Як видалити вірус без антивіруса

  1. Як видалити вірус без антивіруса Ви знаєте як повернути стан вашого Windows в момент часу, коли він...
  2. Контрольні точки відновлення Windows
  3. Windows SteadyState або миттєвий знімок диска
  4. образи дисків
  5. висновок
  6. Як видалити вірус без антивіруса
  7. Вступ
  8. Контрольні точки відновлення Windows
  9. Windows SteadyState або миттєвий знімок диска
  10. образи дисків
  11. висновок
  12. Як видалити вірус без антивіруса
  13. Вступ
  14. Контрольні точки відновлення Windows
  15. Windows SteadyState або миттєвий знімок диска
  16. образи дисків
  17. висновок
  18. Як видалити вірус без антивіруса
  19. Вступ
  20. Контрольні точки відновлення Windows
  21. Windows SteadyState або миттєвий знімок диска
  22. образи дисків
  23. висновок
  24. Як видалити вірус без антивіруса
  25. Вступ
  26. Контрольні точки відновлення Windows
  27. Windows SteadyState або миттєвий знімок диска
  28. образи дисків
  29. висновок

Як видалити вірус без антивіруса

Ви знаєте як повернути стан вашого Windows в момент часу, коли він ще не був заражений вірусом? Цей легко можна робити без антивіруса і, до того ж, це може зайняти лише лічені частки секунди.

Неважливо, як далеко ви пішли по неправильному шляху - повертайтеся.
турецька приказка

Денис Батранков, [email protected]

Вступ

Дуже цікаво дивитися на людей, які, розуміючи наявність комп'ютерного вірусу на своїй операційній системі Windows, проводять конкурс: який антивірус краще. З інтернету або з наявного диска використовуються всі антивіруси поспіль, поки черговий не скаже, що вірус знайдений і вилікуваний. Однак цей метод не завжди дає потрібний результат і тоді людина переустановлює операційну систему і заспокоюється.

Чи потрібно використовувати антивіруси? Потрібно. Але при цьому треба розуміти, що антивіруси не завжди ловлять віруси. Для прикладу візьмемо недавній звіт SurfRight де було досліджено 107 435 реальних комп'ютерів. 37898 комп'ютерів (35% з усіх) було інфіковано шкідливим кодом і при цьому на 25038 стояли антивіруси одночасно з вірусами, але антивіруси про це не знали. Як бачите на цьому прикладі 2/3 заражених комп'ютерів (25038 з 37898) мало антивірус, але їм це не допомогло. Добре, однак, що на інших комп'ютерах наявність антивіруса допомогло. Таким чином, антивірус - це частина захисту, необхідна, але недостатня.

Примітка: в статті під «вірусом» розуміємо «будь-який вид шкідливого коду»

Фахівці з комп'ютерної безпеки називають шкідливі програми різними іменами в залежності від завдань, які вирішує для зловмисника наявний в них код. Наприклад, завдання класичного комп'ютерного вірусу - впровадитися в інший код або замінити його. Завданням руткита є приховати свою присутність в системі. Завданням троянської програми є вкрасти якісь дані. Завданням програм-вимагачів є зашифрувати ваші файли або перекрити доступ в систему. Завданням мережевих черв'яків є поширення свого коду по мережі. І так далі. Часто зловмисники поєднують всі ці завдання в одному модулі шкідливої ​​програми, і він одночасно і мережевий черв'як і троян і руткит, а для прикриття ще і скрінсейвер або лже-антивірус. У літературі іноді всі ці типи називають «зловредів», щоб скоротити вираз «шкідливий код». Неологізм «зловредів» мені не подобається, тому я його не вживаю. У цій статті слово «вірус», використовується як характерний приклад будь-якого шкідливого коду. Тому читаючи слово «вірус» в цій статті, розуміємо: «будь-який шкідливий код».

Чи потрібно встановлювати заново Windows, якщо шкідливий код ніяк не видаляється і не виявляється? Так, це один з варіантів. Але недолік методу перевстановлення Windows полягає в тому, що установка займає час: адже потрібно встановити всі необхідні драйвери, додаткове програмне забезпечення, наприклад Microsoft Office і так далі, а може зайняти весь день (або всю ніч).

Звичайно, допитливий читач вже здогадується, що заново Windows не завжди потрібно, якщо ви завчасно створили образ вашої системи (бекап) за допомогою спеціалізованих програм, типовим представником яких є Norton Ghost. Однак є інші ще більш швидкі способи, що дозволяють повернути стан комп'ютера в момент часу, коли ще не був заражений. Пора дізнатися, як можна прискорити процес повернення своєї операційної системи в цей стан.

Контрольні точки відновлення Windows

Безліч проблем можна було б уникнути, якби домашні користувачі працювали з мінімальними привілеями, але все правильні слова безпечники про це розбиваються об реальне життя. Будь-який домашній користувач, який намагається виконати цей простий корисну пораду, впирається в повідомлення Windows про те, що для впізнання нової флешки потрібно бути адміністратором, для запису DVD диска потрібно бути адміністратором. І в підсумку він плює на корисні поради, включає у себе адміністративні права і продовжує жити щасливо, і, що цікаво, довго, оскільки сучасні шкідливі програми не шкодять своєму зберігачу до пори до часу, поки на це не буде отримано відповідну команда. Але от коли команда отримана і вас просять відправити SMS на короткий номер або перевести гроші за розшифрування ваших же DOC файлів - вже точно прийшла пора діяти.

Робота з мінімальними привілеями - не панацея від усіх бід

Періодично в Windows знаходять способи підвищити рівень привілеїв до адміністратора. Наприклад, навіть в цьому році була знайдена така вразливість, яка дозволяла стати адміністратором і Windows XP SP3 і Windows 7. Опис уразливості можна знайти за номером CVE-2010-0232 ( http://xforce.iss.net/xforce/xfdb/55742 ) Таким чином, навіть працюючи з мінімальними правами у вас немає 100% гарантії, що шкідливий код не зможе отримати права адміністратора. Тому рекомендується відключати вразливі сервіси і постійно встановлювати оновлення компонентів для Windows всіх версій.

Перед тим як починати лікування потрібно згадати, той день, коли ви могли заразитися. Це могло бути, взагалі кажучи, відвідування будь-якого сайту, завантаження будь-якої програми, перегляд будь-якого PDF або відео по Інтернет, встромлена в USB флешка, атака з сусіднього комп'ютера. Зараз заразитися можна всюди, навіть на цілком порядних сайтах і навіть переглядаючи абсолютно нешкідливі документи: PDF, XLS, DOC. З вибором дати можна не боятися: навіть якщо ви помилитеся з датою, завжди можна відкотити зміни або вибрати дату ще більш ранню. За замовчуванням функція відновлення системи Windows XP і Vista зберігає системні файли і реєстр раз на добу, а Windows 7 - раз в тиждень.

