ЯК ПЕРЕВІРИТИ, НІ ЧИ НА ВАШОМУ ДОМУ троянський вірус?
Немає такого користувача, який не стикався з ситуацією, коли його комп'ютер починав сильно «гальмувати». Тобто починав занадто довго включатися, довго (в порівнянні з колишніми часами) обробляє інформацію, повільно відгукується на команди. Курсор перестає слухатися мишки і, взагалі, спілкування з комп'ютером перетворюється на катування. І що накажете робити в такому випадку?
Такі проблеми зазвичай виникають, якщо ви часто відвідуєте інтернет, і сайти, які ви відвідали, залишають на вашому комп'ютері так звані «куки-файли» (HTTP cookie), які призначені для полегшення авторизації користувача на сайті. Досі точаться суперечки про те, чи шкідливі «куки-файли» чи ні (віруси вони чи ні). Я вважаю, що шкідливі, раз вони гальмують роботу комп'ютера, але зараз мова піде не про них, тим більше, що очистити комп'ютер від цих файлів не становить труднощів, застосувавши деякі спеціалізовані програми типу «CCleaner». Давайте розглянемо варіант, коли причиною гальмування комп'ютера є наявність на вашому ПК дійсно небезпечних вірусів, яких ви мимоволі пригріли, і вони спокійно пасуться у вигляді троянських коней або іншої нечисті на безкрайніх просторах вашої операційної системи.
Почнемо з того, як вони могли потрапити на ваш комп'ютер. Існує безліч способів підхопити цю заразу. По-перше, напевно ви не завжди користуєтеся ліцензійними програмами, а застосовуєте платне програмне забезпечення, яке ви дістали десь «на халяву» (скачали з інтернету або вам дав товариш, який теж невідомо звідки взяв її). Можливо, ви скористалися сумнівним активатором для будь-якої програми. З цього приводу я вже висловлював свою думку в інших статтях. Краще не лінуватися і періодично встановлювати пробний варіант програми. Цьому питанню я присвятив цілий цикл статей під назвою « Як другий раз випробувати пробну версію сподобалася вам програми ».
По-друге, бувають випадки, коли, щоб підчепити вірус досить відвідати сумнівний сайт (слава Богу, більшість сучасних антивірусів вам показує рейтинг відвідуваних вами сайтів). Іноді досить просто відкрити електронний лист від «доброзичливця» «випадково» потрапила у вашу поштову скриньку (зазвичай ці листи представляють набір незрозумілих символів).
По-третє, можливо, вам підсадив трояна ваш «товариш», який «задарма» обслуговує ваш комп'ютер. І по-четверте, найчастіше ви отримуєте набір «троянів» разом з безкоштовними саморобними збірками різних варіантів операційних систем (типу «Звір» і т.п.).
Так ось, завдання будь-якого користувача - постаратися знайти вірус, що потрапив на його ПК і знешкодити його. Для цього існує безліч спеціалізованих програм (антивіруси, антишпигуни, фаєрволи, брандмауери і т.п.) розробники яких «зуб дають на відсіч» (або гадом будуть), що якщо ви скористаєтеся їх продукцією (особливо платній), то вам буде не страшний ніякий вірус. Насправді це далеко не так. Деякі віруси адаптовані під конкретні антивірусні і антишпигунські програми (точніше, вони відразу потрапляють в виключення, і антивірус на них не реагує).
Зараз я спробую розповісти про декілька способів, які доцільно застосовувати для пошуку вірусів на своєму комп'ютері.
Найпростіший і досить надійний спосіб перевірити комп'ютер на наявність вірусів це періодичне сканування ПК із застосуванням декількох антивірусів і декількох антишпигунів. Звертаю увагу на те, що антивіруси між собою не дружать (це відноситься до всіх антивірусів), і можуть видаляти файли своїх «колег по спеціальності» як шкідливі, після чого жоден з антивірусів не працюватиме коректно. Тому, якщо ви користуєтеся будь-якої платної антивірусною програмою, вам досить буде її відключити на час і запустити інший антивірус з компакт-диска або флешки. Як зробити таку флешку або диск, ви зможете дізнатися, заглянувши на сайт розробника будь-якого альтернативного вашому антивіруса. Зараз я не ставлю перед собою мету розрекламувати будь-якого виробника антивірусного продукту, тому залишаю за вами право самим знайти і виготовити собі носій з альтернативним вашому антивірусом. Єдине, що хочу нагадати, що антивіруси оновлюються по кілька разів на день і виготовлений сьогодні носій завтра без оновлення буде неактуальним.
Наступним кроком в перевірці наявності на комп'ютері шкідливих програм є уточнення переліку користувачів, які мають доступ до вашого комп'ютера. Деякі програми (найчастіше шкідливі) мають негативну звичку автоматично створювати нові облікові записи при їх інсталяції (установки на комп'ютер). Щоб перевірити, чи не відбулося таке з вашим ПК, натисніть кнопку «Пуск» і в полі пошуку (см.1 Ріс.0) введіть слово «адміністрування».
У вікні (точніше, що змінився вікні пошуку) виберіть однойменну утиліту (см.2 Рис.1) і клацніть по ній лівою кнопкою миші (ЛКМ).
У новому вікні (см.ріс.2) виберіть «Керування комп'ютером» і двічі клацніть ЛКМ.
