Многие пользователи часто сталкиваются с ситуацией, когда на их компьютере вдруг появляется вирус. Это может произойти по совершенно различным причинам и, как правило, всегда в неподходящий момент. К сожалению, далеко не всегда вирусы удается своевременно и успешно блокировать. Иногда против вируса оказываются бессильны и антивирусные программы и межсетевые экраны. Возможно, устарели антивирусные базы, антивирус был неправильно настроен, а то и вообще его банально не оказалось на Вашем компьютере. У пользователя возникает закономерный вопрос: что делать, если его компьютер стал жертвой вируса? Форматировать диск, переставлять операционную систему, нести компьютер в ремонт?

Во-первых, не спешите. Даже если у вас под рукой нет подходящей антивирусной программы, можно попытаться удалить вирус вручную. И оказывается, в 80-90% случаев это можно сделать достаточно просто. Как и каким образом это можно сделать, является предметом обсуждения данной статьи. Ситуацию, когда вирус обезвреживается вручную, я бы назвал экстремальным лечением, когда под рукой нет никаких средств, ни антивирусной программы, ни специализированных утилит.

Чтобы вылечить болезнь, нужно сначала поставить точный диагноз. Врач обычно проводит всестороннее обследование больного, мерит температуру, берет анализы, ставит диагноз и затем назначает правильное лечение. Эти же правила действуют и для компьютерных вирусов. Теперь обо всем этом по порядку.

Признаки заражения

Для начала хорошенько вспомните, как вы узнали, что ваш компьютер заражен? Вам сказал об этом ваш товарищ, когда принес домой от вас зараженную флешку? Или об обнаружении вируса сообщила установленная на вашем компьютере антивирусная программа, которая так и не может его вылечить? А может быть ваш компьютер стал жутко тормозить, что мешает нормальной работе? Или же в момент загрузки выскакивает какая-то непристойная картинка с сообщением, что ваш компьютер будет заблокирован, если вы срочно не отправите SMS на указанный номер? Если такая ситуация вам знакома — то данная статья окажется вам полезной. Знание болезни поможет правильно диагностировать вирус, а значит и вылечить от него компьютер.

Для начала: вирусы бывают разные, а, следовательно, существуют и разные способы их проникновения в систему, поведение, признаки обнаружения и лечение. Нужно знать, что вирус — это обычная компьютерная программа, которая активизируется в момент запуска операционной системы или запуска другой зараженной программы. Любая программа работает в окружении операционной системы, и если ее своевременно выявить и удалить, то последствия заражения можно минимизировать, а то и вовсе избежать. Как мы увидим ниже, в большинстве случаев это возможно.

Перечислим еще раз основные признаки заражения:

1. В момент загрузки системы или в ходе работы активизируется предупреждающее окно Вашей антивирусной программы. Нужно отметить, что на некоторых сайтах есть «приманки», очень похожие на предупреждающие окна распространенных антивирусных программ. Нажав на такое «окно», вы рискуете получить настоящий вирус. Поэтому убедитесь в том, что это сообщение выдала действительно Ваша антивирусная программа. Лучше будет закрыть все окна браузера и вызвать антивирусную программу, находящуюся обычно в правом углу на панели задач. Если предупреждающее сообщение появится снова, значит Ваш компьютер подвергся вирусной атаке.
2. Значительное замедление работы компьютера. Любая вредоносная активность требует времени для своего выполнения, разумеется это делается за счет имеющихся системных ресурсов (памяти, процессора, сети) компьютера пользователя.
3. Неожиданно выскакивающие баннеры и окна сообщений при загрузке или в ходе работы компьютера. Причем это необязательно непристойные изображения или сообщения вида: «Ваш компьютер заражен!». Гораздо чаще последствия вирусной активности выражаются в сбое системных программ, и выдача предупреждающих сообщений вроде: «Generic Host Process for Win32 Services — сервис не может быть запущен...».
4. Перестала нормально загружаться операционная система Windows.
5. Подозрительная сетевая активность компьютера. Генерация значительного сетевого трафика при отсутствии загруженного браузера и иных запущенных программ. Как и в случае с п.3, это легко выявляется с помощью диспетчера задач taskmgr (вкладка Сеть).

Далее необходимо знать, что компьютерные вирусы отличаются по способу их активизации или загрузки. Перечислим самые распространенные из них.