Потім ви запускаєте стандартну службову програму "Відновлення системи" з меню Пуск і повертаєте систему в стан до зараження, вказавши потрібну дату у відповідному вікні програми. Точка відновлення системи - ця інформація про стан системи на зазначену дату та час. Тому, вибравши потрібну точку відновлення, ви можете повернути стан системи на той момент. От і все. Повторюся: якщо лікування було невдалим, то ви можете відкинути редагування назад або вибрати ще більш ранню точку відновлення.

Ось як виглядає скріншот для Windows XP.

Ось як виглядає скріншот для Windows XP

Ось як виглядає скріншот для Windows 7.

Ось як виглядає скріншот для Windows 7

При відновленні в Windows 7 ви можете подивитися програми, які будуть порушені при відновленні. У Windows XP служба відновлення системи відстежує лише ключовий набір файлів системи і додатків, а в Windows 7 система стежить за змінами всього диска. Однак в обох операційних системах призначені для користувача файли не включаються до точки відновлення системи, тому повернення до попередньої точки не призведе до втрати ваших документів.

У Windows XP, якщо ви зберігали документи в папці «Мої документи», то вони залишаться в цілості й схоронності, а ось робочий стіл буде повернений в попередній стан, крім того будуть відновлені системні файли, включаючи реєстр. У Windows 7 ні папка «Мої документи», ні робочий стіл не змінюється при відновленні.

Якщо ви читаєте цю статтю до того як збираєтеся використовувати точки відновлення, то перевірте, а чи включена у вас ця функція - це допоможе вам відновити систему в майбутньому при будь-якої аварійної ситуації. У Windows XP виберіть: Мій Комп'ютер - Властивості - Відновлення системи, в Windows 7: Комп'ютер - Властивості - Захист системи.

Скріншот з Windows 7 з включеною захистом диска C:

Windows SteadyState або миттєвий знімок диска

Ще більш вдалою безкоштовної функцією для відновлення системи, яка є в Windows є компонент SteadyState . Він доступний для Windows XP і Vista і його треба завантажити з сайту Microsoft і встановити додатково. У Windows 7 ця функція на момент написання статті (травень 2010 року) відсутній. В принципі аналогічні рішення існують і у сторонніх розробників, перерахую їх: ShadowUser, Deep Freeze, Renurnil, Shadow Defender. Деякі з них теж мають безкоштовні версії. І деякі з них працюють також під Windows 7.

Windows SteadyState і інші подібні системи спочатку розроблялася для використання на загальнодоступних комп'ютерах в готелях і інтернет-кафе. Але ця технологія також дуже корисна і домашнім користувачам як система постійної підтримки Windows в працездатному стані.

Щоб зрозуміти, як все такі системи працюють, потрібно уявити, що ваш Windows запускається і робить миттєвий знімок всієї інформації на дисках і потім працює не на вашу реальну диску, а на цій копії диска, вона називається тіньовою копією. Це як якщо б ви зробили бекап і працювали на ньому, замість реального диска. Ви можете змінювати і видаляти всі що завгодно на цій тіньової копії, але ваш реальний диск завжди залишається незмінним. Якщо ви відчуваєте, що пора «лікуватися», то можна просто натиснути кнопку reset і Windows знову завантажиться з «чистого аркуша», тобто з незмінною копії вашого диска. Ви витрачаєте на очищення системи 0 секунд.

Природно, для того, щоб пам'ятати всі зміни на копії, Windows SteadyState потрібно якесь місце на диску. Для цього виділяється і використовується спеціальний файл кешу, розмір якого ви можете регулювати. У цей файл записуються всі «зміни», які насправді не справляються з диском. В інших подібних речовинах, перерахованих вище, є більш оригінальні рішення, коли використовується наявний вільний від файлів простір на реальному диску, де і зберігається інформація про зміни під час роботи. При перезапуску вся ця інформація про зміни, скидається.
Скріншот, де захист жорсткого диска включена.

Скріншот, де захист жорсткого диска включена

Таким чином, гідністю Windows SteadyState є те, що будь-які зміни, які відбувалися в системі, ви можете вилікувати звичайним перезапуском системи. Мінусом є те, що ви повинні подбати про збереження своїх документів, які зберігаються на ваших дисках. Оскільки Windows SteadyState захищає тільки розділ, де розташована система, то ви можете зберігати документи на сусідніх розділах. А якщо ви будете зберігати ваші документи (або фільми чи музику) на мережевих дисках, то ви ще більше спростите собі життя. Треба зауважити, що сторонні продукти, перераховані вище, пропонують більш розширений функціонал цього виду захисту, але при цьому просять за це грошей.

образи дисків

Говорячи про системи відновлення не можна не згадати спосіб, коли ви можете зробити звичайний архів вашої системи і потім її відновити. Системи бекапу дисків розвинулися дуже сильно: вони вже можуть робити архів працюючої системи - не витрачаючи ваш робочий час в очікуванні, коли процес завершиться. Створені бекапи Windows можуть бути відновлені навіть на зовсім інший комп'ютер, де вже буде інше залізо: процесор, материнська плата, відеокарта і ін. Однак найшвидшим способом відновлення я вважаю роботу на миттєвих копіях диска, коли звичайної перезавантаженням ви безслідно перете наслідки своїх помилкових дій . І витрачаєте на стирання вірусу 0 секунд свого часу.

висновок

Отже, ми вивчили кілька способів відновлення системи після зараження. Найшвидшим способом відновлення зараження є робота на тіньовому знімку диска, найповільнішим - відновлення з бекапа. Однак, всі ці способи швидше і надійніше, ніж будь-який антивірус, особливо при захисті від таких видів шкідливого коду, як руткіти. Руткіти спеціально призначені для приховування від антивірусів і дуже часто антивіруси нездатні протистояти їм. Саме на базі руткітів будуються цілі мережі керованих віддалено комп'ютерів (ботів), а антивіруси і люди навіть не помічають цього.

Приклад: Руткіт TDSS (так само відомий як Alureon, Tidserv або TDL3)

Наводжу приклад цього руткита, тому що в моєму оточенні я виявив дуже багато людей заражених цим руткітом, а це і комерційні і держ. організації. Спосіб зараження в виявлених мною випадках - автозапуск з флешки. Антивіруси цей руткит не виявляються, кращий спосіб для його пошуку - утиліта TDSS Remover . На основі даних компанії Damballa, вважається, що на сьогоднішній день найбільший ботнет Zeus призначений для крадіжки паролів до систем інтернет-банкінгу. Але в Росії схоже це TDSS. Для перевірки запустіть у себе цю утиліту, раптом вона щось знайде і у вас?

