Компьютерные советы (сборник статей) - [34]

SpywareGuard — после инсталляции программа автоматически помещается в автозагрузку и постоянно находится в оперативной памяти компьютера. Программа не требовательна к системным ресурсам. Настроек в ней практически нет — настраиваются всего несколько функций с возможностью задания пароля на смену настроек в этих функциях. Программа послужит отличным помощником антивирусному монитору и серьезной программе для поиска и устранения шпионских модулей (сайт).

Ad-Aware — это продукт, созданный для обеспечения надежной защиты компьютера от известных угроз: кражи личных данных, агрессивной рекламы, сайтов-паразитов, мошеннических программ, некоторых традиционных троянов, номеронабирателей, вредоносных программ (Malware), браузерных «перехватчиков» (Browser hijackers) и шпионских компонентов. Программа использует технологию идентификации последовательности кодов (Code Sequence Identification — CSI), которая обеспечивает не только защиту от известных троянов, но и превентивную защиту от ранее неизвестных угроз. Для большей защиты Ad-Aware SE Personal Edition также может сканировать дополнительные потоки данных (Alternate Data Streams — ADS) в томах файловой системы Windows NT (NTFS).

Для ритуала нам понадобятся:

1) виртуальная DOS-машина (по-нашему просто cmd);

2) редактор реестра regedit.

Поехали!

Запускаем regedit, открываем ветвь

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

(наиболее излюбленное место троянов; NB: данная ветвь — не единственная, где могут сидеть трояны, поэтому не помешает заглянуть еще и сюда:

HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;

HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run;

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce)

HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

При обнаружении записи непрошенного гостя удаляем эту запись. Далее необходимо убить процесс, принадлежащий «чужому», для чего очень полезно «знать своих в лицо»: Explorer, Lsass, Services, System, Winlogon, Alg, Vsmon, Ctfmon, Svchost, Csrss, Smss. Естественно, что помимо перечисленных, в диспетчере задач можно обнаружить и другие, «мирные», процессы — те, которые принадлежат запущенным и резидентно выполняющимся приложениям. Это, например, kavsvc, принадлежащий антивирусу Касперского, zonealarm, принадлежащий брандмауэру, и т. д. Особое внимание следует обратить на так называемые процессы-маскировщики, имитирующие истинные: explore, sys, svshost, winlogin, systrey и т. д. При невозможности остановки «злопроцесса» средствами диспетчера задач можно воспользоваться утилитой Process Explorer и ей подобными. Кстати, вышеприведенная утилита окажется весьма и весьма полезной и «в мирное время», т. к. с ее помощью можно завершить даже те процессы, которые штатными средствами не завершишь;).

«Контрольный выстрел» — именно так можно назвать заключительную часть нашего ритуала: необходимо найти и уничтожить тело. А вот тут-то и самое время вспомнить про старый добрый ревизор, который, в отличие от полифагов, в свежих базах не нуждается. В качестве примера более чем уместно привести программу-ревизор Adinf. Принцип работы Adinf основан на сохранении в специальной базе основных данных о каждом логическом диске в системе. При первом запуске в таблицах запоминаются объем оперативной памяти, образы главного загрузочного сектора, загрузочных секторов, список сбойных кластеров, структура дерева каталогов, длины и контрольные суммы файлов. Когда вирус/троян заражает компьютер, он изменяет объект, в который внедряется исполняемый файл, главный загрузочный сектор, FAT-таблицу. Если ревизор обнаруживает на диске изменения, характерные для действия вируса/трояна, он предупреждает об этом пользователя. Важным отличием ADinf от других существующих программ-ревизоров является доступ к дискам без использования функций операционной системы. Такой метод доступа к дискам позволяет успешно обнаруживать стелс- вирусы (вирусы-невидимки). При условии, что был сделан снимок чистой системы, найти и стереть «лишний» файл не составит особого труда.

Не исключено, что при проведении «ритуала» могут возникнуть нештатные ситуации: файл может активно использоваться системой, и все попытки его удалить успехом не увенчаются. Есть ли выход? Конечно же, есть! Все, что нам надо — это удалить тело из-под другой системы — например, загрузившись из-под Linux LiveCD.

Ну что ж, вот, пожалуй, и все. Перезагрузка системы, после чего последний штрих — проверка открытых портов командой netstat — an. Результат команды — список открытых портов

При обнаружении подозрительного порта… процедуру изгнания повторить…