Способы активизации вирусов

1. Файлы автозапуска autorun.inf и desktop.ini. Самая простая для обнаружения категория вирусов, запускающихся из проводника Windows путем просмотра папок пользователя. Вирус состоит из двух частей, одна из которых представляет собой загрузчик - текстовый файл, обычно имеющий атрибуты «скрытый» (hidden), «системный» (system) и «только для чтения» (readOnly), маскирующийся под стандартный файл autorun.inf или (реже) desktop.ini. В текстовом файле прописывается путь к телу вируса. При обращении к папке, содержащей загрузчик, вирус автоматически активируется и перезаписывается в корень всех логических дисков. Обычно такой вирус распространяется на зараженных флешках. Обнаруживается и обезвреживается с помощью файлового менеджера, например Far Manager или Total Commander, с включенным режимом просмотра скрытых файлов.

2. Загрузочные файловые вирусы. Достаточно большая категория вирусов, запускающихся в момент загрузки системы. Немного истории. Когда-то в эпоху MS DOS автоматическая загрузка файлов в момент старта системы осуществлялась с помощью всего двух текстовых файлов config.sys и autoexec.bat. Вирусы прописывали себя в эти файлы и борьба с загрузочными вирусами сводилась к удалению строк загрузки из этих двух файлов. Сейчас все значительно усложнилось, появился целый ряд мест возможной локализации загрузочных вирусов и способов их загрузки. Файлы autoexec.bat, config.sys, а также более поздние способы загрузки системы с использованием файлов win.ini, system.ini и control.ini уже давно канули в лету. На смену им, начиная с Windows 95, появился двоичный файл реестра. Файл реестра редактируется редактором реестра regedit. Файл реестра представляет собой древовидную структуру редактируемых полей — параметров, которые можно изменять, удаляя ссылки на загружаемые вирусные файлы и сами файлы.

3. Boot вирусы. Категория загрузочных вирусов, размещающихся в таблице разделов диска (Master Boot Record) или в первом загрузочном секторе диска (Вoot Record). Активизируются в начальный момент загрузки системы. Проявление активности boot вируса, как правило, характеризуется выводом подозрительной текстовой надписи с просьбой совершить какие-либо действия: ввести код, отправить SMS и т.д. Например, вирус WinLocker при активизации выдает текстовое сообщение с просьбой пополнить телефонный счет. Наличие графического изображения в сообщении не является отличительным признаком этого типа вирусов. В отличие от других вирусов, boot вирус загружается сразу после тестирования BIOS, непосредственно перед загрузкой Windows, поэтому он не может быть удален стандартными средствами - необходимо восстановить начальный загрузчик системы, для чего Вам потребуется системный загрузочный диск.

4. Службы и драйвера устройств. Наиболее продвинутый и скрытый способ загрузки вирусов в качестве системной службы или устройства. Как правило, такие вирусы являются полиморфными троянами и могут маскироваться под системные процессы. Выявление вирусов и блокирование их активности сводится к остановке службы, восстановлению оригинальных файлов системы, например, с помощью восстановления более раннего состояния системы, последующему сканированию антивирусом и удалению зараженных файлов из файловой системы и реестра.

5. Зараженные EXE файлы. Группа вирусов, распространяемых с помощью запуска зараженных EXE файлов. Некоторые зараженные файлы маскируются под системные команды или папки. В отличие от системных команд, размещаемых обычно в каталоге C:\Windows\System32, такие файлы могут размещаться где угодно, например в корзине или в основном каталоге системы C:\Windows. Некоторые вирусы создают вместо каталогов на диске одноименные EXE файлы с отображением папок, а рабочие каталоги делают скрытыми. Вирус активизируется при нажатии значка папки в проводнике. При обнаружении такие файлы нужно удалить, а одноименные рабочие каталоги восстановить, убрав системные атрибуты hidden, system и readOnly. Некоторые зараженные файлы представляют собой модификацию существующих системных файлов (например, explorer.exe) с добавленным вредоносным кодом. Такие файлы может вылечить только антивирусная программа, но если их лечение оказывается невозможным, то файлы необходимо удалить и скопировать оригиналы с установочного диска. Выявить зараженные EXE файлы иногда можно с помощью внимательного просмотра каталогов и сверкой размера файлов и даты их создания. Для этого можно использовать вывод списка файлов системных каталогов с сортировкой по дате их создания или модификации. Особое подозрение должны вызывать скрытые файлы и папки. Нужно помнить, что пока зараженные файлы не запущены, они безопасны и их можно легко вылечить или удалить антивирусом. Поэтому вирусописатели стараются, чтобы вирусы активировались вместе с загрузкой системы и маскировались под системные процессы, а не лежали мертвым грузом в системе. Некоторые запущенные вирусы умеют маскироваться от обнаружения антивирусными программами, поэтому лечение антивирусом лучше производить в защищенном режиме под встроенной учетной записью Администратора.