Особливістю описаних способів захисту (як і багатьох інших в нашому житті) є те, що ми все одно повинні підготуватися до можливої ​​вірусної атаки - якщо ви не подумали завчасно і не включили вбудовану систему захисту, то вона і не спрацює. Подивіться у себе: чи включені точки відновлення, встановіть Windows SteadyState, створіть бекап системи. Зробіть будь-яке їхнє цих простих дій і вам не треба буде потім шкодувати і відновлювати працездатність вашого комп'ютера тривалий час. Будь-які питання по будь-якій їхній цих технологій ви можете задавати на форумі securitylab.ru в розділі Windows. А також рекомендую додатково потурбуватися безпекою свого Windows і налаштувати його відповідно до рекомендацій з безпеки. Хоча б відключіть, нарешті, автозапуск вірусів з флешок.

Денис Батранков, [email protected]

Як видалити вірус без антивіруса

Ви знаєте як повернути стан вашого Windows в момент часу, коли він ще не був заражений вірусом? Цей легко можна робити без антивіруса і, до того ж, це може зайняти лише лічені частки секунди.

Неважливо, як далеко ви пішли по неправильному шляху - повертайтеся.
турецька приказка

Денис Батранков, [email protected]

Вступ

Дуже цікаво дивитися на людей, які, розуміючи наявність комп'ютерного вірусу на своїй операційній системі Windows, проводять конкурс: який антивірус краще. З інтернету або з наявного диска використовуються всі антивіруси поспіль, поки черговий не скаже, що вірус знайдений і вилікуваний. Однак цей метод не завжди дає потрібний результат і тоді людина переустановлює операційну систему і заспокоюється.

Чи потрібно використовувати антивіруси? Потрібно. Але при цьому треба розуміти, що антивіруси не завжди ловлять віруси. Для прикладу візьмемо недавній звіт SurfRight де було досліджено 107 435 реальних комп'ютерів. 37898 комп'ютерів (35% з усіх) було інфіковано шкідливим кодом і при цьому на 25038 стояли антивіруси одночасно з вірусами, але антивіруси про це не знали. Як бачите на цьому прикладі 2/3 заражених комп'ютерів (25038 з 37898) мало антивірус, але їм це не допомогло. Добре, однак, що на інших комп'ютерах наявність антивіруса допомогло. Таким чином, антивірус - це частина захисту, необхідна, але недостатня.

Примітка: в статті під «вірусом» розуміємо «будь-який вид шкідливого коду»

Фахівці з комп'ютерної безпеки називають шкідливі програми різними іменами в залежності від завдань, які вирішує для зловмисника наявний в них код. Наприклад, завдання класичного комп'ютерного вірусу - впровадитися в інший код або замінити його. Завданням руткита є приховати свою присутність в системі. Завданням троянської програми є вкрасти якісь дані. Завданням програм-вимагачів є зашифрувати ваші файли або перекрити доступ в систему. Завданням мережевих черв'яків є поширення свого коду по мережі. І так далі. Часто зловмисники поєднують всі ці завдання в одному модулі шкідливої ​​програми, і він одночасно і мережевий черв'як і троян і руткит, а для прикриття ще і скрінсейвер або лже-антивірус. У літературі іноді всі ці типи називають «зловредів», щоб скоротити вираз «шкідливий код». Неологізм «зловредів» мені не подобається, тому я його не вживаю. У цій статті слово «вірус», використовується як характерний приклад будь-якого шкідливого коду. Тому читаючи слово «вірус» в цій статті, розуміємо: «будь-який шкідливий код».

Чи потрібно встановлювати заново Windows, якщо шкідливий код ніяк не видаляється і не виявляється? Так, це один з варіантів. Але недолік методу перевстановлення Windows полягає в тому, що установка займає час: адже потрібно встановити всі необхідні драйвери, додаткове програмне забезпечення, наприклад Microsoft Office і так далі, а може зайняти весь день (або всю ніч).

Звичайно, допитливий читач вже здогадується, що заново Windows не завжди потрібно, якщо ви завчасно створили образ вашої системи (бекап) за допомогою спеціалізованих програм, типовим представником яких є Norton Ghost. Однак є інші ще більш швидкі способи, що дозволяють повернути стан комп'ютера в момент часу, коли ще не був заражений. Пора дізнатися, як можна прискорити процес повернення своєї операційної системи в цей стан.

Контрольні точки відновлення Windows

Безліч проблем можна було б уникнути, якби домашні користувачі працювали з мінімальними привілеями, але все правильні слова безпечники про це розбиваються об реальне життя. Будь-який домашній користувач, який намагається виконати цей простий корисну пораду, впирається в повідомлення Windows про те, що для впізнання нової флешки потрібно бути адміністратором, для запису DVD диска потрібно бути адміністратором. І в підсумку він плює на корисні поради, включає у себе адміністративні права і продовжує жити щасливо, і, що цікаво, довго, оскільки сучасні шкідливі програми не шкодять своєму зберігачу до пори до часу, поки на це не буде отримано відповідну команда. Але от коли команда отримана і вас просять відправити SMS на короткий номер або перевести гроші за розшифрування ваших же DOC файлів - вже точно прийшла пора діяти.

Робота з мінімальними привілеями - не панацея від усіх бід

Періодично в Windows знаходять способи підвищити рівень привілеїв до адміністратора. Наприклад, навіть в цьому році була знайдена така вразливість, яка дозволяла стати адміністратором і Windows XP SP3 і Windows 7. Опис уразливості можна знайти за номером CVE-2010-0232 ( http://xforce.iss.net/xforce/xfdb/55742 ) Таким чином, навіть працюючи з мінімальними правами у вас немає 100% гарантії, що шкідливий код не зможе отримати права адміністратора. Тому рекомендується відключати вразливі сервіси і постійно встановлювати оновлення компонентів для Windows всіх версій.

Перед тим як починати лікування потрібно згадати, той день, коли ви могли заразитися. Це могло бути, взагалі кажучи, відвідування будь-якого сайту, завантаження будь-якої програми, перегляд будь-якого PDF або відео по Інтернет, встромлена в USB флешка, атака з сусіднього комп'ютера. Зараз заразитися можна всюди, навіть на цілком порядних сайтах і навіть переглядаючи абсолютно нешкідливі документи: PDF, XLS, DOC. З вибором дати можна не боятися: навіть якщо ви помилитеся з датою, завжди можна відкотити зміни або вибрати дату ще більш ранню. За замовчуванням функція відновлення системи Windows XP і Vista зберігає системні файли і реєстр раз на добу, а Windows 7 - раз в тиждень.

Потім ви запускаєте стандартну службову програму "Відновлення системи" з меню Пуск і повертаєте систему в стан до зараження, вказавши потрібну дату у відповідному вікні програми. Точка відновлення системи - ця інформація про стан системи на зазначену дату та час. Тому, вибравши потрібну точку відновлення, ви можете повернути стан системи на той момент. От і все. Повторюся: якщо лікування було невдалим, то ви можете відкинути редагування назад або вибрати ще більш ранню точку відновлення.

