По
материалам
http://forum.vidnoe.net/index.php?showtopic=2068
Сразу хочется пошутить, что это невозможно. . Но приступим!
Итак, представим стандартную ситуацию. Ваш компьютер, долгое
время работавший без сбоев и нареканий, неожиданно начал
вести себя странно, жить своей жизнью, и возможно, в нем
поселился вирус. Возможно, ибо появление многих вредоносных
программ увидеть или ощутить на компьютере невозможно. А
иногда их обнаружение происходит уже в процессе удаления
ваших данных с компьютера. (смайл)
Но не пугайтесь. Предупрежден – значит вооружен. Попытаемся
вычислить и вылечить заразу самыми возможными и
легкодоступными средствами.
Итак, шаг первый – в не зависимости от того, есть у вас на
компьютере антивирусная программа или нет – нам необходима
проверка компьютера на вирусы, причем программой со свежими
антивирусными базами. Если вы уверены, что ваша антивирусная
программа цела, не пала жертвой «заражения», вы можете
обновить антивирусные базы данных и просканировать ваш
компьютер текущим антивирусом.
Если такой уверенности нет – идем другим путем. Скачиваем
антивирусную утилиту, к примеру, DrWeb-cureit! Скачать можно
(для пользователей нашей сети, обновляется регулярно), или с
сайта самого dr.web. Обратите внимание, что многие вирусы
знают адреса сайтов антивирусных компаний, таких как
drweb.ru , kaspersky.ru, и либо не пускают на него, либо не
дают скачивать с него файлы, это может являться для вас
одним из тревожных сигналов, что в системе не все хорошо.
Скачав утилиту DrWeb-cureit! запускаем ее.
Читаем диалог, и очевидно, нажимаем «ОК»
После запуска происходит быстрая проверка компьютера на
вирусы.
Нам же, думается, необходима полная проверка компьютера на
вирусы, хотя есть вероятность, что и в процессе «быстрой
проверки» вирусы уже будут обнаружены.
В этом случае либо смотрим на реакцию программы, она выдаст
вам диалог с вопросом о наличии зараженного файла и
предложит варианты решения «обезвреживания» вируса. В
противном случае по окончании проверки надо посмотреть
напротив всех найденных файлов пункт «Статус» и «Действие»,
при необходимости выбрать не удалённые или не излёченные
файлы, и кнопками находящимися ниже них выбрать действие
которое вы хотите применить к зараженным файлам. Возможно,
программа предложит перезагрузку, соглашайтесь и
перезагрузите компьютер, затем вновь запустите программу, и
если быстрая проверка уже ничего не обнаружила – выбирайте
«Полную проверку». Поставьте точку напротив соответствующего
пункта в левой половине программы, затем в правой половине
программы, под значком с надписью «Dr.Web» нажмите кнопку с
зеленым треугольником, и ждите результатов сканирования.
Необходимо понимать, что чем больше объемы жестких дисков на
вашем компьютере, тем дольше будет сканирование, потому
необходимо запастись терпением. Временами, возможно, (на
стареньких компьютерах) будет казаться, что компьютер завис
– подвигайте мышью, если она движется по экрану, то
вероятнее всего, просто проверяется большой архив, с большим
количеством вложенных файлов и папок.
По результатам сканирования действия такие же, как и после
быстрой проверки.
Теперь мы можем с 50% уверенностью сказать, что вирусов на
компьютере нет.
Почему 50%? Да потому что мы не можем со 100% гарантией
сказать, что утилита вычистила весь компьютер, работа по
обезвреживанию только начата…
Самое главное помнить одну вещь – на компьютере (по крайней
мере, с операционной системой от Майкрософт), ДОЛЖНА быть
установлена антивирусная программа, постоянно обновляющая
свои антивирусные базы. Не будем дискутировать на тему « - я
годами без антивирусов сижу, и ничего не случается, все
работает, и прочее». Если у вас действительно так – эта тема
не для вас, пропустите ее.
Продолжим.
Первого апреля мир с содроганием ждал активизации
огромнейшей бот –сети (группы зараженных компьютеров),
зараженных Kido, известной также как Conficker и Downadup.
Kido представляет серьезную угрозу для всего
интернет-сообщества. Эта вредоносная программа впервые была
обнаружена в ноябре 2008 года. По оценкам "Лаборатории
Касперского", в настоящее время Kido заражено не менее 5
млн. компьютеров. Эта сеть зараженных машин потенциально
может стать самым мощным ресурсом киберпреступников в
Интернете. Например, она может дать злоумышленникам
возможность совершать крайне мощные DDoS-атаки на любые
интернет-ресурсы, красть конфиденциальные данные с
зараженных компьютеров и распространять нежелательный
контент (в частности, проводить крупномасштабные
спам-рассылки).
При наличии зараженных компьютеров в локальной сети
повышается объем сетевого трафика, поскольку с этих
компьютеров начинается сетевая атака. Антивирусные
приложения с активным сетевым экраном сообщают об атаке
Intrusion.Win.NETAPI.buffer-overflow.exploit
Анализ функционала этой программы не исключал возможной
активизации 1-го апреля гигантской зомби-сети (ботнета,
находящейся под управлением авторов Кидо, однако в этот день
эксперты "Лаборатории Касперского" не зафиксировали
какой-либо активности в обмене данными между зараженными
машинами и потенциальными центрами управления ботнетом. Тем
не менее, по-прежнему нельзя исключать возможности
активизации ботнета, при этом последующие за ним действия
злоумышленников пока не поддаются прогнозированию. Анализ
ситуации показывает, что, активизация ботнета может
произойти в любой день, начиная с 1 апреля.
