 |
|
| Главная | Статьи | Soft | Форум | Архив | Скачать программы |
|
|
|
||||||||
|
||||||||
|
||||||||
 |
Автор: Дмитрий Комащенко http://www.comizdat.com/
Вирусы давно уже не новость - и борьбу с ними вполне успешно ведет множество антивирусных программ. Практически каждому пользователю приходится работать в компании с каким-то из антивирусов. Но бороться можно и в одиночку… При использовании любых антивирусных программ необходимо постоянно устанавливать обновленные базы вирусов - для гарантии того, что антивирусная программа сможет отловить новый, ранее не известный ей вирус. Со временем большинству пользователей надоедает такая забота и слежение. Обновление антивирусных баз прекращается, защита от ослабевает - и вирусам дается шанс, который они зачастую и используют. И вот, подхватив вирус, жертва не знает, что делать. Но к счастью ее, с некоторыми вирусами в Windows можно бороться самостоятельно. На первый-второй рассчитайсь Как известно, существует довольно много разновидностей вирусов, и со всеми ими бороться не удастся - причин тому много. Поэтому гораздо проще вовремя обновлять антивирусные базы - чем самостоятельно искать потом "иголку в стоге сена". Вручную можно попытаться бороться только с резидентными, файловыми, загрузочными вирусами и интернет-червями. Самостоятельная борьба с вирусом происходит путем блокирования его работы в системе и дальнейшим поиском следов вируса в файлах программ и операционной системы. После этого вирус удаляется вместе с программой. Будьте готовы к тому, что вам придется переустанавливать ПО и ОС. Все необходимое у вас должно быть под рукой (компакт-диск с Windows и дистрибутивы необходимых программ). Как вирус попадает в память? Прежде всего, следует помнить, что вирус - это тоже программа, и для работы ей необходимо находиться в памяти. Работающий в памяти вирус становится одним из процессов Windows. Для того чтобы вирус попал в память, кто-то должен его запустить. Этих "кого-то" не так уж и много: загрузочный сектор HDD, "Автозагрузка", раздел реестра, сам пользователь и одна из программ, в которую внедрился вирус. Как правило, пользователь может запустить вирус один раз (непосредственно или косвенно в программе), и дальше вирус начнет размножаться и работать. Из загрузочного сектора вирус попадает в память вместе с ОС в начале загрузки ПК.
Во втором находятся служебные программы и драйверы, которые запускаются первыми. В большинстве случаев вирус попадает в память с помощью составных системных или прикладных программ, зараженных вирусом. В таких ОС, как Windows 98/ME, для распространения вируса по системным файлам нет никакой преграды. Но в Windows 2000/XP есть служба защиты системных файлов - то есть, если провести какие-либо изменения или удалить системный файл, то служба автоматически восстановит его и отобразит данное событие в системном журнале.
Прежде чем приступить к определению имени процесса, принадлежащего вирусу, необходимо обратить внимание на то, что вы можете по ошибке завершить и служебный процесс. Результат данного действия предсказать тяжело (это зависит от того, какой процесс завершить). К примеру, может зависнуть ПК. Или же исчезнет "Индикатор языка клавиатуры". Но в любом случае ваши личные файлы останутся целыми, пострадает только ОС (эта проблема решается простой ее переустановкой). Чтобы избежать таких ситуаций, необходимо в ОС Windows 2000/ХР не завершать процессы, которые запущены не от вашего имени. В ОС Windows 98/МЕ при использовании программы Amn Task Manager нужно обратить внимание на столбец "Авторские права". Процессы c авторскими правами, принадлежащими компании Microsoft, завершать не следует. Определение процесса вируса в ОС Windows 98/ME Зная, как вирус попадает в память, приступим к определению имени процесса, принадлежащего вирусу. Определить процесс необходимо в первую очередь, поскольку важно знать, какой из множества процессов принадлежит вирусу. Если этого не сделать, то все попытки исцеления ПК ни к чему не приведут. Если просто заменять зараженные файлы незараженными, то для вируса не будет никакой преграды на пути его внедрения в файл - это ходьба по замкнутому кругу. В ОС Windows 98/ME можно воспользоваться программой Amn Task Manager, предназначенной для мониторинга и управления процессами в Windows 95/98/Me (или аналогичной по выполнению действий). Она покажет, какие программы находятся в памяти, и сможет убрать оттуда любую из этих программ. В окне Amn Task Manager показаны все процессы, которые выполняются в памяти. Теперь нужно понять, какой из них является собственно вирусом. Для этого в программе Amn Task Manager необходимо просмотреть авторские права и описание программ, которые присутствуют в памяти (вирусы не имеют в себе такой информации, поскольку их код должен быть небольшим, насколько это возможно). Для просмотра нужно добавить в окно программы столбцы Авторские права и Описание файла в окне Настройка =>Опции =>Процессы (Завершенные процессы). Процессы с отсутствующими "Авторскими правами" и "Описанием файла" являются подозреваемыми. После исключения из них тех, что запустили лично вы, и тех, что стоят в "Автозагрузке" (по вашей воле), нужно запомнить их или записать. Дальше необходимо завершить работу "подозреваемых процессов". После этого просто запускаются любые программы, что есть у вас на ПК, и завершается их работа. В конце можно посмотреть, появился ли хоть один из подозреваемых процессов в памяти. Тот, что появился и остался, и является вирусом. С помощью программы Amn Task Manager можно определить, какой процесс был запущен вирусом. Для этого нужно вызвать контекстное меню на процессе вируса и выбрать там "Найти предка" - тогда выделенная линия переместится на интересующий нас процесс. Эта функция программы дает возможность узнать, где сидит вирус. К примеру, если этим процессом является Explorer - значит, вирус был запущен из "Автозагрузки". В противном случае - это было сделано зараженной программой. Не исключено заражение самого Explorer'а - тогда предком должен быть MSGSRV32. И так далее - по цепочке до самого компонента ядра ОС (файл KERNEL32.DLL), в него тоже может внедриться вирус. Определение процесса вируса в ОС Windows 2000/ХР В этих ОС удалить вирус проще. Как уже было сказано, у них есть служба защиты системных файлов. Это значит, что ОС не даст заменить свои системные файлы какой-нибудь программе. Если такие попытки были, пользователь может узнать об этом при помощи программы "Просмотр событий". К сожалению, эта защита не дает 100-процентной надежности.