Ось як виглядає скріншот для Windows XP.

Ось як виглядає скріншот для Windows XP

Ось як виглядає скріншот для Windows 7.

Ось як виглядає скріншот для Windows 7

При відновленні в Windows 7 ви можете подивитися програми, які будуть порушені при відновленні. У Windows XP служба відновлення системи відстежує лише ключовий набір файлів системи і додатків, а в Windows 7 система стежить за змінами всього диска. Однак в обох операційних системах призначені для користувача файли не включаються до точки відновлення системи, тому повернення до попередньої точки не призведе до втрати ваших документів.

У Windows XP, якщо ви зберігали документи в папці «Мої документи», то вони залишаться в цілості й схоронності, а ось робочий стіл буде повернений в попередній стан, крім того будуть відновлені системні файли, включаючи реєстр. У Windows 7 ні папка «Мої документи», ні робочий стіл не змінюється при відновленні.

Якщо ви читаєте цю статтю до того як збираєтеся використовувати точки відновлення, то перевірте, а чи включена у вас ця функція - це допоможе вам відновити систему в майбутньому при будь-якої аварійної ситуації. У Windows XP виберіть: Мій Комп'ютер - Властивості - Відновлення системи, в Windows 7: Комп'ютер - Властивості - Захист системи.

Скріншот з Windows 7 з включеною захистом диска C:

Windows SteadyState або миттєвий знімок диска

Ще більш вдалою безкоштовної функцією для відновлення системи, яка є в Windows є компонент SteadyState . Він доступний для Windows XP і Vista і його треба завантажити з сайту Microsoft і встановити додатково. У Windows 7 ця функція на момент написання статті (травень 2010 року) відсутній. В принципі аналогічні рішення існують і у сторонніх розробників, перерахую їх: ShadowUser, Deep Freeze, Renurnil, Shadow Defender. Деякі з них теж мають безкоштовні версії. І деякі з них працюють також під Windows 7.

Windows SteadyState і інші подібні системи спочатку розроблялася для використання на загальнодоступних комп'ютерах в готелях і інтернет-кафе. Але ця технологія також дуже корисна і домашнім користувачам як система постійної підтримки Windows в працездатному стані.

Щоб зрозуміти, як все такі системи працюють, потрібно уявити, що ваш Windows запускається і робить миттєвий знімок всієї інформації на дисках і потім працює не на вашу реальну диску, а на цій копії диска, вона називається тіньовою копією. Це як якщо б ви зробили бекап і працювали на ньому, замість реального диска. Ви можете змінювати і видаляти всі що завгодно на цій тіньової копії, але ваш реальний диск завжди залишається незмінним. Якщо ви відчуваєте, що пора «лікуватися», то можна просто натиснути кнопку reset і Windows знову завантажиться з «чистого аркуша», тобто з незмінною копії вашого диска. Ви витрачаєте на очищення системи 0 секунд.

Природно, для того, щоб пам'ятати всі зміни на копії, Windows SteadyState потрібно якесь місце на диску. Для цього виділяється і використовується спеціальний файл кешу, розмір якого ви можете регулювати. У цей файл записуються всі «зміни», які насправді не справляються з диском. В інших подібних речовинах, перерахованих вище, є більш оригінальні рішення, коли використовується наявний вільний від файлів простір на реальному диску, де і зберігається інформація про зміни під час роботи. При перезапуску вся ця інформація про зміни, скидається.
Скріншот, де захист жорсткого диска включена.

Скріншот, де захист жорсткого диска включена

Таким чином, гідністю Windows SteadyState є те, що будь-які зміни, які відбувалися в системі, ви можете вилікувати звичайним перезапуском системи. Мінусом є те, що ви повинні подбати про збереження своїх документів, які зберігаються на ваших дисках. Оскільки Windows SteadyState захищає тільки розділ, де розташована система, то ви можете зберігати документи на сусідніх розділах. А якщо ви будете зберігати ваші документи (або фільми чи музику) на мережевих дисках, то ви ще більше спростите собі життя. Треба зауважити, що сторонні продукти, перераховані вище, пропонують більш розширений функціонал цього виду захисту, але при цьому просять за це грошей.

образи дисків

Говорячи про системи відновлення не можна не згадати спосіб, коли ви можете зробити звичайний архів вашої системи і потім її відновити. Системи бекапу дисків розвинулися дуже сильно: вони вже можуть робити архів працюючої системи - не витрачаючи ваш робочий час в очікуванні, коли процес завершиться. Створені бекапи Windows можуть бути відновлені навіть на зовсім інший комп'ютер, де вже буде інше залізо: процесор, материнська плата, відеокарта і ін. Однак найшвидшим способом відновлення я вважаю роботу на миттєвих копіях диска, коли звичайної перезавантаженням ви безслідно перете наслідки своїх помилкових дій . І витрачаєте на стирання вірусу 0 секунд свого часу.

висновок

Отже, ми вивчили кілька способів відновлення системи після зараження. Найшвидшим способом відновлення зараження є робота на тіньовому знімку диска, найповільнішим - відновлення з бекапа. Однак, всі ці способи швидше і надійніше, ніж будь-який антивірус, особливо при захисті від таких видів шкідливого коду, як руткіти. Руткіти спеціально призначені для приховування від антивірусів і дуже часто антивіруси нездатні протистояти їм. Саме на базі руткітів будуються цілі мережі керованих віддалено комп'ютерів (ботів), а антивіруси і люди навіть не помічають цього.

Приклад: Руткіт TDSS (так само відомий як Alureon, Tidserv або TDL3)

Наводжу приклад цього руткита, тому що в моєму оточенні я виявив дуже багато людей заражених цим руткітом, а це і комерційні і держ. організації. Спосіб зараження в виявлених мною випадках - автозапуск з флешки. Антивіруси цей руткит не виявляються, кращий спосіб для його пошуку - утиліта TDSS Remover . На основі даних компанії Damballa, вважається, що на сьогоднішній день найбільший ботнет Zeus призначений для крадіжки паролів до систем інтернет-банкінгу. Але в Росії схоже це TDSS. Для перевірки запустіть у себе цю утиліту, раптом вона щось знайде і у вас?

Особливістю описаних способів захисту (як і багатьох інших в нашому житті) є те, що ми все одно повинні підготуватися до можливої ​​вірусної атаки - якщо ви не подумали завчасно і не включили вбудовану систему захисту, то вона і не спрацює. Подивіться у себе: чи включені точки відновлення, встановіть Windows SteadyState, створіть бекап системи. Зробіть будь-яке їхнє цих простих дій і вам не треба буде потім шкодувати і відновлювати працездатність вашого комп'ютера тривалий час. Будь-які питання по будь-якій їхній цих технологій ви можете задавати на форумі securitylab.ru в розділі Windows. А також рекомендую додатково потурбуватися безпекою свого Windows і налаштувати його відповідно до рекомендацій з безпеки. Хоча б відключіть, нарешті, автозапуск вірусів з флешок.

