Лечение зараженных систем

Введение

Большинство из нас, пользователей Windows, уже хорошо осведомлены о том, как выглядит заражение компьютера. Теперь он принимает все формы и формы и имеет разные слова, которые указывают, как вы его получили, уровень риска и то, как он может распространяться дальше. Некоторые инфекции вызывают такие неприятности, как взлом домашней страницы Internet Explorer, а некоторые уничтожают ваши файлы. Программное обеспечение, заражающее ваш компьютер, теперь иногда называют «вредоносным ПО».

Сетевые администраторы сегодня сталкиваются с тем, что их брандмауэр не защитит их от троянов. Даже установка исправлений для всех ваших компьютеров может не защитить компьютер, на который пользователь решил загрузить вредоносную программу. В настоящее время с помощью групповой политики вы можете контролировать большую часть вычислительной среды, но когда у вас есть разные операционные системы и ноутбуки, которые ходят к людям по домам, у вас может быть не так много контроля, как хотелось бы.

Моя статья предоставит вам несколько инструментов, которые могут помочь вам позаботиться о таких инфекциях на зараженной машине, если вы придете к одному из них, и предоставит альтернативу методу «отформатировать жесткий диск», который работает очень хорошо, но иногда может быть не самым лучшим. или даже рабочий вариант. Это может оказаться очень удобным, если, например, ваш генеральный директор может выделить вам свой компьютер только на час или около того, прежде чем он снова улетит, чтобы исправить эти надоедливые всплывающие окна IE, которые она получает все время.

Сетевая активность

Один из самых простых способов узнать, какой файл заразил ваш компьютер, — определить, какой процесс чаще всего пытается получить доступ к Интернету. Вы должны закрыть все приложения для обмена файлами и другие приложения, чтобы найти это.

Удобная бесплатная утилита для этого — TCPView от Sysinternals, доступная здесь:

http://www.sysinternals.com/ntw2k/source/tcpview.shtml

Запуск показывает типичный вирус, который вы можете найти на любом неисправленном компьютере с Windows XP или 2000 сразу после подключения к Интернету.

Вы также можете завершить процесс, щелкнув его правой кнопкой мыши и выбрав «Завершить процесс» вместо использования диспетчера задач Windows.

Вы можете использовать утилиту настройки системы, чтобы остановить запуск вируса. Обратите внимание на кнопку, позволяющую запустить процесс восстановления системы. Если у вас есть действующая контрольная точка, которая, как вы знаете, была до заражения, вы должны использовать ее для восстановления реестра и других важных файлов.

Наконец, вы можете удалить сам файл с жесткого диска.

Обратите внимание, что некоторые вирусы используют механизм восстановления системы Windows XP для повторного заражения машины, если вы удалите их исполняемый файл. Чтобы отключить восстановление системы в Windows XP, вам нужно получить доступ к Панели управления -> Система -> Восстановление системы.

Установите флажок «Отключить восстановление системы» или «Отключить восстановление системы на всех дисках».

Как вы можете видеть, это удалит точки восстановления, поэтому делайте это только в том случае, если вы не хотите использовать восстановление системы, чтобы вернуть вашу систему в состояние, в котором она была до заражения.

Взлом Internet Explorer

В версиях Windows до XP SP2 и 2003 SP1 было довольно легко щелкнуть что-нибудь и получить всевозможные «надстройки» Internet Explorer и другие скрытые утилиты, которые изменяют поиск IE по умолчанию и домашнюю страницу, а затем снова захватывают их, когда вы пытаетесь поменяй обратно. Сброс этого с помощью параметров Интернета IE может не помочь.