6. Сетевые вирусы. Класс вирусов - червей, использующих для распространения сетевые службы и протоколы, такие как пиринговые сети P2P, протоколы ICQ, Skype, электронную почту и т.д. Выявляются с помощью мониторинга сетевой активности, при активации могут загружать и устанавливать другие компоненты в уязвимую систему. Защита заключается в настройке межсетевого экрана, обеспечения сетевой безопасности (отключения ряда ненужных сетевых служб, блокирования доступа к ресурсам компьютера из сети и др.), а также фильтрации спама.

7. Скрипты и макросы. Достаточно большой класс вирусов, написанный на распространенных скриптовых языках и внедренных в тело документа. Это может быть вредоносная JavaScript или Visual Basic Script программа, внедренная в HTML страницу, запускающая разнородное содержимое ActiveX (которое может загрузить активную часть вируса), а также скрипт Visual Basic for Application, внедренный в документ Microsoft Word, Excel или в шаблон normal.dot. Защита от этих вирусов заключается в своевременной профилактике, распознавании и устранении возможностей их проникновения в систему, путем фильтрации почты и рекламы, отключении макросов в настройках Microsoft Office, запуска ActiveX в браузерах, а также установки обновлений безопасности Windows.

Удаление зараженных файлов

Удаление зараженных файлов лучше всего производить с помощью специального файлового менеджера Far Manager или Total Commander с включенным режимом просмотра скрытых файлов:

Если на зараженном компьютере не установлен файловый менеджер, можно воспользоваться командным интерпретатором. Для работы с командной строкой в Windows XP необходимо последовательно нажать кнопку «Пуск», «Выполнить» и набрать в окне команду cmd. В Windows 7 запуск командной строки необходимо выполнить в привилегированном режиме, нажав правой кнопкой мыши на значок «Командная строка» в меню «Стандартные программы» и выбрав пункт «Запуск» от имени Администратора:

Для осуществления перехода в нужный каталог можно воспользоваться системной командой cd <имя каталога>. Если имена каталогов содержат пробелы, то их необходимо заключать в кавычки, например:

C:\> cd "Documents and Settings"

Для просмотра содержимого каталога можно использовать системную команду dir с ключом /ah. Для просмотра содержимого файла можно использовать команду type. При обнаружении подозрительной строки в файле необходимо удалить указанные файлы командой del, предварительно сняв с них системные атрибуты с помощью команды attrib с ключами -s -r -h:

Отметим, что данный метод удаления работает лишь в том случае, если вирус не активирован в памяти компьютера. Если вирус уже активирован, удалить запускаемый файл вам скорее всего не удастся — нужно сначала удалить процесс из памяти компьютера.

Кроме корня диска вирусы часто автоматически запускаются из скрытых системных папок пользователей:

C:\Documents and settings\<Пользователь>\Application Data и

C:\Documents and settings\All Users\Application Data — для Windows XP, или

C:\Users\<Пользователь>\AppData\Roaming и C:\Users\All Users\AppData\Roaming – для Windows 7.

Все загрузочные файлы, обнаруженные в данных папках (особенно скрытые), необходимо удалить.

На всякий случай стоит проверить стандартное место автозагрузки через пункт Главного меню: «Пуск» - «Программы» - «Автозагрузка». Это тривиально, но иногда загрузчик вируса размещается на самом видном месте.

Каталог автозагрузки пользователя размещается в локальной папке:

Главное меню\Программы\Автозагрузка, размещаемой в соответствующих папках:

C:\Documents and settings\<Пользователь> и C:\Documents and settings\All Users — для Windows XP, или

C:\Users\<Пользователь> и C:\Users\All Users – для Windows 7.