Денис Батранков, [email protected]

Як видалити вірус без антивіруса

Ви знаєте як повернути стан вашого Windows в момент часу, коли він ще не був заражений вірусом? Цей легко можна робити без антивіруса і, до того ж, це може зайняти лише лічені частки секунди.

Неважливо, як далеко ви пішли по неправильному шляху - повертайтеся.
турецька приказка

Денис Батранков, [email protected]

Вступ

Дуже цікаво дивитися на людей, які, розуміючи наявність комп'ютерного вірусу на своїй операційній системі Windows, проводять конкурс: який антивірус краще. З інтернету або з наявного диска використовуються всі антивіруси поспіль, поки черговий не скаже, що вірус знайдений і вилікуваний. Однак цей метод не завжди дає потрібний результат і тоді людина переустановлює операційну систему і заспокоюється.

Чи потрібно використовувати антивіруси? Потрібно. Але при цьому треба розуміти, що антивіруси не завжди ловлять віруси. Для прикладу візьмемо недавній звіт SurfRight де було досліджено 107 435 реальних комп'ютерів. 37898 комп'ютерів (35% з усіх) було інфіковано шкідливим кодом і при цьому на 25038 стояли антивіруси одночасно з вірусами, але антивіруси про це не знали. Як бачите на цьому прикладі 2/3 заражених комп'ютерів (25038 з 37898) мало антивірус, але їм це не допомогло. Добре, однак, що на інших комп'ютерах наявність антивіруса допомогло. Таким чином, антивірус - це частина захисту, необхідна, але недостатня.

Примітка: в статті під «вірусом» розуміємо «будь-який вид шкідливого коду»

Фахівці з комп'ютерної безпеки називають шкідливі програми різними іменами в залежності від завдань, які вирішує для зловмисника наявний в них код. Наприклад, завдання класичного комп'ютерного вірусу - впровадитися в інший код або замінити його. Завданням руткита є приховати свою присутність в системі. Завданням троянської програми є вкрасти якісь дані. Завданням програм-вимагачів є зашифрувати ваші файли або перекрити доступ в систему. Завданням мережевих черв'яків є поширення свого коду по мережі. І так далі. Часто зловмисники поєднують всі ці завдання в одному модулі шкідливої ​​програми, і він одночасно і мережевий черв'як і троян і руткит, а для прикриття ще і скрінсейвер або лже-антивірус. У літературі іноді всі ці типи називають «зловредів», щоб скоротити вираз «шкідливий код». Неологізм «зловредів» мені не подобається, тому я його не вживаю. У цій статті слово «вірус», використовується як характерний приклад будь-якого шкідливого коду. Тому читаючи слово «вірус» в цій статті, розуміємо: «будь-який шкідливий код».

Чи потрібно встановлювати заново Windows, якщо шкідливий код ніяк не видаляється і не виявляється? Так, це один з варіантів. Але недолік методу перевстановлення Windows полягає в тому, що установка займає час: адже потрібно встановити всі необхідні драйвери, додаткове програмне забезпечення, наприклад Microsoft Office і так далі, а може зайняти весь день (або всю ніч).

Звичайно, допитливий читач вже здогадується, що заново Windows не завжди потрібно, якщо ви завчасно створили образ вашої системи (бекап) за допомогою спеціалізованих програм, типовим представником яких є Norton Ghost. Однак є інші ще більш швидкі способи, що дозволяють повернути стан комп'ютера в момент часу, коли ще не був заражений. Пора дізнатися, як можна прискорити процес повернення своєї операційної системи в цей стан.

Контрольні точки відновлення Windows

Безліч проблем можна було б уникнути, якби домашні користувачі працювали з мінімальними привілеями, але все правильні слова безпечники про це розбиваються об реальне життя. Будь-який домашній користувач, який намагається виконати цей простий корисну пораду, впирається в повідомлення Windows про те, що для впізнання нової флешки потрібно бути адміністратором, для запису DVD диска потрібно бути адміністратором. І в підсумку він плює на корисні поради, включає у себе адміністративні права і продовжує жити щасливо, і, що цікаво, довго, оскільки сучасні шкідливі програми не шкодять своєму зберігачу до пори до часу, поки на це не буде отримано відповідну команда. Але от коли команда отримана і вас просять відправити SMS на короткий номер або перевести гроші за розшифрування ваших же DOC файлів - вже точно прийшла пора діяти.

Робота з мінімальними привілеями - не панацея від усіх бід

Періодично в Windows знаходять способи підвищити рівень привілеїв до адміністратора. Наприклад, навіть в цьому році була знайдена така вразливість, яка дозволяла стати адміністратором і Windows XP SP3 і Windows 7. Опис уразливості можна знайти за номером CVE-2010-0232 ( http://xforce.iss.net/xforce/xfdb/55742 ) Таким чином, навіть працюючи з мінімальними правами у вас немає 100% гарантії, що шкідливий код не зможе отримати права адміністратора. Тому рекомендується відключати вразливі сервіси і постійно встановлювати оновлення компонентів для Windows всіх версій.

Перед тим як починати лікування потрібно згадати, той день, коли ви могли заразитися. Це могло бути, взагалі кажучи, відвідування будь-якого сайту, завантаження будь-якої програми, перегляд будь-якого PDF або відео по Інтернет, встромлена в USB флешка, атака з сусіднього комп'ютера. Зараз заразитися можна всюди, навіть на цілком порядних сайтах і навіть переглядаючи абсолютно нешкідливі документи: PDF, XLS, DOC. З вибором дати можна не боятися: навіть якщо ви помилитеся з датою, завжди можна відкотити зміни або вибрати дату ще більш ранню. За замовчуванням функція відновлення системи Windows XP і Vista зберігає системні файли і реєстр раз на добу, а Windows 7 - раз в тиждень.

Потім ви запускаєте стандартну службову програму "Відновлення системи" з меню Пуск і повертаєте систему в стан до зараження, вказавши потрібну дату у відповідному вікні програми. Точка відновлення системи - ця інформація про стан системи на зазначену дату та час. Тому, вибравши потрібну точку відновлення, ви можете повернути стан системи на той момент. От і все. Повторюся: якщо лікування було невдалим, то ви можете відкинути редагування назад або вибрати ще більш ранню точку відновлення.

Ось як виглядає скріншот для Windows XP.

Ось як виглядає скріншот для Windows XP

Ось як виглядає скріншот для Windows 7.