Теперь можно приступить к определению процесса, принадлежащего вирусу. Здесь программа Amn Task Manager не поможет, потому что она просто не способна работать в этих ОС. Нужно воспользоваться средствами ОС, то есть программой "Диспетчер задач" Windows. В ней необходимо обратить внимание на процессы, которые запущены от вашего имени,- они, собственно, и являются подозреваемыми. Теперь для удобства отключаются все программы, которые стоят в "Автозагрузках", и перезагружается ПК. Из числе тех процессов, что остались, исключаются системные (они запускаются от имени пользователя): taskmgr.exe, ctfmon.exe, explorer.exe, wcmdmgr.exe. Дальше можно завершить работу наших подозреваемых процессов. После просто нужно запускать и завершать работу всех приложений, которые есть на ПК. Появившийся и оставшийся процесс является вирусом. Удаление вирусов Если удалось определить имя процесса в памяти, принадлежащего вирусу, можно "исцелять" ПК. Производится перезагрузка ПК и освобождение памяти от вируса. Нужно проверить наличие запуска этого процесса в "Автозагрузке" кнопки "Пуск" всех пользователей. Также необходимо посмотреть наличие запуска в программе "Настройка системы" (команда msconfig). Автозагрузка - это не единственное место, где он может быть, но убедиться нужно. Дальше находятся все "измененные" EXE-файлы за последний месяц или лучше за два месяца с помощью программы поиска. Все найденное можно скопировать в один каталог. Дальше проверить программы на наличие в них вируса поможет файловый менеджер FAR (или Norton Commander). В коде программы ведется поиск строки This program cannot be run in DOS mode или This program must be run under Win32.
Необходимо отметить, что одна из этих строк обязательно присутствует в начале кода программы. Задача заключается в том, чтобы найти еще одну такую строку. Если строка найдена - значит, в этот файл внедрился вирус. Дальше нужно проверить все найденные файлы подобным способом. После того как вы узнали, какой из файлов заражен, они заменяются незараженными (выполняется с помощью простого копирования файлов). Для этого вам понадобится другой ПК без вируса. Если такого ПК нет, вам придется удалить зараженные файлы и переустановить те приложения (по необходимости и ОС), из которых вы их удалили (не делайте деинсталляцию программ, вы можете запустить вирус!). В случае, когда вы не нашли процесса в памяти, то вирус у вас работает только в момент запуска зараженной программы и, выполнив свои действия, завершается. В ОС Windows 98/ME его можно увидеть в закладке "Завершенные процессы", а в Windows 2000/ХР увидеть нельзя (имея только встроенные средства). Бороться с ним нужно так же, как и в предыдущем случае, разве что имя процесса знать не нужно. Когда вы выполнили все описанные выше действия по удалению вируса из ПК, а вирус снова размножается и работает, то, скорее всего, к вам попал загрузочный вирус. Его удаление в ОС Windows 98/ME происходит путем перезаписи загрузчика (команда FDISK /MBR). Ее можно выполнять и при работе в среде Windows (через сеанс MS-DOS). В случае с ОС Windows 2000/ХР нужны дискеты аварийного восстановления. Загрузившись из них, выполните команду:
NO PASARAN Как видно из всего описанного выше, работа по удалению вируса из ПК - дело непростое, описать которое в полной мере невозможно. Поэтому не стоит забывать об антивирусе. В случае если вы не смогли справиться с вирусом самостоятельно и антивирус тоже не помогает, у вас есть выбор: можете дождаться выхода новых антивирусных баз или удалить ОС со всеми установленными программами. Нет необходимости форматирования диска, но если вы хотите быть уверенными, что вирус удален, придется это сделать.
*** Смотрите также:Все статьи рубрики Безопасность |
|
|||||||||||||||
|
|
| Карта сайта | Рассылка, Контакты, Реклама у нас | |
| Copyright © Internet Zone. Информация об использовании материалов сайта |
В "Автозагрузку" он попадает в редких
случаях. В реестре он может запускаться из ключа HREY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run
или HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run. В первом ключе
находятся обычные программы, которым нужно автоматически запускаться вместе с ОС.
