Что делать, если вирус все-таки проник на компьютер? В данном параграфе будет предполагаться, что антивирусная программа установлена на компьютере, но она по каким-то причинам пропустила вирус. Так действительно бывает на практике, талантливые вирусописатели обязательно тестируют своё «детище» на его недетектируемость основными антивирусными программами. Таким образом, вирус может заразить миллионы компьютеров перед тем, как против него создадут лекарство.Признаки заражения компьютера вирусами
Каковы признаки, что происходит что-то неладное? Заметное замедление работы компьютера, зависание окон, браузера, ненормально активная работа жесткого диска. Следует отметить, что эти симптомы не обязательно вызваны действием вирусов, возможно, что Винда просто замусорена, и это является причиной глюков. Но следует насторожиться, если компьютер необычно себя повел СРАЗУ после того, как на нём побывала чужая флешка, диск или СРАЗУ после посещения какого-либо сомнительного ресурса в Интернете, открытия сомнительного файла, установки сомнительной программы. В ряде случаев заражение происходит бессимптомно, в оперативной памяти просто болтается скромная программка, которая не тормозит работу компьютера и тихой сапой рассылает спам или сканирует логины/пароли, которые набирает пользователь. Вирусописателю совсем не нужно, чтобы «жертва» что-либо заподозрила. Вот почему ОЧЕНЬ ВАЖНО знать обитателей своей оперативной памяти и отслеживать трафик (см. п. 5 предыдущей статьи).
Что делать, если есть основания полагать, что произошло вирусное заражение?
НЕМЕДЛЕННО принимаем меры! Ни через пол часа, ни через час, ни завтра, а ПРЯМО СЕЙЧАС. Повторяю, ПРЯМО СЕЙЧАС. Не исключено, что у вируса очень разветвленный и мощный деструктивный функционал, и завтра вы просто не сможете загрузиться.
1) Обновляем антивирусные базы. Отключаемся от Интернета, локальной сети и закрываем все приложения (кроме антивируса), все окна. В антивирусной программе ставим компьютер на полную проверку.
2) Узнаём, как называется исполняемый файл вируса. Запускаем программу RegCleaner (или аналогичную, или системными средствами) и смотрим, не появилось ли чего-нибудь «левого» в Автозагрузке. Почти все вирусы ставят себя в Автозагрузку с целью инициализации при каждом запуске компьютера, и в большинстве случаев в Автозагрузку ставится исполняемый файл вируса – условно я буду называть врага sklfgf.exe. Там же будет прописан путь – папку, в которую поместил себя вирус, чаще всего, какая-нибудь виндовская папка на системном диске: C:\WINDOWS\… В том случае, если антивирусная программа так и не продетектирует файл sklfgf.exe как вредоносную программу, её придется удалять вручную, поэтому запоминаем или записываем на листочке путь к вирусному файлу. И, конечно, удаляем автозапуск sklfgf.exe из системного реестра.
3) Пытаемся завершить нежелательный процесс и удалить тело вируса. Независимо от того, нашлось или нет что-то нехорошее в Автозагрузке, заходим в Диспетчер задач и изучаем список процессов, находящихся в оперативной памяти. Вот здесь нам очень поможет знание «обитателей нашей квартиры». Следует быть очень внимательным, остроумные вирусописатели часто маскируют вирус под стандартный системный процесс, называют его, например, svchoсt.exe – не сразу и отличишь от «нормального» svchost.exe!
Итак, если в Автозагрузке мы обнаружили sklfgf.exe, то процесс с таким же названием должен болтаться и в оперативной памяти. Но, если в Автозагрузке ничего подозрительного нет, то это еще не значит, что в оперативной памяти не находится наш вирус sklfgf.exe! Во втором случае нужно узнать путь, где лежит тело вируса, воспользуемся поиском: Пуск – Найти – Файлы и папки, вводим в поле поиска sklfgf.exe, выясненный путь записываем на листочек. В поиск обязательно нужно включить все системные и скрытые файлы и папки. Примечание: если у вас на компьютере по умолчанию не отображаются скрытые файлы и папки, то их нужно отобразить.
Но здесь нужно проявить осторожность, вполне возможно, что процесс sklfgf.exe вовсе и не вирус, а какой-нибудь драйвер или модуль полезного приложения, который мы не замечали раньше. Как это выяснить – чуть ниже.
Через правый щелчок пробуем принудительно завершить процесс sklfgf.exe. При этом возможны два варианта: процесс завершается либо не завершается (или перезапускается). Предположим, что процесс удалось завершить. Теперь вручную через Мой компьютер или Проводник ищем файл sklfgf.exe по предварительно записанному пути. На компьютере должны отображаться скрытые файлы и папки, поскольку файл sklfgf.exe практически всегда имеет статус «Скрытый».