Также нелишним будет просмотреть системные каталоги C:\Windows и C:\Windows\System32 на предмет наличия в них незнакомых запускаемых файлов и библиотек, скрытых или имеющих дату создания/модификации близкую к текущей. Это можно сделать, нажав клавиши <Ctrl> + <F12> в Far Manager и выбрав режим сортировки файлов по дате создания.

Вывести список файлов, отсортированный по дате создания/модификации, можно также с помощью команды dir с ключом /OD. Системные файлы, как правило, имеют дату создания, совпадающую с датой выхода дистрибутива Windows или обновления. Если дата модификации достаточно свежая и вы не проводили никаких обновлений системы, то есть вероятность, что данные EXE файлы являются вирусами.

Стоит отметить, что некоторые вирусы умеют маскироваться и изменять файловые атрибуты, в том числе и дату создания.

Удаление вирусного процесса

Зачастую вирусные программы отслеживают вносимые изменения в файлы autorun.inf и в записи реестра. Поэтому прежде чем вносить изменения на диске необходимо сначала удалить вредоносный процесс с помощью Диспетчера задач. Диспетчер задач вызывается комбинацией клавиш <Ctrl> + <Alt> + <Del> или системной командой taskmgr. Чтобы посмотреть список активных процессов, необходимо выбрать вкладку «Процессы». Если процесс имеет нестандартное имя, значительно грузит процессор или проявляет высокую сетевую активность, выявляемую по содержанию вкладки «Сеть», то это почти наверняка вирус. Для удаления нежелательного процесса следует нажать кнопку «Завершить процесс» или выбрать правой кнопкой пункт «Завершить дерево процессов», если процессов несколько и они зависимы друг от друга.

Стоит отметить, что имеется класс вирусов, которые не отображаются в списке процессов стандартного Диспетчера задач, а также не могут быть завершены с помощью него. Просмотреть и снять процессы системного уровня можно с помощью панели управления дисками Far Manager, нажав комбинацию клавиш <Alt> + <F1> и затем выбрав пункт меню «Список процессов». В этом качестве Far Manager работает эффективнее стандартного Диспетчера задач. Кроме того с помощью клавиши можно вывести подробную информацию о каждом процессе и об используемых им системных ресурсах, что часто полезно для проведения анализа. Если у вас нет под рукой Far Manager, можно воспользоваться командой tasklist, выводящей список всех активных процессов системы. Системная команда taskkill с ключами /IM или /PID может завершить запущенный процесс по его имени или идентификатору, соответственно. Если процесс не может завершиться, попробуйте использовать эту команду с ключом /F.

Хорошо написанный вирус удалить таким способом вам все же не удастся, так как он может отследить попытку своего удаления через другой свой процесс и через некоторое время активироваться заново. Поэтому для того, чтобы уменьшить вероятность активирования вируса при запуске системы, перед процедурой выявления и зачистки вирусных файлов желательно загрузиться в защищенном режиме и войти в систему под встроенной учетной записью Администратора.

Удаление задач планировщика

Иногда некоторые вирусные программы прописывают запись для своей загрузки в планировщике. Такие записи необходимо просмотреть и удалить. Планировщик запускается по нажатию пункта из главного меню Программы — Стандартные — Служебные — «Назначенные задания» или пункта Панели управления «Назначенные задания» (в Windows 7 пункт меню называется «Планировщик», соответствующий системной оснастке tasksched.msc). Для удаления запланированного задания нужно выбрать соответствующую строку, содержащую задание и нажать кнопку «Удалить» или <Del>.

Еще один способ удаления задания — воспользоваться командой Schtasks с ключом /query, выводящей список всех заданий планировщика. Для удаления задания можно вызвать эту команду с ключами /Delete /TN <имя задания> и нажать клавишу <Y> для подтверждения удаления. Данная команда работает как в Windows XP, так и в Windows 7.

Загрузка в защищенном режиме

В защищенном режиме загружается минимальное количество драйверов и системных служб, поэтому потенциальная вероятность удалить вирус выше. Кроме того, если вирус внедрен под вашей учетной записью, то это еще не означает, что он также будет активирован под учетной записью Администратора. В общем, попробовать стоит. Встроенная учетная запись Администратора по умолчанию отключена. Для включения учетной записи Администратора в Windows XP необходимо войти в «Панель управления» — «Администрирование» - «Управление компьютером» (оснастка compmgmt.msc), выбрать пункт «Локальные группы» — «Пользователи», выбрать учетную запись Администратора, нажав на нее правой кнопкой мыши, выбрать пункт «Свойства» и в открывшемся окне свойств снять опцию «Отключить учетную запись».

