Michael Kassner
Чтобы определить, какие процессы следует устранить, необходимо четко себе представлять, какие процессы в системе запущены. Лучший, на мой взгляд, способ обнаружения непрошеных гостей - сверка текущей картины процессов с базовым списком. Ниже описаны три приложения, позволяющие составить такой список.
1. Microsoft Process Explorer (ранее принадлежал Sysinternals)
6. Антивирусные программы
В последнее время уважение к антивирусам в пользовательской среде почти пропало. Я тоже сильно расстраиваюсь, когда мой любимый антивирус пропускает вредоносный код, который с легкостью обнаруживают другие программы. Тем не менее, оставлять компьютер совсем без антивирусной защиты не стоит - это слишком рискованно. Я предпочитаю многоуровневый подход к безопасности.
Выбор антивируса зависит исключительно от личных предпочтений. Вопросы из серии «какой антивирус самый лучший» всегда провоцируют бурю эмоциональных откликов. В целом, большинство пользователей сходится во мнении, что для домашнего применения подходят бесплатные версии любых антивирусных продуктов. Лично я предпочитаю Avast и Comodo .
Антивирусные и антишпионские программы следующего уровня не только выявляют, но и удаляют вредоносное программное обеспечение. Наверняка у многих возник вопрос: почему же не использовать их с самого начала? На самом деле, тут все тоже не так просто.
Сканеры обнаруживают вредоносное ПО с помощью файлов сигнатур и эвристических методов. Создатели вредоносных программ об этом прекрасно осведомлены и умеют модифицировать код с тем, чтобы аннулировать сигнатуры и обойти эвристику. Именно поэтому антивирусные и антишпионские сканеры до сих пор не являются панацеей. Может быть, когда-нибудь в светлом будущем...
И снова будьте осторожны: к выбору антивирусного сканера нужно подходить очень тщательно. Злоумышленники любят маскировать вредоносные программы под антивирусные и антишпионские сканеры типа antivirus 2009 , рекламируя их как универсальное решение всех проблем. Перечисленные ниже решения рекомендованы заслуженными экспертами.
7. Malicious Software Removal Tool от Microsoft
Malicious Software Removal Tool (MSRT) - это прекрасное средство для борьбы с вредоносным ПО общего характера. Хотя бы потому, что оно в состоянии определить - принадлежит сканируемый код Microsoft или нет. Главные достоинства этой утилиты:
8. SUPERAntiSpyware
SUPERAntiSpyware - это еще один сканер общего характера, способный обнаружить и удалить практически любую вредоносную программу. Я пользовался им неоднократно и нахожу его более чем адекватным решением.
По сведениям пользователей TechRepublic, SUPERAntiSpyware - единственная программа, способная полностью удалить вредоносный сканер antivirus 2009.
9. Anti-Malware от Malwarebyte
Anti-Malware от Malwarebyte (MBAM) - по моему опыту, самый эффективный из четырех перечисленных в этом разделе сканеров. Я узнал о нем от специалиста Arbor Networks, доктора Хосе Назарио (Jose Nazario) - эксперта мирового уровня по проблемам вредоносного ПО. Подробное описание программы приводится в моей статье «Антивирусные и антишпионские сканеры: MBAM - лучшее решение» (Malware scanners: MBAM is best of breed).
Тем не менее, даже MBAM не способен выявить абсолютно все вредоносные программы. Как я упоминал в той статье, приложение пропускает самые изощренные вирусы, в особенности руткиты. В таком случае я обращаюсь к следующему решению.
10. GMER
В статье «Руткиты: можно ли с ними бороться?» (Rootkits: Is removing them even possible?) я объяснял, почему так трудно обнаружить в системе руткит. GMER - одно из лучших решений для обнаружения и удаления руткитов, хотя бы потому, что так считает доктор Назарио.
Использование описанных в этой статье решений и методов серьезно затрудняет жизнь разработчикам вредоносного ПО, особенно если вы:
Вредоносное ПО (malware) - это назойливые или опасные программы, предназначенные для тайного доступа к устройству без ведома его владельца. Выделяют несколько типов вредоносного ПО: шпионские, рекламные, фишинговые, троянские, вымогательские программы, вирусы, черви, руткиты и программы, нацеленные на захват контроля над браузером.
Зачастую вредоносное ПО попадает на устройство через Интернет или электронную почту. Однако его источником могут стать и взломанные сайты, демо-версии игр, музыкальные файлы, панели инструментов, различное ПО, бесплатные подписки и все, что вы скачиваете из Интернета на свое устройство, не имеющее средств защиты от вредоносных программ.