Ось як виглядає скріншот для Windows 7

При відновленні в Windows 7 ви можете подивитися програми, які будуть порушені при відновленні. У Windows XP служба відновлення системи відстежує лише ключовий набір файлів системи і додатків, а в Windows 7 система стежить за змінами всього диска. Однак в обох операційних системах призначені для користувача файли не включаються до точки відновлення системи, тому повернення до попередньої точки не призведе до втрати ваших документів.

У Windows XP, якщо ви зберігали документи в папці «Мої документи», то вони залишаться в цілості й схоронності, а ось робочий стіл буде повернений в попередній стан, крім того будуть відновлені системні файли, включаючи реєстр. У Windows 7 ні папка «Мої документи», ні робочий стіл не змінюється при відновленні.

Якщо ви читаєте цю статтю до того як збираєтеся використовувати точки відновлення, то перевірте, а чи включена у вас ця функція - це допоможе вам відновити систему в майбутньому при будь-якої аварійної ситуації. У Windows XP виберіть: Мій Комп'ютер - Властивості - Відновлення системи, в Windows 7: Комп'ютер - Властивості - Захист системи.

Скріншот з Windows 7 з включеною захистом диска C:

Windows SteadyState або миттєвий знімок диска

Ще більш вдалою безкоштовної функцією для відновлення системи, яка є в Windows є компонент SteadyState . Він доступний для Windows XP і Vista і його треба завантажити з сайту Microsoft і встановити додатково. У Windows 7 ця функція на момент написання статті (травень 2010 року) відсутній. В принципі аналогічні рішення існують і у сторонніх розробників, перерахую їх: ShadowUser, Deep Freeze, Renurnil, Shadow Defender. Деякі з них теж мають безкоштовні версії. І деякі з них працюють також під Windows 7.

Windows SteadyState і інші подібні системи спочатку розроблялася для використання на загальнодоступних комп'ютерах в готелях і інтернет-кафе. Але ця технологія також дуже корисна і домашнім користувачам як система постійної підтримки Windows в працездатному стані.

Щоб зрозуміти, як все такі системи працюють, потрібно уявити, що ваш Windows запускається і робить миттєвий знімок всієї інформації на дисках і потім працює не на вашу реальну диску, а на цій копії диска, вона називається тіньовою копією. Це як якщо б ви зробили бекап і працювали на ньому, замість реального диска. Ви можете змінювати і видаляти всі що завгодно на цій тіньової копії, але ваш реальний диск завжди залишається незмінним. Якщо ви відчуваєте, що пора «лікуватися», то можна просто натиснути кнопку reset і Windows знову завантажиться з «чистого аркуша», тобто з незмінною копії вашого диска. Ви витрачаєте на очищення системи 0 секунд.

Природно, для того, щоб пам'ятати всі зміни на копії, Windows SteadyState потрібно якесь місце на диску. Для цього виділяється і використовується спеціальний файл кешу, розмір якого ви можете регулювати. У цей файл записуються всі «зміни», які насправді не справляються з диском. В інших подібних речовинах, перерахованих вище, є більш оригінальні рішення, коли використовується наявний вільний від файлів простір на реальному диску, де і зберігається інформація про зміни під час роботи. При перезапуску вся ця інформація про зміни, скидається.
Скріншот, де захист жорсткого диска включена.

Скріншот, де захист жорсткого диска включена

Таким чином, гідністю Windows SteadyState є те, що будь-які зміни, які відбувалися в системі, ви можете вилікувати звичайним перезапуском системи. Мінусом є те, що ви повинні подбати про збереження своїх документів, які зберігаються на ваших дисках. Оскільки Windows SteadyState захищає тільки розділ, де розташована система, то ви можете зберігати документи на сусідніх розділах. А якщо ви будете зберігати ваші документи (або фільми чи музику) на мережевих дисках, то ви ще більше спростите собі життя. Треба зауважити, що сторонні продукти, перераховані вище, пропонують більш розширений функціонал цього виду захисту, але при цьому просять за це грошей.

образи дисків

Говорячи про системи відновлення не можна не згадати спосіб, коли ви можете зробити звичайний архів вашої системи і потім її відновити. Системи бекапу дисків розвинулися дуже сильно: вони вже можуть робити архів працюючої системи - не витрачаючи ваш робочий час в очікуванні, коли процес завершиться. Створені бекапи Windows можуть бути відновлені навіть на зовсім інший комп'ютер, де вже буде інше залізо: процесор, материнська плата, відеокарта і ін. Однак найшвидшим способом відновлення я вважаю роботу на миттєвих копіях диска, коли звичайної перезавантаженням ви безслідно перете наслідки своїх помилкових дій . І витрачаєте на стирання вірусу 0 секунд свого часу.

висновок

Отже, ми вивчили кілька способів відновлення системи після зараження. Найшвидшим способом відновлення зараження є робота на тіньовому знімку диска, найповільнішим - відновлення з бекапа. Однак, всі ці способи швидше і надійніше, ніж будь-який антивірус, особливо при захисті від таких видів шкідливого коду, як руткіти. Руткіти спеціально призначені для приховування від антивірусів і дуже часто антивіруси нездатні протистояти їм. Саме на базі руткітів будуються цілі мережі керованих віддалено комп'ютерів (ботів), а антивіруси і люди навіть не помічають цього.

Приклад: Руткіт TDSS (так само відомий як Alureon, Tidserv або TDL3)

Наводжу приклад цього руткита, тому що в моєму оточенні я виявив дуже багато людей заражених цим руткітом, а це і комерційні і держ. організації. Спосіб зараження в виявлених мною випадках - автозапуск з флешки. Антивіруси цей руткит не виявляються, кращий спосіб для його пошуку - утиліта TDSS Remover . На основі даних компанії Damballa, вважається, що на сьогоднішній день найбільший ботнет Zeus призначений для крадіжки паролів до систем інтернет-банкінгу. Але в Росії схоже це TDSS. Для перевірки запустіть у себе цю утиліту, раптом вона щось знайде і у вас?

Особливістю описаних способів захисту (як і багатьох інших в нашому житті) є те, що ми все одно повинні підготуватися до можливої ​​вірусної атаки - якщо ви не подумали завчасно і не включили вбудовану систему захисту, то вона і не спрацює. Подивіться у себе: чи включені точки відновлення, встановіть Windows SteadyState, створіть бекап системи. Зробіть будь-яке їхнє цих простих дій і вам не треба буде потім шкодувати і відновлювати працездатність вашого комп'ютера тривалий час. Будь-які питання по будь-якій їхній цих технологій ви можете задавати на форумі securitylab.ru в розділі Windows. А також рекомендую додатково потурбуватися безпекою свого Windows і налаштувати його відповідно до рекомендацій з безпеки. Хоча б відключіть, нарешті, автозапуск вірусів з флешок.