В Windows 7 оснастка «Локальные пользователи и группы» (lusrmgr.msc) вызывается из меню «Компьютер» — «Управление». Далее необходимо проделать все вышеперечисленные действия для активации учетной записи Администратора.

Еще один способ включить учетную запись Администратора - воспользоваться командой: net user Администратор /active:yes. Данная команда работает как в Windows XP, так и в Windows 7. Необходимо помнить, что в английской версии Windows учетная запись носит наименование Administrator, что соответствует команде: net user Administrator /active:yes. После включения учетной записи Администратора, необходимо полностью перезагрузить компьютер. В ходе выполнения перезагрузки, до появления графического окна Windows необходимо держать нажатой клавишу <F8>, пока система не выйдет в текстовый режим с вариантами загрузки:

Из данного меню выберите пункт «Безопасный режим» и продолжите загрузку системы. Также можно воспользоваться пунктом «Безопасный режим с поддержкой командной строки» или «Загрузка последней удачной конфигурации», если работоспособность системы была нарушена. После загрузки в безопасном режиме можно продолжить зачистку системы от вирусов, как было указано выше.

Восстановление загрузки системы

Если загрузка в защищенном режиме невозможна или вирус активируется также и в защищенном режиме, попробуйте запустить восстановление системы на дату, предшествующую заражению, выбрав подходящую для этой цели контрольную точку. Восстановление системы в Windows XP запускается из меню «Программы» — «Стандартные» — «Служебные». Если в вашей системе по какой-либо причине восстановление системы было отключено, то загрузиться без запуска вирусного процесса вы можете только используя консоль восстановления с установочного компакт диска Windows, нажав во время загрузки системы клавишу <F3>. Так как установочный компакт диск не всегда под рукой, по этой причине я не рекомендовал бы отключать восстановление системы, проверив наличие соответствующей опции, а также зарезервировать необходимое место на системном диске. Это гарантирует выполнение следующих двух условий:

1. в системе будут автоматически создаваться контрольные точки;
2. операции, связанные с восстановлением системы, будут обратимы.

Восстановление системы также можно запустить с помощью команды rstrui.exe, размещаемой в каталоге C:\Windows\System32\Restore. Опция «Отключить восстановление системы» находится в вкладке «Восстановление системы» окна «Свойства системы» (в Windows 7 вкладка называется «Защита системы»). Окно «Свойства системы» можно открыть, выбрав значок «Система» из Панели управления или нажав правой кнопкой мыши на значок «Мой компьютер» и выбрав пункт меню «Свойства».

Если Windows не восстанавливается и не загружается, как в обычном, так и в защищенном режиме, это может означать, что испорчены или отсутствуют необходимые системные файлы и библиотеки. В этом случае нужно прочитать текстовые сообщения, выдаваемые системой во время начальной загрузки. Если в них есть упоминания о невозможности загрузки каких-либо системных файлов или библиотек, то их можно попытаться скопировать с установочного компакт диска Windows или с другого работоспособного компьютера, имеющего ту же версию операционной системы. Более подробную инструкцию по восстановлению работоспособности Windows можно получить на официальном сайте технической поддержки Microsoft: http://support.microsoft.ru.

Восстановление начального загрузчика

Для восстановления начального загрузчика можно загрузиться с установочного компакт диска, зайти в консоль восстановления системы под учетной записью Администратора и обновить загрузчик системы с помощью специальных команд: fixmbr или fixboot - для Windows XP или bootrec с ключом /FixMbr или /FixBoot — для Windows 7, соответственно. Команды обычно размещаются в системном каталоге Windows и доступны после загрузки системы с установочного диска DVD-ROM. После выполнения данных команд загрузочный сектор будет перезаписан и вирус удален.

