ПРЕМАХВАНЕ НА ВИРУСИ ОТ ЗАРАЗЕН КОМПЮТЪР
1. Подготовка
Преди да сканирате компютъра с антивирусна програма е добре да проверите какви процеси са се заредили в паметта. Подходящ за целта е безплатният софтуер Process Explorer -http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx. Той показва заредените в паметта програми, авторите им и къде са записани изпълнимите им файлове. Чрез приложението можете да разгледате внимателно всички процеси и да проверите тези, които ви се струват съмнителни. Това става по следния начин – кликнете с десен бутон на мишката върху всеки непознат процес и изберете Google от контекстното меню. Тази опция ще зареди интернет браузъра (Internet Explorer, Firefox, Safari), който използвате и ще потърси информация за процеса в търсачката Google. Изберете някоя от първите уеб страници, които се появят в резултата от търсенето и ги прочетете внимателно. Трябва да наблегнете на няколко важни момента:
- какво върши този процес
- кой е създателят на приложението, чиито процес проверявате
- и нещо много важно – къде обикновено се записва въпросният файл. Възможно е зловредни програми да се маскират като безобидни такива. Ако файлът е записан в папката на Windows, трябва да бъдете нащрек.
Прекратете процесите, които смятате за опасни и изтрийте ръчно файловете с комбинацията Shift+Del (файловете се изтриват директно - без да преминават през кошчето). Тъй като част от вирусите се записват като системни файлове и Windows ги възстановява автоматично при следващото стартиране на компютъра, е по-добре да изключите System Restore. При WinXP изберете Properties от контекстното меню на My Computer. Отворете страница System Restore и маркирайте Turn off System Restore on all hard drives. След изтриването на файловете можете да включите System Restore. Ако се притеснявате да не объркате нещо, се обърнете към някой познат, който има по-добра компютърна грамотност от вас. Ако следвате точно съветите, не вярвам да имате проблеми.
Ще подчертая, че преди да изтриете даден файл, трябва първо да го изтриете от паметта. Докато е зареден в нея, няма да можете да го изтриете. Процесите се прекратяват с опция “Kill Process” от контекстното меню.
Process Explorer е лесна за използване програма – ако нещо не ви е ясно, прочетете помощния файл.
След като сте проверили какви програми са заредени в паметта е време да проверите и какви програми се зареждат при стартирането на Windows (не всички процеси могат да се видят с Process Explorer или Task Manager). Изберете Start /Run, напишете msconfig и натиснете Enter. В появилия се прозорец изберете Startup и отмаркирайте всички процеси, които не желаете да се зареждат с Windows – ако не сте сигурни за някои приложения, опитайте се да потърсите повече информация за тях в Google. След това изберете страница Services и повторете процедурата. Чрез намаляване на процесите, които се зареждат с Windows, се ускорява зареждането му. Освен това се използва и по-малко оперативна памет (RAM). Ако не знаете за какво служат дадени процеси, по-добре не ги изключвайте.
За да получите още по-голяма представа за файловете, които се зареждат с Windows Ви препоръчвам програмата Autoruns на Sysinternals - http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx.Тя ви предлага много по-големи възможности за настройка на зареждащите се програми, драйвери, плъгини за Internet Explorer и какво ли още не. Работата с нея е много лесна. Просто размаркирайте чавката пред процесите, които не искате да се стартират с Windows.Тези процедури обаче, не са достатъчни за борба срещу rootkits. Това са опасни приложения, които се укриват много добре и не могат да бъдат засечени с програми като Process Explorer. Дори и антивирусните програми ги засичат трудно. За тях е необходим специален софтуер – такъв е Rootkit Revealer - http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx Той е за напреднали потребители, тъй като работата с него е по-сложна. След като сканирате компютъра с програмата и запишете резултата в текстов файл, трябва да проверите дали намерените съмнителни процеси са rootkits. За да откриете повече информация за тях, напишете имената им в Google и по всяка вероятност ще излезе нещо. Изтривайте файлове само ако сте сигурни, че са опасни. Ако се притеснявате от работата с тази програма, не я използвайте. За щастие има и други програми, с които се работи по-лесно – Sophos Anti-Root Kit, F-Secure Blacklight, AVG Anti-Rootkit и др. Те се разработват от известни антивирусни компании и сами проверяват кои програми са rootkits въз основа на специални алгоритми и дефиниции, което може да се разглежда и като недостатък в сравнение с Rootkit Revealer.
