.

          Исходящий запрос 7118 — наша статистика. Там обычный http, посмотрите любимым анализатором. Стаистика содержит в себе обезличенные данные об объектах и результатах чистки, так мы пытаемся обнаруживать новые тенденции зловредных трендов. Да, брандмауэр ругается на нестандартный порт, это как говорится «так исторически сложилось», т.к. в то время сожительствовал с другими сервисами. В следующем релизе обязательно перенесу на 80-ый.


          1. petro_64
            07.08.2015 21:01

            И, забыл указать, при старте Чистилка пытается загрузить свежую базу зловредов.


            1. lola_term
              07.08.2015 21:26
              +2

              Спасибо за ответы! оперативненько)
              А что если люди не хотят участвовать в статистике? некоторые даже технические данные могут содержать информацию об конфиденциальном, частном используемом программном обеспечении либо коммерческом не публичном…


              1. petro_64
                07.08.2015 21:29
                -5

                если человек не хочет использовать Чистилку, то он ее не использует.


  1. Analitik_Telecom
    07.08.2015 16:51
    +1

    А RDP-клиент за что в чистилище попал? (


    1. petro_64
      07.08.2015 16:58

      пришлите скриншот в личку
      очень часто зловреды маскируются под легитимный софт или заражают их exe файлы


      1. Analitik_Telecom
        07.08.2015 22:44

        Не снял( Но точно RDP был. Запускал на офисном с установленным и активным Касперским. Завтра домашний прочекаю, как раз что-то пару раз мерзкая видеореклама в новой вкладке открывалась.


  1. susnake
    07.08.2015 17:07
    +3

    Я надеюсь всякие «гуарды» от майл ру, яндекса и т.д. там есть?


    1. petro_64
      07.08.2015 17:22
      +1

      Конечно, это самое массовое на что жалуются пользователи.


  1. 6a6ypek
    07.08.2015 17:16

    >У 70% установивших себе «Чистилку» мы обнаруживаем и удаляем вредоносы.
    Так она требует установки или нет? На офсайте написано, что не требует.


  1. petro_64
    07.08.2015 17:29
    +1

    Чистилка изначально является portable версией. Установка требуется только для включения автоматической проверки при загрузке системы.


  1. MaximChistov
    07.08.2015 17:41

    А как, кстати, собираетесь деньги зарабатывать? Тот же юрист вряд ли забесплатно работает.


    1. petro_64
      07.08.2015 17:53

      В данный момент все необходимые ресурсы предоставляет упомянутый в статье друг. Это не финансирование деньгами, а выделение времени специалистов компании, серверных мощностей и тому подобное.
      Юрист также работает на него и просто выделил немного времени для написания юридических документов к Чистилке.


  1. Kalobok
    07.08.2015 18:16

    Что-то не так со шрифтами в настройках. На первой же вкладке вижу чекбоксы «Сворачивать пр» и «Защита от повторной у». Места в окне достаточно, но надписи обрезались. И так выглядят все настройки.


    1. Lertmind
      07.08.2015 23:25
      +1

      У вас случайно не стоит настройка «Удобство чтения с экрана» (масштабирование) выше 100%? Если да, то попробуйте правый клик на exe -> Свойства -> Совместимость -> установите флажок Отключить масштабирование изображения при высоком разрешении экрана.


      1. Kalobok
        08.08.2015 00:56

        Нет, масштабирование отключено. Единственное, что могло повлиять — я смотрел на это дело через remote desktop. Позже проверю локально, но сильно сомневаюсь, что это оно.


      1. Kalobok
        08.08.2015 02:20

        Проверил. Та же фигня. Так что проблемы в программе.


        1. petro_64
          08.08.2015 09:34

          пришлите скриншот и версию windows


          1. Kalobok
            08.08.2015 16:42

            Винда семерка-64, про. Английская. Если нужны подробности, пишите, что именно.

            Скриншоты:
            image
            image


  1. maxdm
    07.08.2015 20:37

    Можно включить сабж в дистрибутив своего ПО?


    1. petro_64
      07.08.2015 20:54

      напишите на почту info@chistilka.com


    1. xapienz
      08.08.2015 14:15
      +1

      Чтобы добавить галочку в инсталяторе?
      «Установить Guard@Mail.Ru, Установить чистилку»


  1. Holms
    07.08.2015 21:00
    +9

    Извините конечно, но пока не увижу исходники никому рекомендовать не могу. Обжигался не один раз на таком.
    Ведь никто не отменяет ситуацию когда тотже маил.ру заплатит вам и вы будете пропускать ихнии подделки.


  1. ivanych
    07.08.2015 21:00
    +7

    У меня вопрос к администрации: не является ли сей пост неприкрытой рекламой в непрофильном разделе?


  1. kacang
    08.08.2015 05:52

    Искренне желаю вам удачи с проэктом!

    Не боитесь кункуренции с established игроками? Ведь как я понимаю, в этой среде главное — база сигнатур, а у них она уже есть и большая…


  1. galaxy
    08.08.2015 14:19
    +3

    Святой человек — лечил гадость, написал скрипт, решил поделиться… стойте, С++? Для задачи, где cmd хватит? Нет исходников? Она в автозагрузку хочет и какие-то обновления может скачивать? Домен, сайт, EULA, Политика конфиденциальности, компания Софт-Эксперты?
    Я вам не верю.
    Кнопки «Мы в социальных сетях» на самом деле делают Share — как некрасиво!


  1. UksusoFF
    08.08.2015 14:28
    +1

    Хотя бы список удаляемого ПО было бы неплохо посмотреть… Или каких-то тестов, типа такого.