Отключение автозапуска

Имеется достаточно надежный способ защиты внешних носителей и флешек. Чтобы вирус перезаписал себя в корень локального диска, он должен создать в корне логического диска файл autorun.inf. Теперь представим, что это место уже занято другим файлом. Отсюда вытекает и способ борьбы: чтобы не заразиться вирусом с флешки нужно соблюдать следующие условия:

1. создать в корне своей флешки каталог autorun.inf и в качестве дополнительной защиты установить на него атрибуты «скрытый», «системный» и «только для чтения» (такая «прививка» в большинстве случаев помогает);
2. некоторые вирусы умеют менять файловые атрибуты, поэтому для дополнительной защиты в каталоге autorun.inf можно предварительно создать скрытый файл с именем com1 или lpt1. Эти имена зарезервированы системой для устройств, такие файлы система удалить не сможет.
3. отключить автозапуск файлов со всех внешних дисков и носителей.

Для создания файла autorun.inf из командной строки Windows можно использовать команду copy /A con autorun.inf. Для записи файла на диск необходимо нажать клавиши <Ctrl> + <Z> и установить атрибуты системный, только для чтения и скрытый с помощью команды attrib с ключами +s +r +h:

Для отключения автозапуска в Windows XP можно включить (активировать) параметр «Отключить автозапуск» в разделе «Конфигурация компьютера» — «Административные шаблоны» — «Система» оснастки «Групповая политика» (gpedit.msc), запускаемой из командной строки.

Для отключения автозапуска в Windows 7 необходимо снять опцию «Автозапуск для всех устройств» в пункте «Автозапуск» на Панели управления.

Еще один хороший совет: всегда стараться заходить в систему в качестве пользователя с ограниченными правами и регистрироваться с правами Администратора лишь по необходимости, например для установки новых программ. Это уменьшает риск заражения вирусами, так как в данном случае сложнее получить доступ к системным ресурсам.

Удаление загрузочных записей из реестра

Есть две главные ветки реестра: HKEY_CURRENT_USER - содержащая настройки локального пользователя (HKCU) и HKEY_LOCAL_MACHINE - содержащая глобальные настройки системы (HKLM). Обе из них содержат загрузочные разделы:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] и

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Обычно в данных разделах содержатся список загружаемых драйверов (видеокарта, звуковая карта, антивирус т.д.). Для того, чтобы обнаружить среди них вирус, нужно по-возможности знать список загружаемых программ и отслеживать в нем каждую новую подозрительную программу. При некотором навыке это сделать несложно. Часто такой параметр содержит нестандартный путь или нестандартное имя. Так, в нижеприведенном примере один из параметров содержит путь, ссылающийся на подозрительный файл, находящийся в корзине (скрытая папка RECYCLER). Ненужные параметры удаляются с помощью программы regedit из автозагрузки клавишей <Del>, с одновременным удалением подозрительных файлов из мест их локализации.

Еще один излюбленный прием запуска вирусов состоит в добавлении дополнительной команды к параметрам Shell или Userinit в ключе реестра:

[HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]

В нормально функционирующей операционной системе Windows параметр Shell должен содержать команду Explorer.exe, а параметр Userinit – команду userinit.exe и ничего больше. Модификация раздела Winlogon как правило не отслеживается стандартными утилитами контроля загрузки типа msconfig. В этом случае редактор реестра является единственным средством Windows для обнаружения загрузочной записи вируса в системе.

Некоторые другие возможные места размещения вирусов в реестре:

[HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows],

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell] и

[HKLM\SYSTEM\ControlSet001\Control\SafeBoot] — (параметр должен содержать строку cmd.exe);

[HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options] (удалить параметры explorer.exe и/или taskmgr.exe);

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] (удалить параметры DisableTaskMgr и/или DisableRegistryTools).

В том случае, если в результате деятельности вируса редактор реестра regedit не может быть запущен (заблокирован), для просмотра и редактирования записей реестра можно воспользоваться системной командой reg с командами query, add и delete и ключом /v для указания параметров.

После изменения записей реестра необходимо перезагрузить систему.

Удаление сервисной службы

Для обнаружения вируса, работающего как служба, необходимо загрузить оснастку «Службы», выбрав пункт «Администрирование» в Панели управления. Подозрительный сервис можно остановить и отключить, выбрав правой кнопкой мыши пункт «Свойства». Конечно, для этого нужно знать список запущенных сервисов своей системы и их предназначение. Большинство системных сервисов подписаны сертификатом и имеют краткое описание своего предназначения, отображаемое в списке служб.