Ще намерите списък с anti-rootkitпрограми в раздел „Скенери и почистващи програми за Malware ” - http://www.virusdefence.org/best-free-anti-virus-worm-spyware-trojan-scanners-removal-tools.html Ако бъде открит процес, който е посочен за опасен, трябва наистина да сте сигурни в това преди да го унищожите. Откриването на rootkitпрограми не е лесно и може да го прескочите, ако се притеснявате, че ще объркате нещо. Препоръчваме Ви да разгледате предложените приложения и да проучите откритите съмнителни процеси (ако има такива). Ще видите, че не е чак толкова трудно.
2. Сканиране за компютърни вируси
Препоръчва се сканирането за компютърни вируси да става под Safe Mode, защото тогава се стартират само необходимите на Windows приложения и драйвери (поне така би трябвало да бъде). По този начин шансът да се зареди зловредна програма в паметта е много по-малък. Преди да започнете сканирането е необходимо да изтеглите най-новите дефиниции на антивирусната програма, която използвате. Добре е да се снабдите и с антивирусни скенери като Dr. Web Cure It и BitDefender Free Edition. Характерното за тях е, че извършват само ръчно сканиране на компютъра, т.е. те не го предпазват от заразяване (не осигуряват защита в реално време). Те се използват за прочистване на вече заразени машини. Повече информация относно подобни програми може да намерите в раздел „Скенери и почистващи програми за Malware”. Необходимо е да изключите компютъра от съществуваща Интернет или локална мрежа (ако е част от такава).
За да заредите Windows в Safe Mode рестартирайте компютъра и натиснете няколко пъти клавиш F8 преди да се е заредило логото на Windows (т.н. bootscreen). Ще се появи екран със списък от опции. Първата е Safe Mode. Изберете я и натиснете Enter. След като се зареди операционната система, стартирайте антивирусната програма, която по всяка вероятност няма да се е заредила. След това започнете пълно сканиране на системата с максимално мощни настройки за сканиране – търсене в архиви, сканиране на всички файлове, а не само на такива с определено разширение и др. Ако антивирусната програма открие заразен файл, можете да направите няколко неща:
– Ако файлът не е ценен, го дезинфекцирайте или изтрийте. При някои антивирусни програми под дезинфекциране се разбира отделяне на вируса от файла и ако това е невъзможно ви предлагат да го изтриете. При други, при избор на опция дезинфекциране - файлът се изтрива. Това зависи от избраните настройки на използвания антивирусен софтуер. Препоръчително е да ги проверите внимателно преди да започнете сканирането– Ако файлът е ценен и вирусът не може да бъде отделен от него или антивирусната програма не може да се справи с вируса, може да потърсите специален инструмент за почистването му в Интернет. За целта напишете името на вируса в популярна интернет търсачка и добавете removal tool. Ако не откриете такъв инструмент, сложете файла под карантина. След време може да бъде създаден почистващ инструмент или антивирусната програма да получи дефиниции за безпроблемното премахване на вируса и така да спасите ценния файл. За да избегнете подобни проблеми е добре да записвате редовно резервни копия на важните файлове.
Сканирането на компютъра може да продължи с часове в зависимост от обема на съхраняваните данни. Можете да настроите антивирусната си програма да поставя автоматично всички заразени файлове под карантина и да я оставите да сканира през нощта. На сутринта ще видите резултата. Файловете под карантина могат да бъдат възстановени и затова тази опция не крие рискове да бъдат изтрити важни документи или други файлове. Много важно е броят на откритите компютърни вируси да е равен на броя на обезвредените такива.
Сканирането с една антивирусна програма не е достатъчно. Необходимо е да се използват и антивирусни скенери на други компании. Те използват различен алгоритъм за сканиране и могат да открият зловреден софтуер, който е пропуснат от антивирусна Ви програма. Сканирайте системата отново с такъв скенер- http://www.virusdefence.org/best-free-anti-virus-worm-spyware-trojan-scanners-removal-tools.html
След като сте се убедили, че компютърът Ви е чист, можете да го рестартирате и да се върнете към обичайните си занимания. Не забравяйте да включите отново System Restore.Препоръчително е да сканирате компютъра си цялостно поне веднъж седмично. Най-подходящи за това са часовете, когато не го използвате (през нощта или през деня).
0 коментара:
Публикуване на коментар