Итак, что же делать? Не паниковать. Качаем или тут:
Распаковыаем утилиту из архива, запускаем, запускается
сканирование немедленно, ждем результата…
По окончании проверки утилита выдаст количество зараженных
файлов, либо просто предложит нажать любую клавишу. В любом
случае - нажимаем. Утилита все сделает сама.
Читаем про это тут -
Если на
компьютере, на котором запускается утилита KKiller.exe ,
установлен Agnitum Outpost Firewall, то по окончании работы
утилиты обязательно перезагрузите компьютер.
Далее.
Вы уверены, что на вашем компьютере не поселилась программа,
ворующая личные данные? Или замечали появление «агрессивной»
(проще говоря, постоянно висящей на экране и почти не
отключаемой) рекламы? Или постоянной подмены стартовой
(домашней) страницы вашего браузера другой? Уверены в
отсутствии мошеннических программ, нетрадиционных троянов,
номеронабирателей, вредоносных программ (Malware),
браузерных "перехватчиков" (Browser hijackers) и шпионских
компонентов?
Нет? Тогда идем или сюда и качаем Ad-Aware .
Устанавливаем, запускаем.Программа предложит обновиться.
Соглашаться или отказаться – право ваше, все зависит от
законности устанавливаемого вами продукта, но мы не
рассматриваем это сейчас.
Выбираем пункт «Scan now».
Затем в центре выбираем «Perform full system scan», затем
жмем «Next»
Ждем результатов сканирования. Опять же стоит заметить, что
сканирование может занять очень продолжительное время.
Опасные объекты есть. Жмем плюсики рядом с ними – надо
узнать их степень опасности.
Итак, кукисы (следы сайтов, оставляемые ими в браузерах),
сильной опасности не представляют, хотя справедливости ради
их стоит удалять, некоторый записи в реестре, которые не
понравились программе, представляют еще меньшую опасность, а
вот третий пункт – win32 TrojanDownloader? Понятия не имею,
откуда он взялся, хотя вполне мог быть в составе, какой ни
будь вполне безопасной программы. Справедливости ради
расправимся с ним – ту программу можно будет позже
переустановить. Итак, ставим галочку (ки) рядом с
интересующими нас объектами, и нажимаем «Next».
Получаем запрос на удаление. Соглашаемся.
Руткиты.
Rootkit (руткит,
от root kit, то есть
«набор 'а») — или набор программ для скрытия
следов присутствия злоумышленника или вредоносной программы
в системе.
Термин Rootkit исторически пришёл из
мира , и под этим термином понимается набор или специальный , которые взломщик устанавливает на
взломанной им компьютерной системе сразу после получения
прав суперпользователя. Этот набор, как правило, включает в
себя разнообразные утилиты для «заметания следов» вторжения
в систему, , сканеры, , , замещающие основные
утилиты UNIX (в случае неядерного руткита). Rootkit
позволяет взломщику закрепиться во взломанной системе и
скрыть следы своей деятельности путём сокрытия файлов,
процессов, а также самого присутствия руткита в системе.
На данный момент, на мой взгляд, самым простым (но наглядно
не самым легкой) программой для лечения руткитов является
AVZ
по совместительству она является и антивирусом, достаточно
неплохим, но в данный момент мы рассматриваем ее как
средство удаления руткитов.
Скачиваем или тут
Программа упакована в простой архив, потому распаковываем
ее, открываем распакованную папку.
Запускаем файл AVZ. Сразу же нажимаем меню «Файл» и выбираем
«Обновление баз»
Нажимаем «Пуск»
Далее применим следующую тактику – потратим время, но
проверим систему еще раз, отметим галочками слева все ваши
жесткие диски, справа попытаемся по возможности спаси от
удаления какие то (возможно), зараженные файлы, задав
условие лечения примерно как на картинке.
Нажимаем кнопку «Пуск» и ждем результата.
В большинстве случаев система сама, как мы ей и указали,
принимает решение.
Естественно, вышеописанные программы – не исключения.
Существует множество других, не менее надежных и достойных
программ, подобных описанным выше.
Если вам интересно – посетите:
Вместо заключения.
Конечно, я привел лишь самые легкие, простые пути проверки и
лечения компьютера для операционной системы от Microsoft,
уже возможно зараженного. Исходя из того, что даже
установленный антивирус не спас от заражения систему,
проверка данными программами и утилитами – для нашего с вами
спокойствия. Современные антивирусные пакеты умеют
защищаться от всех вышеописанных опасностей, но мы
предполагаем, что наш старенький антивирус нам не помог.
Следует помнить - данные действия ни в коей мере не заменят
вам полноценной антивирусной программы, а лишь помогут в
случае крайней необходимости.
Идеальная составляющая защиты компьютера – это антивирус, и
файрвол (или вариант с встроенным в
антивирус файрволом, встроенными эвристическими
анализаторами (анализ поведения и активности программы или
процессов)), периодическое сканирование компьютера. Однако
думаю, не ошибусь, если скажу что проверка вышеописанными
программами и утилитами, лишь повысит надежность системы.