У вікні Рис.3 натисніть на трикутнику зліва від «Локальні користувачі» (см.2 Рис.3), так щоб він зі світлого перетворився в зафарбований чорний (см.1 Рис.3). Після цього натисніть ЛКМ на папці «Користувачі» (см.3 Рис.3) і зверніть увагу на праву частину вікна Рис.3, в якому відображаються всі облікові записи, які є на вашому ПК. За замовчуванням там має бути тільки три облікові записи: «Адміністратор», «Гість» і Ваш обліковий запис, яку ви (або для вас) створили при установці на комп'ютер операційної системи. Інших облікових записів (якщо ви не давали на це згоди) немає і не повинно бути. У нашому прикладі існує стороння обліковий запис «UpdatusUser» (см.4 Рис.3). Її створила якась програма і, можливо, це програма не мирна. Так що доцільно таку обліковий запис видалити, як би вона не опиралася і що б вона не писала для обґрунтування своєї необхідності.
Натиснувши на зайвої облікового запису правою кнопкою миші, виберіть команду «Видалити». Перед вами з'явиться вікно-попередження Рис.4. Нехай вас не турбує зміст цього вікна, сміливо тисніть «Так».
Отже, ви позбулися небажаного користувача вашим комп'ютером, але, якщо ви читали мою статтю « Зміна автозавантаження на ПК під управлінням Windows », То, напевно, пам'ятаєте, що я акцентував увагу читачів, що деякі програми (особливо шкідливі) мають звичку Самозавантажний при запуску комп'ютера. І заборонити їм Самозавантажний можна тільки відредагувавши реєстр на вашому ПК.
Нагадую, що перш, ніж братися за редагування реєстру, необхідно створити точку відновлення. Про те, як це робити, я розповідав в статті « Відновлення операційної системи ».
Після того, як ви створили точку відновлення, можна сміливо братися за редагування реєстру. Натискаєте кнопку «Пуск» і у вікні вибираєте команду «Виконати». У новому вікні набираєте команду «regedit». Як запускати редактор реєстру і як ним користуватися, я коротко описував в статті « Видалення слідів Avast з реєстру ». І настійно рекомендую з нею ознайомитися.
У вікні Редактора реєстру (Рис.5) Відкрийте кореневу ключ HKEY_CURRENT_USER (см.1 Рис.5), натиснувши на світлий трикутник зліва від цього ключа. При цьому трикутник перетвориться в зафарбований чорним кольором (см.4 Рис.5), а під ключем з'являться вкладені в нього ключі. З з'явилися вкладених ключів виберіть ключ "Software» (см.5 Рис.5), який необхідно відкрити точно так же, як і кореневої ключ. У списку вкладених ключів в ключ «Software» знайдіть ключ «Microsoft», який теж необхідно відкрити і знайти в ньому ключ «Windows», а в тому ключі знайти ключ «CarrentVersion» і теж його відкрити. Все, в цьому кущі ви відкрили всі необхідні складні ключі. Тепер в ключі «CarrentVersion» вам необхідно знайти два простих ключа «Run» і «RanOnce». У ці ключі не повинно бути вкладено жодних ключів, тобто зліва від них не повинно бути світлого трикутника такого, як 3 на Рис.5. Якщо все ж трикутник є, відкрийте ключ і видаліть всі ключі, що входять до складу ключів «Run» і «RanOnce» (ви не помилитеся, вкладені ключі візуально пов'язані між собою вертикальними лініями). Видалення зайвих ключів проводиться натисненням на них правою кнопкою миші і вибором команди «Видалити». Після того, як ви перетворюєте складні ключі «Run» і «RanOnce» в прості (зліва не буде трикутника), приступаємо до оптимізації параметрів вищевказаних ключів. Виділивши лівою кнопкою миші один зі згаданих ключів (в даному прикладі це ключ «Run» 1 Рис.6), перейдіть в праву частину вікна Редактора реєстру і проаналізуйте всі параметри, які є в ключі «Run». Всі наявні параметри обведені червоним прямокутником (см.2 Рис.6). Після того, як операційна система була встановлена на ваш ПК, там був тільки один параметр за замовчуванням (см.3 Рис.6). Але як тільки ви почали встановлювати на комп'ютер нові програми, з'явилися й інші, які відповідають за автозагрузку відповідних програм. Уважно проаналізуйте ці параметри. Ті, які відносяться до програм, проти автозавантаження яких ви не маєте нічого проти, залиште без зміни. А назва тих, які вам не знайомі, запишіть і пошукайте в інтернеті, що це за програми, і наскільки вони небезпечні. Зайві параметри (в моєму випадку це GoogleToolbar см.4 і 5 Рис.6) видаліть командою «Видалити», яку ви викличете, натиснувши на параметрі правою кнопкою миші (видалення станеться після підтвердження команди на видалення у вікні-попередженні). Звертаю увагу, що параметри автозапуску антивірусної програми, яка стоїть на вашому ПК, видаляти не можна. Аналогічну перевірку проведіть для параметрів ключа «RanOnce». Як ви бачите на Рис.7, у мене цей ключ чистий, як душа немовляти. У вас може бути інакше, але ви не лякайтеся, головне проаналізуйте параметри і не видаляйте ті, що відносяться до антивірусу. Якщо ви видалите зайвий параметр, ви не зіпсуєте програму, а тільки забороніть її автозавантаження при запуску ПК. Але ви завжди зможете запустити програму вручну.
Аналогічні операції проведіть з кореневим ключем HKEY_LOKAL_MACHINE (см.2 Рис.5). Для цього ключа пройдіть шлях HKEY_LOKAL_MACHINE / Software / Microsoft / Windows / CarrentVersion. В останньому знайдіть вкладені ключі «Run» і «RanOnce» і виконайте для них такі ж операції, як ми тільки що розглядали.
Ще раз нагадую, якщо ви помилитеся і пошкодите реєстр, ви завжди можете відновити його по контрольної точки відновлення.
Іценко Олександр Іванович
ЯК ПЕРЕВІРИТИ, НІ ЧИ НА ВАШОМУ ДОМУ троянський вірус?І що накажете робити в такому випадку?