Если вы устанавливаете Windows XP SP2, вы можете управлять надстройками IE с помощью нового диспетчера надстроек. Для получения дополнительной информации об этом перейдите по этой ссылке:

http://www.microsoft.com/windowsxp/using/web/sp2_addonmanager.mspx

Если у вас есть предыдущая версия, вы можете использовать ToolbarCop, бесплатную утилиту, доступную здесь:

http://windowsxp.mvps.org/toolbarcop.htm

Как и MSConfig, он также может удалять процессы, которые запускаются при загрузке операционной системы, но также может отключать надстройки IE.

Анатомия инфекции

Для подготовки этой статьи я установил Windows XP с SP1 и без исправлений. Я просмотрела несколько порносайтов (хотя, строго говоря, я против порно), ответила на несколько диалогов и вуаля, как на следующих скриншотах видно, что мой IE был взломан, а мой компьютер заражен всевозможными вредителями.

TCPView также показал большую сетевую активность:

Итак, я запустил Toolbar cop и нашел более 12 компонентов для удаления.

Большинство из них — трояны. Разница между троянами и вирусами в этом случае заключается в том, что, видя, что я специально просматривал определенные веб-сайты и говорил «да» в диалоговых окнах загрузки, вина лежит на мне, в отличие от предыдущего примера, когда вирус использовал мою неисправленную версию Windows для распространения. сам.

Но, откровенно говоря, в этот момент пытаться удалить всех этих троянцев с помощью ToolbarCop или искать их через реестр становится невозможно. Они работают вместе, оставаясь в памяти, поэтому, как только вы их удалите, вы сможете считать до пяти и обратно.

Так что для борьбы с ними нужен хороший антивирус, который умеет бороться и с троянами.

Как некоторые из вас, возможно, знают, в Интернете есть несколько онлайн-антивирусов. Вот список некоторых из них:

http://housecall.trendmicro.com/housecall/start_corp.asp

http://www.pandasoftware.com/activescan/com/activescan_principal.htm

Сегодня он есть почти у каждого крупного антивирусного поставщика. Эти онлайн-антивирусы работают только с Microsoft Internet Explorer, загружая на ваш компьютер элемент управления ActiveX, который по сути представляет собой программу, подобную любой другой, которая использует IE в качестве своего интерфейса.

Однако, когда дело доходит до троянов, мой опыт показывает, что эти онлайн-антивирусы не могут их очистить. На следующем скриншоте показан такой сбой. Причиной, вероятно, является ограничение технологии ActiveX.

Кроме того, в Интернете можно скачать бесплатные антивирусы и средства защиты от троянов. Я рекомендую начать с установки хорошего антивируса. Мой личный фаворит — AntiVir Guard от немецкой компании H+BEDV Datentechnik. Он наиболее подходит для лечения уже зараженной системы, так как имеет размер около 5 МБ и загружается с последней сигнатурой. Другие антивирусы полагаются на подключение к Интернету сразу после установки. Некоторые вирусы и трояны распознают это и препятствуют этому обновлению. AntiVir Guard также неплохо справляется с троянскими программами и ежедневно обновляется.

Вы можете скачать бесплатную версию AntiVir Guard здесь:

http://www.avup.de/personal/en/avwinsfx.exe

Чтобы убедиться, что AntiVir удалил все вредоносные компоненты с вашего компьютера, вам необходимо запустить его основную программу и выбрать «Параметры» -> «Конфигурация». На следующих снимках экрана показана рекомендуемая конфигурация.

Возможно, вам придется запустить сканирование программы несколько раз и выполнить несколько перезапусков, прежде чем система будет очищена.

Вы можете найти другие бесплатные антивирусы на веб-сайте Nonags:

http://www.nonags.com/nonags/antivirus.html

Иногда вам нужно использовать комбинацию антивирусов, чтобы действительно вылечить систему. В дополнение к вашему антивирусу вы можете установить бесплатное программное обеспечение Lavasoft Ad-aware SE, которое специально сканирует на наличие троянов, Adaware, бэкдоров и дозвонщиков. Если вы не знаете всех этих терминов, не беспокойтесь. Все они в основном обозначают часть вредоносного программного обеспечения, которое необходимо стереть с вашего компьютера.

http://www.lavasoftusa.com/support/download/

Еще одно бесплатное средство для удаления троянов — Spybot, которое можно загрузить по этой ссылке:

http://www.safer-networking.org/en/mirrors/index.html

Как и в случае с антивирусом, вам, возможно, придется запустить эти утилиты несколько раз и сделать пару перезагрузок.