Медленная работа, всплывающие сообщения, спам или сбои в работе зачастую говорят о том, что устройство заражено вредоносной программой. Чтобы проверить, так ли это, можно воспользоваться сканером вредоносного ПО (он является частью всех инструментов для удаления подобных программ).
Лучший способ избавиться от проблемы - воспользоваться надежным инструментом для удаления вредоносного ПО, который можно найти в любом качественном антивирусном продукте. Программа Avast Free Antivirus и ее компонент Anti-Malware могут защитить вас от вредоносного ПО, быстро и без затруднений удалив его с ваших устройств. Это не просто инструмент для удаления опасных программ. Это еще и постоянная защита от вредоносных атак, действующая в реальном времени.
Использование современного антивирусного решения - это самый эффективный способ предотвращения, обнаружения и отстранения вредоносного ПО с компьютера. Наиболее эффективным антивирусным решением является Avast.
Компьютерные вирусы могут значительно снизить производительность вашего компьютера, а также уничтожить все данные на жёстком диске. Они способны постоянно воспроизводить и распространять себя. Чем-то, напоминая этим человеческие вирусы и эпидемии. Ниже представлен список десяти самых опасных компьютерных вирусов в мире.
Nimda - компьютерный червь/вирус, повреждающий файлы и негативно влияющий на работу компьютера. Впервые был замечен 18 сентября 2001 года. Название вируса происходит от слова admin, написанного наоборот. Благодаря тому, что червь Nimda использует несколько методов распространения, он в течение 22 минут стал самым распространённым вирусом/червём интернета. Распространяется по электронной почте, через открытые сетевые ресурсы, общие папки и передачи файлов, а также через просмотр вредоносных веб-сайтов.
Conficker - один из наиболее опасных и известных червей, ориентированный на компьютеры под управлением операционных систем Microsoft Windows. Системы Linux и Macintosh к нему полностью устойчивы. Впервые был обнаружен в сети 21 ноября 2008. К февралю 2009 г. Conficker инфицировал 12 млн. компьютеров по всему миру, в том числе государственных, корпоративных и домашних. 13 февраля 2009, компания Microsoft пообещала награду в 250 000 долларов за информацию о создателях вируса. Была даже создана специальная группа по борьбе с Conficker, которую неофициально окрестили Conficker Cabal. Ущерб, нанесённый вредоносной программой, оценивается в $ 9,1 млрд.
Storm Worm - троянский конь типа бэкдор, заражающий операционные системы Microsoft Windows. Впервые был обнаружен 17 января 2007 года. Распространяется в основном по электронной почте письмом, который имеет заголовок «230 человек погибли в результате разгромивших Европу штормов» (230 dead as stоrm batters Eurоpe), а позже и с другими заголовками. Прикреплённый к письму файл содержит вирус, который проделывает в системе компьютера информационную «брешь», используемую для получения данных или рассылки спама. По подсчётам, вредоносной программой Storm Worm было заражено около 10 млн. компьютеров.
Чернобыль также известен как CIH - компьютерный вирус, созданный тайваньским студентом Чэнь Ин Хао в июне 1998 года. Работает только на компьютерах под управлением Windows 95/98/ME. Считается одним из самых опасных и разрушительных вирусов, так как после активации он способен повредить данные микросхем BIOS и уничтожить всю информацию с жёстких дисков. Всего от Чернобыля пострадало около 500 000 персональных компьютеров по всему миру, убытки оцениваются в $ 1 млрд. Автор вируса Чэнь Ин Хао ни разу не привлекался к ответственности и сейчас работает в компании Gigabyte.
Melissa - первый почтовый макровирус, инфицировавший около 20% всех компьютеров по всему миру. Впервые был замечен в марте 1999 года. Вредоносная программа рассылалась по первым 50 адресам Outlook Express. Письмо имело прикреплённый файл LIST.DOC (вирус), якобы содержащий пароли к 80 платным порносайтам. Программа была придумана Дэвидом Смитом из Нью-Джерси. 10 декабря 1999 он был приговорён к 20 месяцам лишения свободы и штрафу в 5 000 долларов США. В то время как ущерб, нанесённый вирусом, составил около $ 80 млн.
SQL Slammer - компьютерный червь, который генерировал случайные IP адреса и отправлял себя по этим адресам. 25 января 2003 года он поразил сервера Microsoft и ещё 500 000 серверов по всему миру, что привело к значительному снижению пропускной способности интернет-каналов, а Южную Корею, вообще, отключил от интернета на 12 часов. Замедление было вызвано крахом многочисленных маршрутизаторов, под бременем чрезвычайно высокого исходящего трафика с заражённых серверов. Вредоносная программа распространялась с неимоверной скоростью, за 10 минут она инфицировала около 75 000 компьютеров.
