Сам себе антивирус

При использовании любых антивирусных программ необходимо постоянно устанавливать обновленные базы вирусов - для гарантии того, что антивирусная программа сможет отловить новый, ранее не известный ей вирус. Со временем большинству пользователей надоедает такая забота и слежение. Обновление антивирусных баз прекращается, защита от ослабевает - и вирусам дается шанс, который они зачастую и используют.

И вот, подхватив вирус, жертва не знает, что делать. Но к счастью ее, с некоторыми вирусами в Windows можно бороться самостоятельно.

На первый-второй рассчитайсь
Как известно, существует довольно много разновидностей вирусов, и со всеми ими бороться не удастся - причин тому много. Поэтому гораздо проще вовремя обновлять антивирусные базы - чем самостоятельно искать потом "иголку в стоге сена".

Вручную можно попытаться бороться только с резидентными, файловыми, загрузочными вирусами и интернет-червями. Самостоятельная борьба с вирусом происходит путем блокирования его работы в системе и дальнейшим поиском следов вируса в файлах программ и операционной системы. После этого вирус удаляется вместе с программой. Будьте готовы к тому, что вам придется переустанавливать ПО и ОС. Все необходимое у вас должно быть под рукой (компакт-диск с Windows и дистрибутивы необходимых программ).

Как вирус попадает в память?
Прежде всего, следует помнить, что вирус - это тоже программа, и для работы ей необходимо находиться в памяти. Работающий в памяти вирус становится одним из процессов Windows. Для того чтобы вирус попал в память, кто-то должен его запустить. Этих "кого-то" не так уж и много: загрузочный сектор HDD, "Автозагрузка", раздел реестра, сам пользователь и одна из программ, в которую внедрился вирус. Как правило, пользователь может запустить вирус один раз (непосредственно или косвенно в программе), и дальше вирус начнет размножаться и работать.

Из загрузочного сектора вирус попадает в память вместе с ОС в начале загрузки ПК.

В "Автозагрузку" он попадает в редких случаях. В реестре он может запускаться из ключа HREY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
или
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run.

В первом ключе находятся обычные программы, которым нужно автоматически запускаться вместе с ОС.

       

Во втором находятся служебные программы и драйверы, которые запускаются первыми. В большинстве случаев вирус попадает в память с помощью составных системных или прикладных программ, зараженных вирусом.

В таких ОС, как Windows 98/ME, для распространения вируса по системным файлам нет никакой преграды. Но в Windows 2000/XP есть служба защиты системных файлов - то есть, если провести какие-либо изменения или удалить системный файл, то служба автоматически восстановит его и отобразит данное событие в системном журнале.

Прежде чем приступить к определению имени процесса, принадлежащего вирусу, необходимо обратить внимание на то, что вы можете по ошибке завершить и служебный процесс. Результат данного действия предсказать тяжело (это зависит от того, какой процесс завершить). К примеру, может зависнуть ПК. Или же исчезнет "Индикатор языка клавиатуры". Но в любом случае ваши личные файлы останутся целыми, пострадает только ОС (эта проблема решается простой ее переустановкой). Чтобы избежать таких ситуаций, необходимо в ОС Windows 2000/ХР не завершать процессы, которые запущены не от вашего имени. В ОС Windows 98/МЕ при использовании программы Amn Task Manager нужно обратить внимание на столбец "Авторские права". Процессы c авторскими правами, принадлежащими компании Microsoft, завершать не следует.

Определение процесса вируса в ОС Windows 98/ME
Зная, как вирус попадает в память, приступим к определению имени процесса, принадлежащего вирусу. Определить процесс необходимо в первую очередь, поскольку важно знать, какой из множества процессов принадлежит вирусу. Если этого не сделать, то все попытки исцеления ПК ни к чему не приведут. Если просто заменять зараженные файлы незараженными, то для вируса не будет никакой преграды на пути его внедрения в файл - это ходьба по замкнутому кругу.

В ОС Windows 98/ME можно воспользоваться программой Amn Task Manager, предназначенной для мониторинга и управления процессами в Windows 95/98/Me (или аналогичной по выполнению действий).

Она покажет, какие программы находятся в памяти, и сможет убрать оттуда любую из этих программ. В окне Amn Task Manager показаны все процессы, которые выполняются в памяти. Теперь нужно понять, какой из них является собственно вирусом. Для этого в программе Amn Task Manager необходимо просмотреть авторские права и описание программ, которые присутствуют в памяти (вирусы не имеют в себе такой информации, поскольку их код должен быть небольшим, насколько это возможно). Для просмотра нужно добавить в окно программы столбцы Авторские права и Описание файла в окне Настройка =>Опции =>Процессы (Завершенные процессы).

Процессы с отсутствующими "Авторскими правами" и "Описанием файла" являются подозреваемыми. После исключения из них тех, что запустили лично вы, и тех, что стоят в "Автозагрузке" (по вашей воле), нужно запомнить их или записать. Дальше необходимо завершить работу "подозреваемых процессов". После этого просто запускаются любые программы, что есть у вас на ПК, и завершается их работа. В конце можно посмотреть, появился ли хоть один из подозреваемых процессов в памяти. Тот, что появился и остался, и является вирусом.

С помощью программы Amn Task Manager можно определить, какой процесс был запущен вирусом. Для этого нужно вызвать контекстное меню на процессе вируса и выбрать там "Найти предка" - тогда выделенная линия переместится на интересующий нас процесс. Эта функция программы дает возможность узнать, где сидит вирус. К примеру, если этим процессом является Explorer - значит, вирус был запущен из "Автозагрузки". В противном случае - это было сделано зараженной программой. Не исключено заражение самого Explorer'а - тогда предком должен быть MSGSRV32. И так далее - по цепочке до самого компонента ядра ОС (файл KERNEL32.DLL), в него тоже может внедриться вирус.

Определение процесса вируса в ОС Windows 2000/ХР
В этих ОС удалить вирус проще. Как уже было сказано, у них есть служба защиты системных файлов. Это значит, что ОС не даст заменить свои системные файлы какой-нибудь программе. Если такие попытки были, пользователь может узнать об этом при помощи программы "Просмотр событий". К сожалению, эта защита не дает 100-процентной надежности.

Теперь можно приступить к определению процесса, принадлежащего вирусу. Здесь программа Amn Task Manager не поможет, потому что она просто не способна работать в этих ОС. Нужно воспользоваться средствами ОС, то есть программой "Диспетчер задач" Windows.

В ней необходимо обратить внимание на процессы, которые запущены от вашего имени,- они, собственно, и являются подозреваемыми. Теперь для удобства отключаются все программы, которые стоят в "Автозагрузках", и перезагружается ПК. Из числе тех процессов, что остались, исключаются системные (они запускаются от имени пользователя): taskmgr.exe, ctfmon.exe, explorer.exe, wcmdmgr.exe. Дальше можно завершить работу наших подозреваемых процессов. После просто нужно запускать и завершать работу всех приложений, которые есть на ПК. Появившийся и оставшийся процесс является вирусом.

Удаление вирусов
Если удалось определить имя процесса в памяти, принадлежащего вирусу, можно "исцелять" ПК. Производится перезагрузка ПК и освобождение памяти от вируса. Нужно проверить наличие запуска этого процесса в "Автозагрузке" кнопки "Пуск" всех пользователей. Также необходимо посмотреть наличие запуска в программе "Настройка системы" (команда msconfig). Автозагрузка - это не единственное место, где он может быть, но убедиться нужно. Дальше находятся все "измененные" EXE-файлы за последний месяц или лучше за два месяца с помощью программы поиска. Все найденное можно скопировать в один каталог. Дальше проверить программы на наличие в них вируса поможет файловый менеджер FAR (или Norton Commander). В коде программы ведется поиск строки

This program cannot be run in DOS mode или

This program must be run under Win32.

Необходимо отметить, что одна из этих строк обязательно присутствует в начале кода программы. Задача заключается в том, чтобы найти еще одну такую строку. Если строка найдена - значит, в этот файл внедрился вирус. Дальше нужно проверить все найденные файлы подобным способом. После того как вы узнали, какой из файлов заражен, они заменяются незараженными (выполняется с помощью простого копирования файлов). Для этого вам понадобится другой ПК без вируса. Если такого ПК нет, вам придется удалить зараженные файлы и переустановить те приложения (по необходимости и ОС), из которых вы их удалили (не делайте деинсталляцию программ, вы можете запустить вирус!).

     

В случае, когда вы не нашли процесса в памяти, то вирус у вас работает только в момент запуска зараженной программы и, выполнив свои действия, завершается. В ОС Windows 98/ME его можно увидеть в закладке "Завершенные процессы", а в Windows 2000/ХР увидеть нельзя (имея только встроенные средства). Бороться с ним нужно так же, как и в предыдущем случае, разве что имя процесса знать не нужно.

Когда вы выполнили все описанные выше действия по удалению вируса из ПК, а вирус снова размножается и работает, то, скорее всего, к вам попал загрузочный вирус. Его удаление в ОС Windows 98/ME происходит путем перезаписи загрузчика (команда FDISK /MBR). Ее можно выполнять и при работе в среде Windows (через сеанс MS-DOS). В случае с ОС Windows 2000/ХР нужны дискеты аварийного восстановления. Загрузившись из них, выполните команду:

Fixboot <имя загрузочного диска>