Если у вас возникли проблемы с подключением к веб-сайтам, возможно, ваш файл hosts был изменен. Эти файлы сообщают вашей машине, где найти веб-сайты, и игнорируют вашего интернет-провайдера или внутренний DNS-сервер.

Этот файл находится на компьютерах с Windows NT/2000/XP/2003 в каталоге <каталог установки Windows>system32driversetc.

Чтобы исправить это, просто удалите все его содержимое и оставьте его со следующим значением по умолчанию:

Установка последнего пакета обновлений и обновление через http://windowsupdate.microsoft.com может помочь предотвратить повторное заражение в процессе удаления.

Если вы обнаружите, что Центр обновления Windows был отключен одним из троянов или вирусов, вы можете загрузить пакет обновления 2 (SP2) для Windows XP здесь:

http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=en

Еще один инструмент, который может помочь вам во время заражения и, безусловно, может использоваться в качестве профилактического инструмента, — это IE-SPYAD, который блокирует известные сайты, добавляет в ваш реестр веб-сайты, которые являются известными распространителями вредоносных программ, и блокирует их на уровне IE. Загрузите его здесь:

https://netfiles.uiuc.edu/ehowes/www/resource.htm

Сетевые заражения

Исправление одного компьютера может занять много времени, в зависимости от уровня и типа заражения. Лечение большого количества компьютеров в сети может быть довольно дорогостоящим, учитывая, что бесплатные инструменты не сканируют всю сеть.

Вы можете внедрить в сети профессиональное средство, такое как WebRoot Spysweeper Enterprise, и развернуть последние пакеты обновления и исправления с помощью Microsoft Windows Update Server.

Однако такой метод может оказаться довольно сложным на вашем оборудовании. Я считаю, что антивирус также должен отфильтровывать трояны, дозвонщики, бэкдоры, рекламное ПО и все другие риски. Несколько хороших профессиональных пакетов делают это довольно хорошо и стоят денег для обновления. Вы проверяете, может ли ваш антивирусный пакет бороться не только с вирусами.

Моя любимая стратегия защиты сети — остановить вредоносное ПО на уровне периметра и внедрить дополняющий механизм обновления ОС и антивируса на уровне клиента.

Если вы внедряете совершенно новую сеть, вы можете рассмотреть решения от Fortinet. У них есть аппаратный брандмауэр, который может справляться со всеми типами вредоносных программ и интернет-атак, а также реализовать комбинированный клиент VPN/антивирус на уровне рабочей станции. Это упрощает и упрощает работу сетевых администраторов и администраторов безопасности. Этот тип решения избавляет от необходимости беспокоиться о том, борется ли ваш антивирус с вашим антитроянским пакетом или вашим VPN-решением, все ли они обновлены должным образом и сколько памяти они отнимают у ваших компьютеров.

Вывод

Удалить вредоносное ПО с компьютера гораздо сложнее, чем правильно его защитить, что желательно делать на сетевом уровне, если это возможно.

При правильном сочетании инструментов вы можете обнаружить и устранить один вирус или троян. Для лечения компьютера, зараженного комбинацией различных троянов, бэкдоров и вирусов, вам нужно использовать комбинацию антивирусных утилит, некоторые из которых бесплатны для использования на домашних компьютерах, но вам нужно набраться терпения. Инфекции Windows имеют множество разновидностей, и иногда даже надежная антивирусная программа не сможет справиться с хорошо зараженным компьютером сама по себе, без некоторой помощи и многократного перезапуска.