Code Red - специфический тип компьютерного вируса/червя, атакующий компьютеры с работающим веб-сервером Microsoft IIS. Впервые был обнаружен 15 июля 2001. Эта вредоносная программа в основном заменяла содержимое страниц на поражённом сайте на фразу «HELLO! Welcome to http://www.worm.com! Hacked By Chinese!». Менее чем за неделю «красный код» поразил более 400 000 серверов, включая сервер Белого дома. Общая сумма ущерба, нанесённая вирусом, составляет около 2,6 миллиарда долларов.
Sobig F - компьютерный червь, заразивший за 24 часа 19 августа 2003 года около миллиона компьютеров под управлением операционных систем Microsoft Windows, тем самым поставив рекорд (хотя позже он был побит вирусом Mydoom). Распространялся по электронной почте письмом с вложением. После активации вирус, искал адреса на заражённом компьютере и отправлял себя по ним. Sobig F сам деактивировался 10 сентября 2003 года, а компания Microsoft пообещала $ 250 тыс. за информацию о создателе вируса. На сегодняшний день преступник не пойман. Ущерб, нанесённый вредоносной программой по подсчётам, составляет $ 5–10 миллиардов.
Mydoom - почтовый червь, заражающий компьютеры под управлением Microsoft Windows. Эпидемия началась 26 января 2004 года. Вредоносная программа стала очень быстро распространяться при помощи электронной почты, письмом с темой «Привет», «Тест», «Ошибка», «Система доставки почты», «Уведомление о доставке», «Сервер отчётов», которое имело вложение. При открытии червь рассылал себя по другим адресам, а также модифицировал операционную систему таким образом, что пользователь не мог зайти на сайты многих новостных лент, антивирусных компаний и к некоторым разделам сайта Microsoft. Вирус также создал огромную нагрузку на интернет-каналы. Mydoom содержит текстовое сообщение «Энди, я просто делаю свою работу, ничего личного, извините». Был запрограммирован, прекратить распространятся 12 февраля 2004.
ILOVEYOU - компьютерный вирус, успешно поразивший более трёх миллионов персональных компьютеров под управлением Windows. В 2000 году распространялся электронной почтой, письмом с темой «ILOVEYOU» и вложением «LOVE-LETTER-FOR-YOU.TXT.VBS». После открытия приложения, червь рассылал себя по всем адресам из адресной книги, а также выполнял многочисленные изменения в системе. Ущерб, нанесённый вирусом, составляет $ 10–15 миллиардов, из-за чего он был занесён в Книгу рекордов Гиннесса, как самый разрушительный компьютерный вирус в мире.
Поделится в соц. сетях
Иногда, работающий вирус можно засечь с помощью диспетчера задач, на вкладке с запущенными процессами. Но тут возникает другая проблема, обычно вредоносные программы маскируют себя под системные процессы. Как их в этом случае найти? Ведь системных процессов может очень много и какие из них не настоящие, на первый взгляд, отличить трудно.
Сегодня мы познакомимся с несколькими простыми способами обнаружения вируса используя диспетчер задач, а также процесс удаления пойманного нарушителя.
Программу не нужно устанавливать, для работы достаточно просто распаковать архив с ней, а затем выполнит запуск. На верхней панели открываем меню сервиса. В нем можно наблюдать два нужных для нас пункта: диспетчер процессов и менеджер автозапуска.
Давайте, для начала, заглянем в менеджер автозапуска. В нем можно увидеть все, что запускается после включения компьютера. Программа выделяет зеленым все процессы и программы, которые проверенные и не представляют опасности. Обращаем внимание на процессы, которые выделяются черным цветом. Они не проверенные и не известные. Изучите их по внимательнее, среди них могут попадаться те, что Вы совсем не устанавливали. Именно такие процессы могут оказаться вирусами.
А теперь, посмотрим в диспетчер процессов. Как мы видим, тут отображен список процессов, запущенных в данный момент. Они, как и в предыдущем случае, выделяются цветом, по такой же логике. Уделяем такое же внимание «черным» процессам.
Взгляните на рисунок выше, на нем показан очень подозрительный процесс, который отображает себя как системный. Вот только AVZ выделяет его черным цветом. Очевидно, что эта программа совсем не то, за что она выдает себя. Скорее всего это вирус, либо другая вредная программа, которая во всех браузерах лепит рекламные баннеры.
В первую очередь мы делаем клик правой кнопкой по этому процессу и открываем папку, в которой он находится. После чего, завершаем этот процесс в диспетчере задач и затем удаляем данное приложение и все другие подозрительные файлы, которые находятся в этой папке.