Смотрим его Свойства через контекстное меню, а именно – дату создания. Создан сегодня? Очень хорошо, с большой долей вероятности – это вирус. Дополнительным аргументом в пользу того, что это вредоносная программа, может служить путь: это системная папка (подпапка) C:\WINDOWS\… или профиль Администратора C:\Documents and Settings\Администратор\… Если файл sklfgf.exe создан несколько лет назад и (или) лежит в папке какого-нибудь приложения, то это еще не значит, что это не вирус. Для пущей уверенности следует выйти в Интернет и набрать в поисковике «sklfgf.exe», что думают об этом процессе пользователи? Более того, в Сети можно найти и готовый способ лечения того или иного вируса.
Предположим, мы пришли к выводу, что файл sklfgf.exe – это тело вируса. Пробуем удалить его штатными средствами, например, клавишей Delete. Тут опять возможны два варианта: файл удален либо файл не удаляется (занят каким-либо приложением или процессом). Если файл успешно удален, то антивирусную борьбу, вероятно, можно считать завершенной. Через неделю-другую неплохо бы еще раз просканировать весь компьютер с помощью антивируса с обновленными антивирусными базами, возможно, зловред оставил после себя мусор или какие-нибудь «вспомогательные» файлы.
4) Не удается завершить вредоносный процесс средствами Диспетчера задач и (или) удалить тело вируса. Что делать, если выдается сообщение о том, что вредоносный процесс sklfgf.exe завершить невозможно или он, как птица Феникс, перезапускается? Что делать, если процесс sklfgf.exe завершить таки удалось, но не удаляется сам файл sklfgf.exe?
Загружаемся в безопасном режиме (держим клавишу F8 при загрузке компьютера). В безопасном режиме загружается минимальный набор жизненно важных драйверов и системных процессов. Ищем файл sklfgf.exe по предварительно записанному на листочек пути и расправляемся с ним.
5) Тело предполагаемого вируса вообще не обнаружено или меры, предпринятые в предыдущих пунктах, не дали результата. То есть компьютер (после посещения сомнительного ресурса, открытия файла, установки программы) все равно ведет себя очень странно, хотя в Автозагрузке и Диспетчере задач нет никаких следов вирусной атаки. Некоторые зловреды (так называемые руткиты) в явном виде никак себя не обнаруживают, более того, вирусы могут встроиться в стандартный системный процесс, системную библиотеку. Косвенным подтверждением этого является ненормально высокий уровень загрузки процессора каким-нибудь системным процессом, данный факт можно заметить в Диспетчере задач.
Пробуем еще один рубеж обороны: Восстановление Windows. Операционная система создает свои резервные копии, и существует возможность откатить Винду к состоянию, которое было, скажем, несколько дней или 1-2 недели назад. Сделать это можно двумя способами: через безопасный режим при перезагрузке компьютера (по нажатию F8) либо прямо из Windows: Пуск – Программы – Стандартные – Служебные – Восстановление системы. Дата отката по возможности не должна превышать семи дней. Если откат операционной системы осуществить удалось, то в большинстве случаев вирусы и (или) дефектные системные файлы будут упакованы в архивную копию Винды. Напоследок еще раз сканируем антивирусом весь компьютер, нередко вирусы обнаруживаются как раз в виндовских архивах.
6) Предпринятые меры антивирусного лечения не дали результата, откат операционной системы совершить не удалось. Продолжаем отступление, пробуем R-консоль восстановления Windows мультизагрузочного дистрибутивного диска. Сделать это можно опять же двумя способами: загрузившись с этого диска или прямо из среды Windows. Если операционная система установлена во времена царя Бориса или вы чувствуете, что она замусорилась и глючит, то может быть стоит задуматься о полной переустановке Windows? Лучше потратить некоторое время и жить с летающей Виндой.
Конечно, перед радикальными мерами (в том числе, перед процедурой консольного восстановления) следует создать резервную копию всех важных файлов, закладок браузера. Более подробно об установке/переустановке операционки читайте в статье Полезные советы при установке Windows. Как грамотно и надежно сохранить свою информацию – в статье Методы сохранения и защиты информации.
Процедура восстановления системы с дистрибутивно диска также проводится в том случае, если вирус повредил или удалил критически важные системные файлы и загрузка вообще невозможна. Однако в этой ситуации следует дифференцировать действие вирусов от логических и физических повреждений жесткого диска, как действовать, если потерян какой-нибудь системный файл и загрузка невозможна, читайте в статье Неисправности жесткого диска.
7) К счастью, в 99 случаев из 100 до этого этапа дело не доходит. Полная переустановка операционной системы. Увы, но глухое падение системы всё же иногда происходит. Не случайно функциональность антивируса Касперского позволяет сделать аварийный загрузочный диск для антивирусного лечения в тяжелых случаях. Но кто же создает подобный диск? Есть сильное подозрение, что 1 пользователь из 100. Русский авось. И, конечно, не стоит забывать, что глухое падение системы может быть вызвано физическими неполадками, а вовсе не вирусами.
Надеюсь, что приведенный алгоритм всегда поможет вам эффективно справиться с вирусными атаками. Но, в первую очередь берегите свой персональный компьютер! Не торопитесь устанавливать малоизвестные приложения, плагины, открывать сомнительные файлы, воздержитесь от посещений нехороших сайтов и будьте начеку при осуществлении электронных платежей через Интернет. Осторожность – лучшая сторона доблести.