Денис Батранков, [email protected]

Як видалити вірус без антивіруса

Ви знаєте як повернути стан вашого Windows в момент часу, коли він ще не був заражений вірусом? Цей легко можна робити без антивіруса і, до того ж, це може зайняти лише лічені частки секунди.

Неважливо, як далеко ви пішли по неправильному шляху - повертайтеся.
турецька приказка

Денис Батранков, [email protected]

Вступ

Дуже цікаво дивитися на людей, які, розуміючи наявність комп'ютерного вірусу на своїй операційній системі Windows, проводять конкурс: який антивірус краще. З інтернету або з наявного диска використовуються всі антивіруси поспіль, поки черговий не скаже, що вірус знайдений і вилікуваний. Однак цей метод не завжди дає потрібний результат і тоді людина переустановлює операційну систему і заспокоюється.

Чи потрібно використовувати антивіруси? Потрібно. Але при цьому треба розуміти, що антивіруси не завжди ловлять віруси. Для прикладу візьмемо недавній звіт SurfRight де було досліджено 107 435 реальних комп'ютерів. 37898 комп'ютерів (35% з усіх) було інфіковано шкідливим кодом і при цьому на 25038 стояли антивіруси одночасно з вірусами, але антивіруси про це не знали. Як бачите на цьому прикладі 2/3 заражених комп'ютерів (25038 з 37898) мало антивірус, але їм це не допомогло. Добре, однак, що на інших комп'ютерах наявність антивіруса допомогло. Таким чином, антивірус - це частина захисту, необхідна, але недостатня.

Примітка: в статті під «вірусом» розуміємо «будь-який вид шкідливого коду»

Фахівці з комп'ютерної безпеки називають шкідливі програми різними іменами в залежності від завдань, які вирішує для зловмисника наявний в них код. Наприклад, завдання класичного комп'ютерного вірусу - впровадитися в інший код або замінити його. Завданням руткита є приховати свою присутність в системі. Завданням троянської програми є вкрасти якісь дані. Завданням програм-вимагачів є зашифрувати ваші файли або перекрити доступ в систему. Завданням мережевих черв'яків є поширення свого коду по мережі. І так далі. Часто зловмисники поєднують всі ці завдання в одному модулі шкідливої ​​програми, і він одночасно і мережевий черв'як і троян і руткит, а для прикриття ще і скрінсейвер або лже-антивірус. У літературі іноді всі ці типи називають «зловредів», щоб скоротити вираз «шкідливий код». Неологізм «зловредів» мені не подобається, тому я його не вживаю. У цій статті слово «вірус», використовується як характерний приклад будь-якого шкідливого коду. Тому читаючи слово «вірус» в цій статті, розуміємо: «будь-який шкідливий код».

Чи потрібно встановлювати заново Windows, якщо шкідливий код ніяк не видаляється і не виявляється? Так, це один з варіантів. Але недолік методу перевстановлення Windows полягає в тому, що установка займає час: адже потрібно встановити всі необхідні драйвери, додаткове програмне забезпечення, наприклад Microsoft Office і так далі, а може зайняти весь день (або всю ніч).

Звичайно, допитливий читач вже здогадується, що заново Windows не завжди потрібно, якщо ви завчасно створили образ вашої системи (бекап) за допомогою спеціалізованих програм, типовим представником яких є Norton Ghost. Однак є інші ще більш швидкі способи, що дозволяють повернути стан комп'ютера в момент часу, коли ще не був заражений. Пора дізнатися, як можна прискорити процес повернення своєї операційної системи в цей стан.

Контрольні точки відновлення Windows

Безліч проблем можна було б уникнути, якби домашні користувачі працювали з мінімальними привілеями, але все правильні слова безпечники про це розбиваються об реальне життя. Будь-який домашній користувач, який намагається виконати цей простий корисну пораду, впирається в повідомлення Windows про те, що для впізнання нової флешки потрібно бути адміністратором, для запису DVD диска потрібно бути адміністратором. І в підсумку він плює на корисні поради, включає у себе адміністративні права і продовжує жити щасливо, і, що цікаво, довго, оскільки сучасні шкідливі програми не шкодять своєму зберігачу до пори до часу, поки на це не буде отримано відповідну команда. Але от коли команда отримана і вас просять відправити SMS на короткий номер або перевести гроші за розшифрування ваших же DOC файлів - вже точно прийшла пора діяти.

Робота з мінімальними привілеями - не панацея від усіх бід

Періодично в Windows знаходять способи підвищити рівень привілеїв до адміністратора. Наприклад, навіть в цьому році була знайдена така вразливість, яка дозволяла стати адміністратором і Windows XP SP3 і Windows 7. Опис уразливості можна знайти за номером CVE-2010-0232 ( http://xforce.iss.net/xforce/xfdb/55742 ) Таким чином, навіть працюючи з мінімальними правами у вас немає 100% гарантії, що шкідливий код не зможе отримати права адміністратора. Тому рекомендується відключати вразливі сервіси і постійно встановлювати оновлення компонентів для Windows всіх версій.

Перед тим як починати лікування потрібно згадати, той день, коли ви могли заразитися. Це могло бути, взагалі кажучи, відвідування будь-якого сайту, завантаження будь-якої програми, перегляд будь-якого PDF або відео по Інтернет, встромлена в USB флешка, атака з сусіднього комп'ютера. Зараз заразитися можна всюди, навіть на цілком порядних сайтах і навіть переглядаючи абсолютно нешкідливі документи: PDF, XLS, DOC. З вибором дати можна не боятися: навіть якщо ви помилитеся з датою, завжди можна відкотити зміни або вибрати дату ще більш ранню. За замовчуванням функція відновлення системи Windows XP і Vista зберігає системні файли і реєстр раз на добу, а Windows 7 - раз в тиждень.

Потім ви запускаєте стандартну службову програму "Відновлення системи" з меню Пуск і повертаєте систему в стан до зараження, вказавши потрібну дату у відповідному вікні програми. Точка відновлення системи - ця інформація про стан системи на зазначену дату та час. Тому, вибравши потрібну точку відновлення, ви можете повернути стан системи на той момент. От і все. Повторюся: якщо лікування було невдалим, то ви можете відкинути редагування назад або вибрати ще більш ранню точку відновлення.

Ось як виглядає скріншот для Windows XP.

Ось як виглядає скріншот для Windows XP

Ось як виглядає скріншот для Windows 7.

Ось як виглядає скріншот для Windows 7

При відновленні в Windows 7 ви можете подивитися програми, які будуть порушені при відновленні. У Windows XP служба відновлення системи відстежує лише ключовий набір файлів системи і додатків, а в Windows 7 система стежить за змінами всього диска. Однак в обох операційних системах призначені для користувача файли не включаються до точки відновлення системи, тому повернення до попередньої точки не призведе до втрати ваших документів.

