Самооборона от троянцев

На моем компьютере самопроизвольно установилась программа, постоянно присылающая мне порнографию. Я пробовал ее удалять, но она присылается снова. Что мне делать?

Ответ: В этом случае необходимо найти и уничтожить "резидента", который обеспечивает восстановление злонамеренного софта при каждом старте системы. Существуют разные пути маскировки "троянцев", однако путей этих немного и средства для лечения от пробравшихся таким образом зловредных программ чаще всего можно найти там же, где и эти программы. В интернете :-).

Для начала проверьте (с помощью утилиты конфигурирования системы msconfig), не запускается ли при загрузке системы "непрошеная" программа.

Чтобы воспользоваться утилитой msconfig нажмите <Windows+R> или выберите Пуск > Выполнить, введите msconfig и нажмите <Enter>. Когда утилита запустится, выберите закладку startup. Поищите в списке подозрительные команды или пути к файлам.

К сожалению, название файла вряд ли будет очевидно указывать на "троянца", поэтому действовать придется по методу исключения. Особое подозрение у вас должны вызвать команды типа:

c:\windows\regedit.exe/s с:\windows\system\x3z73t.tmp

Такая команда изменяет ваш системный реестр каждый раз, когда вы загружаетесь. Если вы найдете подобную программу, уберите отметку напротив ее и затем нажмите OK. После чего необходимо будет удалить файл, присутствовавший в подозрительной команде. Для нашего примера это c:\windows\system\x3z73t.tmp.

Если вы не можете определить троянца с первого взгляда, тогда просто по очереди убирайте отметки возле запускающихся программ и перезагружайте систему, до тех пор пока нежелательный эффект не исчезнет.

В Windows 2000 утилиты msconfig нет, поэтому мы предлагаем воспользоваться утилитой Startup Control Panel v2.8, размещенной на КП-диске. Эта утилита представляет собой свободно распространяемый аплет, который добавляется в контрольную панель (см. рис. 1.). Он позволяет не только удалять, но и добавлять программы к автоматическому запуску при загрузке системы.

Что делать, если вышеописанный метод не помог? Существует значительная вероятность того, что зловредная программа использует JavaScript,- поэтому попробуйте ограничить возможности обработки сценариев вашим Internet Explorer. Для этого в меню Сервис > Свойства обозревателя для зоны Интернет выберите пользовательскую настройку уровня безопасности (кнопка Другой). Затем в списке найдите Сценарии. Для переключателя Активные сценарии выберите Отключить или Предлагать (см. рис. 2). Если вы отключите активные сценарии, все они не будут выполнятся, в том числе и полезные. Если же вы выберите опцию Предлагать, то вполне возможно, что постоянные вопросы Internet Explorer будут вас раздражать.

Есть две программы, которые могут помочь найти троянов такого рода. Это Lavasoft Ad-aware и PepiMK Spybot Search & Destroy.

Есть также вероятность того, что троян использует подсистему Browser Help Object (BHO), которая предназначена для запуска плагинов внутри Internet Explorer. Обычно при загрузке нового BHO вы получаете предупреждающее диалоговое окно. Но по умолчанию IE позволяет некоторым сценариям, например триггерам, загружающим инсталляторы, выполнятся автоматически. В результате достаточно всего лишь посетить злонамеренно составленный сайт, чтобы закончить сеанс работы уже с трояном в виде BHO-аплета. А так как BHO-аплеты выполняются внутри IE, обычные антивирусы их не ловят.

Положение усугубляется тем, что эту технологию используют многие сайты - например, с помощью BHO реализован Google Toolbar. Поэтому полное их отключение сильно повлияет на вашу работу. Выборочное же включение/выключение BHO для разных сайтов пока не реализовано. Кроме того, некоторые из троянов этого рода можно ликвидировать с помощью вышеуказанных Lavasoft Ad-aware и PepiMK Spybot Search & Destroy. Они же, кстати, позволяют предотвратить передачу некоторыми программами информации о вашей активности в интернете, что, вообще говоря, тоже является нарушением конфиденциальности и, следовательно, нарушением безопасности. Другое дело, что некоторые сайты предлагают свой контент только с обязательным "довеском", о котором они пользователя уведомляют. В этом случае, удаляя "довесок", не правы уже вы.

Антишпионские программы

Spybot Search and Destroy v1.2 Программа позволяет обнаруживать на ПК программы типа spybot и adbot (шпионские и рекламные агенты), которые отвечают за показ нежелательной рекламы и утечку конфиденциальной информации. Spybot Search and Destroy, находя такие модули, удаляет их или, если удаление невозможно, заменяет безвредными "пустышками". При этом ПО, содержащее эти агенты, как правило, продолжает работать, сохраняя только нужную пользователю функциональность. Кроме того, Spybot Search and Destroy позволяет (для браузеров Internet Explorer, Netscape Communicator и Opera) очищать историю активности пользователя (последние посещаемые сайты, открываемые файлы, запускавшиеся программы и cookies). Как раз эта информация, как правило, и похищается spybot'ами, поэтому ее удаление сохранит ваши личные предпочтения от неизвестных пока "троянов". Программа свободна для распространения. Ad-aware v6.181 Программа умеет сканировать встроенные и сменные носители ПК, а также обнаруживать и удалять большинство известных spybot'ов и adbot'ов. Все функции выполняются с помощью интуитивно понятных помощников. В последней (6.181) версии переработан пользовательский интерфейс - с целью защиты от чересчур усердных в удалении ботов пользователей :-). Дело в том, что некоторые программы перестают работать после "убийства" связанного с ними рекламного агента. Поэтому в новой версии и предусматривается возможность отката удалений. Ad-aware свободна для некоммерческого использования.