Боремся с компьютерным вирусом без антивирусника

Полагаясь на всесильные антивирусы, мы ставим себя в уязвимое положение. Да, часто они помогают, но еще чаще – нет. Вирмейкеры не дремлют и сутками напролет изучают способы обхода популярных антивирусов. Зачастую, эти усилия дают  положительный результат. Я всегда люблю говорить, что надежных антивирусов не бывает. Тем не менее, многие мастодонты этой отрасли постоянно повышают качество своих продуктов, внедряя в них различные дополнительные модули. Уже почти все антивирусы снабжаются песочницей («sandbox»), в которой  запущенная подозрительная программа не может навредить вашему компьютеру. В антивирусы активно встраивают файрволлы. Вроде бы владельцам лицензионных продуктов и постоянного интернета, чтобы обновить свои антивирусные базы, бояться нечего. А вот это самое нехорошее заблуждение. Я не собираюсь ругать конкретные компании – у каждой из них есть свои плюсы и минусы. Проблема, скорее, в неопытности пользователя. Виндосовское мышление уже прочно приучила своих пользователей, что программу можно поставить себе на компьютер и забыть. В итоге, мы соглашаемся с настройками по-умолчанию, что не очень хорошо, а ведь часто антивирусы настроены таким образом, что либо им абсолютно все не нравится (этим грешат, как правило, иностранные продукты), либо настроены таким образом, что могут пропустить подозрительный файл. А ведь нужно всего лишь покопаться в настройках  антивируса и он даст большую защиту. Но речь статьи не об этом. Итак, у вас стоит хороший антивирус и вы не о чем не переживаете. Однако однажды вы с неудовольствием для себя отмечаете, что ваш компьютер стал работать медленнее. Конечно, это не всегда говорит о том, что в недрах вашего железного друга таится коварная малварь. Возможно, что причиной торможения операционной системы является засоренный реестр или сильно фрагментированные файлы. В этом случае необходимо провести меры по оптимизации работы системы и посмотреть на результат. Тормоза системы сохранились? Что ж,  давайте приступим к  мероприятиям по выселению  нежелательного жильца с вашего жесткого диска. В пользу того, что ваш компьютер заражен, может говорить отключение regedit, диспетчера задача, пропажа различных системных утилит, прекращение работы программ, которые раньше работали нормально, уменьшение свободного места на жестком диске. Все это всего лишь малая толика всех симптомов. Однако эти наиболее характерные. Несмотря на то, что  компьютерным вирусам порой приписывают почти мифические свойства, на деле они как были, так и остались программами, имеющими расширение exe или dll. И запускаются они почти по тем же принципам, что и обычные программы. Чаще всего, инструкция по запуску малвари находится в системном реестре (тогда regedit стопроцентно отключен) или же в файлах инициализации (ini файлах). Иногда особенно продвинутые вирусы заражают несколько популярных виндосовских программ типа блокнот, калькулятор и т.д.,  запустив которые вы автоматически запустите зверушку. Но это уже редкость. Итак, для поиска вируса нам понадобятся инструменты от Марка Руссиновича – procmon, procexp и autoruns

Как понять, что  компьютер заражен вирусомработающий autoruns

Procmon и procexp используются для мониторинга системных процессов Как понять, что  компьютер заражен вирусом

окно с работающим procexp

Данные утилиты  позволяют в ручную узнать о том, где прячется наш зверек  и самостоятельно его удалить из системы. Они должны быть у каждого уважающего себя компьютерщика. Скачать их можете здесь. Тем не менее, если у вас мало пока опыта для отлова вирусов, лучше поручить это утилитам от антивирусных компаний. Здесь  варианта всего два – это CureIt от Dr.Web и AVZ, который сейчас принадлежит Касперскому. Лично я больше люблю первый, однако вы вольны выбирать сами. Перед тем, как вы скачали эти продукты (они бесплатны для домашнего пользования), следует все же промониторить свою систему утилитами от Руссиновича. На скриншоте procexp вы можете увидеть, что она напоминает диспетчер задач, вот только в ней отображены и скрытые процессы. Обратите внимание на поле Company Name – если процесс себя ассоциирует с этим полем (дает ему имя), то, как правило, он безопасен. А вот если стоит uknown или какой-нибудь 234544345.exe на него ссылается – просмотрите путь к этому файлу и удалите его.  Однако может потребоваться убить перед этим процесс.  Кроме того, в утилите autoruns снимите галочку с этой непонятной программы, которая может быть вирусом. Если ничего не вышло – просканируйте систему CureIt или AVZ и попытайтесь понаблюдать за системой. Утилиты Руссиновича сразу покажут изменения. Конечно, желательно вам еще обзавестись утилитами от него regmon и Tcpview. Тогда можно вообще самостоятельно душить любую малварь. Однако описание, как их использовать слишком объемно и поэтому, с вашего позволения, я оставлю его на другую статью. Как видите, вирусы можно обнаружить и самому. Все это только вопрос времени и навыка. Однако, в любом случае, вам это все пригодится.

Рубрика: Хакинг

Добавить комментарий

Внимание! Не будут добавляться комментарии в виде откровенного спама или прямого анкора на свои сайты. Все спамеры будут передаваться в базу Akismet

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой: