Боремся с действиями вирусов

Боремся с действиями вирусов

Боремся с действиями вирусов
Если у вас ни разу не появлялись черные или синие экраны (пустые или с каким-то, казалось бы, беспорядочным набором символов) то здесь одно из двух: либо вы Билл Гейтс, либо вы садились за штурвал выключенной машины)). Но в любом случае я не думаю, что это обрадовало кого-нибудь, да и в большинстве случаев чуть что многие пользователи сразу бросаются переустанавливать свою опсистему даже не пытаясь вникнуть хоть немного в суть проблемы. Я не буду здесь вдаваться в описание работы вирусов, их структуру, я думаю вы и так немало наслышаны о разных там малвари, а сразу перейду к практической части, причём которая была бы понятна и простому пользователю, которому просто поскорее хотелось бы избавиться от нависшей проблемы.
Итак, сначала вспомните что вы делали перед тем как возникли эти ваши неприятности. Загрузили и запустили непонятный файл присланный от непонятно кого по элпочте или взятый с флешки подаренной добрым дядей на улице? Значит вы далеко пойдёте)). Но поверьте мне, что лучше вам больше так не делать. Ну ладно – предположим вы не заметили как нажали что-то ни так или наоборот не нажали когда нужно было, не важно, в общем начнём.
Для начала откройте диспетчер задач и посмотрите, нет ли там ничего подозрительного. Вот самые типичные имена процессов которые там могут быть:
csrss.exe – системный процесс, обеспечивающий управление потоками, работу консольных приложений и приложений Ms-Dos;
explorer.exe – процесс программы Проводник;
lsass.exe – системный процесс, являющийся частью системы безопасности Windows XP и контролирующий права пользователя на выполнение тех или иных задач;
mstask.exe – планировщик задач Windows XP;
Services.exe – отвечает за запуск и остановку системных служб;
Smss.exe – контролирует старт пользовательского сеанса и управляет winlogon.exe и csrss.exe;
Svchost.exe – базовый процесс для запуска процессов из системных библиотек(DLL);
Spoolsv.exe – управляет заданиями печати;
System – системный процесс, отвечающий за работу потоков, выполняющихся в режиме ядра. В режиме ядра (Kernel Mode) работают базовые низкоуровневые процессы опсистемы, а также драйверы устройств; отсюда обеспечивается прямой доступ к оборудованию.
Taskmgr.exe – сам процесс Диспетчера задач;
Winlogon.exe – системный процесс, отвечает за вход и выход пользователя из системы.
Конечно, там ещё целая куча процессов, но во многих случаях процесс имеет имя схожее с самой программой. В крайнем случае, заметив что-то неладное, отрубите. Очень хорошо будет если вы просмотрите процессы входящие в состав, что ли, вышеизложенных при помощи команды для svchost, например, Tasklist/SVC.
Второй шаг это удаление вредного вирусного модуля из автозагрузки. Посмотреть на запуск программ в фоновом режиме при загрузку можно при помощи утилиты msconfig (Пуск-Выполнить-msconfig) либо, что очень удобно, при помощи Total Commander или, что вообще хорошо, при помощи CodeStuff Starter. Вот самые типичные пути в реестре куда может записаться программа для автозагрузки:
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce;
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx;
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices;
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce;
• HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;
• HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce;Рассмотрим на примере: допустим мы заметили что-то подозрительное (например странный процесс с именем Barsaka).
Рассмотрим на примере: допустим мы заметили что-то подозрительное (например странный процесс с именем Barsaka).
jv16 PowerTools
Этот процесс может быть записан во многих ветвях реестра для автозагрузки, поэтому удобнее всего выполнить поиск по реестру с ключевым словом Barsaka. Достаточно хорошо это организовано в jv16PowerTools: в программе жмём Registry Finder, затем Search words “Barsaka”, старт и в случае удачного поиска отмечаем галочками нужные ключи и жмём Remove и надеемся, что он нас не побеспокоит, но имейте ввиду, что это не уничтожит сам вирус, хоть всё же предотвратит его дальнейшее распространение.
См. также:
Блог о красоте и всем таком остальном) Ну, вы меня поняли)