Хоть подозрительную программу мы и удалили, но она может восстановится из какого-нибудь другого источника на жестком диске. Поэтому, после этой процедуры, необходимо выполнить сканирование своего компьютера на наличие вредоносных программ.
Выполнить сканирование компьютера можно любой антивирусной программой, которой Вы пользуетесь. Но для надежности, лучше выполнять сканирование несколькими программами. Например, нас снова может выручить уже знакомый AVZ.
В самой программе просто отмечаем флажками все носители, которые необходимо проверить и нажимаем на кнопку запуска сканирования «Пуск».
Теперь нужно немножко подождать, минут пятнадцать, пока программа проверяет файловую систему.
Лучше всегда использовать по несколько утилит, для проверки своего компьютера. Поэтому Вы можете воспользоваться, например, еще ADW Cleaner или Mailwarebytes.
К сожалению, некоторые настройки по умолчанию в операционной системе Windows, могут представлять определенную угрозу. Самой известной проблемой является автозапуск программ. Если подключить зараженный носитель информации к компьютеру, то он может автоматически заразится, благодаря такой функции. Для того, чтобы избежать подобного, рекомендуется отключать автозапуск. Это конечно не всегда удобно, ведь после этого не будет выполняться автоматический запуск программ с дисков и придется это делать вручную, но зато Ваша система будет намного более защищенной от внешних угроз.
Найти и удалить вредоносную программу можно тремя способами. Иногда помогает один, иногда другой, но бывает, что приходится использовать все три метода.
Первым делом скачайте и запустите антивирусный сканер, обязательно отличный от установленного на вашем компьютере. Например, если у вас установлен антивирус Касперского, используйте . Если установлен Dr. Web используйте и так далее.
Следующий способ – скачать и запустить проверку ПК антишпионскими программами. В большинстве случаев, если антивирусный сканер не найдет вредоносную программу, с задачей справиться специальная антишпионская программа.
Третий способ, попробовать найти вредоносную программу самостоятельно, с помощью программы AnVir Task Manager.
Этот вариант я и попробую описать в этой статье. с сайта производителя. Приложение портативно, так, что устанавливать его нет необходимости. Разархивируйте в нужную директорию и запустите файл AnVir.exe.
Как уже не раз писалось, вредоносные программы обожают прописываться в автозагрузке. Там первым делом и будем ее искать.
Важно. Обратите внимание на цветовую индикацию уровня безопасности процесса или приложения. Классификация как обычно от зеленого (хорошо) к красному (плохо).
Вредоносное приложение, скорее всего, будет находиться в красной зоне. Но, ни в коем случае не бросайтесь удалять все "красные" приложения. По крайней мере, у меня, как видно на картинке, там вполне безопасный софт. Так, скорее всего, будет и у вас. Шпионской программы в моей системе нет, но ведь главное понять сам принцип ее обнаружения.
В окне отображаются все запускаемые в автозагрузке приложения, их размещение и компания производитель. Более подробную информацию можно получить, подведя к нужному приложению курсор мыши. Хотя возможно будет удобней просто включить панель полной информации "Вид" – "Детальная информация".
Теперь окно программы будет выглядеть так.
Теперь представим, что вы нашли подозрительное приложение, но не знаете, что оно из себя представляет. Выделите этот процесс, вызовите правой кнопкой контекстное меню и кликнете на строке "Проверить на сайте". После этого действия приложение будет отправлено для проверки на сервис Virustotal. Этот сервис работает с полусотней известных антивирусов и программ анти-шпионов, так, что доверять ему можно. Если приложение прошло проверку, скорее всего оно безопасно.
Но, давайте будем считать, что сервис не очень надежен. Продолжим проверку приложения. Опять же выделите приложение и в контекстном меню выберите строку "Искать в интернете". В открывшемся браузере вы увидите все результаты поиска по данному приложению.
Проверив приложение на сервисе Virustotal, и прочитав информацию о нем в интернете, вы точно будете знать, что с ним делать.
Допустим, в автозагрузке вредоносное приложение не найдено. Следующим шагом продолжите поиск в запущенных процессах.
Как видите в этом окне запущенных процессов гораздо больше, чем приложений в предыдущей вкладке. Не стоит бояться, алгоритм поиска тот же. Опять же первым делом проверяйте процессы из красной зоны. Выделить процесс и все так же как описано выше.
Важно. Завершать процесс обязательно. Запущенный процесс не даст удалить приложение.
После завершения процесса перейдите в папку расположения этой программы и удалите ее.
Конечно же, поиск и удаление вредоносных программ не все, что умеет AnVir Task Manager. Другие полезные возможности этого менеджера будут описываться в следующих статьях.