Список сервисов можно получить также с помощью команды sc query. Запущенный сервис сначала нужно остановить командой: sc stop <сервис>, затем отключить: sc config <сервис> start= disabled или совсем удалить из системы: sc delete <сервис>. Если наименование сервиса содержит пробелы, то его необходимо взять в кавычки.

Защита операционной системы

Среди пользователей распространено ошибочное мнение, что операционная система, установленная «из коробки» и имеющая оплаченную лицензию, уже является защищенной. Во-первых, ни одна из компьютерных программ не является абсолютно защищенной, тем более, если это операционная система. Во-вторых, большая часть приложений, установленных по умолчанию «из коробки» требует настройки, а некоторые специфичные приложения (вроде Windows Messеnger) с большой долей вероятности и вовсе никогда не потребуются. Такие приложения можно с большим успехом деинсталлировать или во всяком случае, удалить из автозагрузки. Для заново установленной операционной системы рекомендуется прочитать описания всех программ, находящихся на панели задач (в правом углу), а также создать список файлов автозагрузки, определив их назначение.

Если операционная система поставляется с последними обновлениями (service packs), то вероятность ее защиты гораздо выше. Тем не менее, для успешной и безопасной работы система Windows должна содержать следующий необходимый минимум:

1. Установленная и настроенная антивирусная программа.
2. Установленный и настроенный межсетевой экран.
3. Установленное автоматическое обновление системы.

Также рекомендуется проверить и отключить ненужные сетевые службы, такие как «Сервер удаленного рабочего стола», «Удаленный помощник», «Доступ к удаленному реестру» и некоторые другие, которые Вы не собираетесь использовать через оснастку «Службы», а также деинсталлировать некоторые программы, такие как Windows Messеnger, Outlook Express (Windows XP) или Windows Live (Windows 7), если Вы их не используете.

Защита приложений

Наиболее уязвимыми для вирусных атак являются браузеры, например, Internet Explorer, Mozilla Firefox, почтовые клиенты, сетевые агенты типа ICQ, Skype, а также офисный пакет Microsoft Office. В основном, это те приложения, которые наиболее широко применяются всеми категориями пользователей. Вирусы, внедряемые в данные приложения, обычно относятся к вирусам скриптового типа. Защита от данного типа вирусов заключается в правильной настройке системы безопасности приложений.

Для настройки безопасности браузеров необходимо на Панели управления выбрать элемент «Свойства обозревателя», на вкладке «Безопасность» выбрать тип узлов «Интернет» и нажать кнопку «Другой». В появившейся вкладке «Параметры безопасности» отключить автоматические запросы на загрузку файлов, разрешить блокировать всплывающие окна, отключить установку элементов рабочего стола, запретить загрузку не подписанных элементов ActiveX, а также запретить автоматические запросы не подписанных элементов ActiveX и их выполнение. На вкладке «Дополнительно» элемента «Свойства обозревателя» необходимо запретить выполнение или установку программ, имеющих недопустимую подпись, включить проверку подписи для загруженных программ и предупреждение при переадресации передаваемых форм, запретить запуск активного содержимого компакт-дисков и файлов на компьютере. Рекомендуется также отключить автозаполнение форм для защиты от несанкционированного доступа к вашим личным данным в Интернете. На вкладке «Конфиденциальность» необходимо установить параметры конфиденциальности не ниже среднего и установить блокировку всплывающих окон.

Эти настройки будут действовать главным образом для браузера Intermet Explorer, однако для других браузеров также необходимо настроить средства защиты. Например, для защиты браузера Mozilla Firefox необходимо выбрать в меню «Настройки» вкладку «Защита» и настроить ее. Рекомендуется включить блокировку подозрительных файлов и отключить автоматическое сохранение паролей, так как некоторые вирусы могут похитить эту информацию и использовать в своих пагубных целях.

Если по какой-то причине браузеры на компьютере перестали корректно работать и блокируется доступ к ресурсам Интернет, в частности, к сайтам поисковых машин Yandex, Google или социальным сетям, то возможно, вирусом был переписан файл hosts, размещаемый в каталоге C:\Windows\System32\drivers\etc. Этот файл необходимо отредактировать в блокноте и удалить все строки с записями, содержащие блокируемые ресурсы. Редактирование файла hosts нужно производить с правами администратора.

Для защиты офисных приложений от вирусов необходимо установить уровень безопасности выполнения макросов не ниже среднего. Для этого в любом приложении Microsoft Office необходимо выбрать пункт «Сервис» - «Параметры» и на вкладке «Безопасность» нажать кнопку «Безопасность макросов».

Полезные утилиты

Существует большое количество полезных утилит, которые позволяют успешно бороться с вирусами. Их можно условно разделить на несколько категорий.

1. Антивирусные программы. На каждом компьютере пользователя обязательно должна быть установлена антивирусная программа. Наиболее известные антивирусные программы: антивирус Касперского (KAV), Dr.Web, Eset Nod 32, Avira, Symantec, AVG и др. Среди этой категории существуют и бесплатные версии продуктов: Avast, Panda и др. Какая же из программ лучше защищает от вирусов? Та, которая имеет регулярно обновляемые базы и различные механизмы обнаружения и удаления вирусов. Предпочтительнее использовать полнофункциональные версии с интегрированной защитой, правда они требуют для работы больше системных ресурсов, но и защищают компьютер лучше. Но самое главное в защите антивируса — это регулярные обновления антивирусных баз.

2. Антивирусные утилиты. Утилиты позволяют просканировать компьютер на предмет наличия вредоносных программ не устанавливая при этом антивирус. Могут использоваться для выявления несанкционированной рекламы, рассылки спама, шпионских программ, автодозвона и т.д. Утилиты, как правило, бесплатны и не имеют обновляемой базы, поэтому необходима последняя версия. Такую утилиту нужно скачать из Интернет и запустить на зараженном компьютере. Среди наиболее известных: антивирусная утилита Касперского, AntiVir Removal Tool, AVZ, Dr.Web Cureit и др. Для гарантированного обнаружения уязвимости можно использовать утилиту фирмы, отличающейся от антивируса, уже установленного на компьютере.

3. Системные утилиты. Очень полезный вид утилит для мониторинга и оптимизации работы системы. Незаменимые программы для системного администрирования Windows. В качестве примера таких утилит можно привести:

• CCleaner — системная утилита, предназначенная для обнаружения ошибок в реестре Windows, оптимизации загрузки системы, очистки памяти и диска, деинсталляции установленных программ (http://www.piriform.com/ccleaner/download/standard).
• AnVir Task Manager — менеджер процессов и программ автозагрузки, позволяющий выявить активность вирусов и их удаление. Программа имеет много полезных функций, в частности, сообщает полную информацию обо всех запущенных программах и процессах, в том числе, скрытых, что может помочь при выявлении вирусов (http://www.anvir.net).
• AVZ — кроме выявления вирусов утилита также умеет исправлять последствия заражения: разблокировать запуск сервисных программ, восстановить рабочий стол, свойства проводника и Интернет, защищенный режим загрузки системы, файл hosts, удалять пользовательские ограничения и др. (http://z-oleg.com/secur/avz). После запуска утилиты необходимо выбрать пункт меню «Файл» — «Восстановление системы».

4. Полезные информационные ресурсы. Если вы стали жертвой распространенного вируса, не стоит полагаться только на свои силы, по некоторым признакам активности вируса или другой проблеме можно найти полезную информацию в Интернете. Список популярных сетевых ресурсов:

• http://www.securelist.com — содержит сигнатуры и описания всех вирусов, определяемых программными продуктами лаборатории Касперского. Содержит полезную информацию для выявления вирусов и устранения последствий их активности.

• http://vms.drweb.com - содержит описания вирусов, определяемых программными продуктами лаборатории «доктор Web». Кроме этого, пользователь может загрузить файлы со своего компьютера на сайт для их проверки на возможную уязвимость.

• http://www.securitylab.ru - информационный портал по безопасности, содержит множество полезных обзоров, аналитических статей, а также описания программ администрирования и системных утилит.

• http://www.filecheck.ru - содержит перечень всех системных файлов, могущих входить в состав операционной системы Windows, с подробным их описанием. Очень полезный ресурс для самостоятельного анализа подозрительных файлов.

Выполнение рекомендаций, отраженных в данной статье, позволит вам успешно бороться с компьютерными вирусами, а значит сохранить свое драгоценное время и нервы.

Гостин Алексей Михайлович,
директор ЦНИТ