У Windows XP, якщо ви зберігали документи в папці «Мої документи», то вони залишаться в цілості й схоронності, а ось робочий стіл буде повернений в попередній стан, крім того будуть відновлені системні файли, включаючи реєстр. У Windows 7 ні папка «Мої документи», ні робочий стіл не змінюється при відновленні.

Якщо ви читаєте цю статтю до того як збираєтеся використовувати точки відновлення, то перевірте, а чи включена у вас ця функція - це допоможе вам відновити систему в майбутньому при будь-якої аварійної ситуації. У Windows XP виберіть: Мій Комп'ютер - Властивості - Відновлення системи, в Windows 7: Комп'ютер - Властивості - Захист системи.

Скріншот з Windows 7 з включеною захистом диска C:

Windows SteadyState або миттєвий знімок диска

Ще більш вдалою безкоштовної функцією для відновлення системи, яка є в Windows є компонент SteadyState . Він доступний для Windows XP і Vista і його треба завантажити з сайту Microsoft і встановити додатково. У Windows 7 ця функція на момент написання статті (травень 2010 року) відсутній. В принципі аналогічні рішення існують і у сторонніх розробників, перерахую їх: ShadowUser, Deep Freeze, Renurnil, Shadow Defender. Деякі з них теж мають безкоштовні версії. І деякі з них працюють також під Windows 7.

Windows SteadyState і інші подібні системи спочатку розроблялася для використання на загальнодоступних комп'ютерах в готелях і інтернет-кафе. Але ця технологія також дуже корисна і домашнім користувачам як система постійної підтримки Windows в працездатному стані.

Щоб зрозуміти, як все такі системи працюють, потрібно уявити, що ваш Windows запускається і робить миттєвий знімок всієї інформації на дисках і потім працює не на вашу реальну диску, а на цій копії диска, вона називається тіньовою копією. Це як якщо б ви зробили бекап і працювали на ньому, замість реального диска. Ви можете змінювати і видаляти всі що завгодно на цій тіньової копії, але ваш реальний диск завжди залишається незмінним. Якщо ви відчуваєте, що пора «лікуватися», то можна просто натиснути кнопку reset і Windows знову завантажиться з «чистого аркуша», тобто з незмінною копії вашого диска. Ви витрачаєте на очищення системи 0 секунд.

Природно, для того, щоб пам'ятати всі зміни на копії, Windows SteadyState потрібно якесь місце на диску. Для цього виділяється і використовується спеціальний файл кешу, розмір якого ви можете регулювати. У цей файл записуються всі «зміни», які насправді не справляються з диском. В інших подібних речовинах, перерахованих вище, є більш оригінальні рішення, коли використовується наявний вільний від файлів простір на реальному диску, де і зберігається інформація про зміни під час роботи. При перезапуску вся ця інформація про зміни, скидається.
Скріншот, де захист жорсткого диска включена.

Скріншот, де захист жорсткого диска включена

Таким чином, гідністю Windows SteadyState є те, що будь-які зміни, які відбувалися в системі, ви можете вилікувати звичайним перезапуском системи. Мінусом є те, що ви повинні подбати про збереження своїх документів, які зберігаються на ваших дисках. Оскільки Windows SteadyState захищає тільки розділ, де розташована система, то ви можете зберігати документи на сусідніх розділах. А якщо ви будете зберігати ваші документи (або фільми чи музику) на мережевих дисках, то ви ще більше спростите собі життя. Треба зауважити, що сторонні продукти, перераховані вище, пропонують більш розширений функціонал цього виду захисту, але при цьому просять за це грошей.

образи дисків

Говорячи про системи відновлення не можна не згадати спосіб, коли ви можете зробити звичайний архів вашої системи і потім її відновити. Системи бекапу дисків розвинулися дуже сильно: вони вже можуть робити архів працюючої системи - не витрачаючи ваш робочий час в очікуванні, коли процес завершиться. Створені бекапи Windows можуть бути відновлені навіть на зовсім інший комп'ютер, де вже буде інше залізо: процесор, материнська плата, відеокарта і ін. Однак найшвидшим способом відновлення я вважаю роботу на миттєвих копіях диска, коли звичайної перезавантаженням ви безслідно перете наслідки своїх помилкових дій . І витрачаєте на стирання вірусу 0 секунд свого часу.

висновок

Отже, ми вивчили кілька способів відновлення системи після зараження. Найшвидшим способом відновлення зараження є робота на тіньовому знімку диска, найповільнішим - відновлення з бекапа. Однак, всі ці способи швидше і надійніше, ніж будь-який антивірус, особливо при захисті від таких видів шкідливого коду, як руткіти. Руткіти спеціально призначені для приховування від антивірусів і дуже часто антивіруси нездатні протистояти їм. Саме на базі руткітів будуються цілі мережі керованих віддалено комп'ютерів (ботів), а антивіруси і люди навіть не помічають цього.

Приклад: Руткіт TDSS (так само відомий як Alureon, Tidserv або TDL3)

Наводжу приклад цього руткита, тому що в моєму оточенні я виявив дуже багато людей заражених цим руткітом, а це і комерційні і держ. організації. Спосіб зараження в виявлених мною випадках - автозапуск з флешки. Антивіруси цей руткит не виявляються, кращий спосіб для його пошуку - утиліта TDSS Remover . На основі даних компанії Damballa, вважається, що на сьогоднішній день найбільший ботнет Zeus призначений для крадіжки паролів до систем інтернет-банкінгу. Але в Росії схоже це TDSS. Для перевірки запустіть у себе цю утиліту, раптом вона щось знайде і у вас?

Особливістю описаних способів захисту (як і багатьох інших в нашому житті) є те, що ми все одно повинні підготуватися до можливої ​​вірусної атаки - якщо ви не подумали завчасно і не включили вбудовану систему захисту, то вона і не спрацює. Подивіться у себе: чи включені точки відновлення, встановіть Windows SteadyState, створіть бекап системи. Зробіть будь-яке їхнє цих простих дій і вам не треба буде потім шкодувати і відновлювати працездатність вашого комп'ютера тривалий час. Будь-які питання по будь-якій їхній цих технологій ви можете задавати на форумі securitylab.ru в розділі Windows. А також рекомендую додатково потурбуватися безпекою свого Windows і налаштувати його відповідно до рекомендацій з безпеки. Хоча б відключіть, нарешті, автозапуск вірусів з флешок.

Денис Батранков, [email protected]

Як видалити вірус без антивіруса

Ви знаєте як повернути стан вашого Windows в момент часу, коли він ще не був заражений вірусом? Цей легко можна робити без антивіруса і, до того ж, це може зайняти лише лічені частки секунди.

Неважливо, як далеко ви пішли по неправильному шляху - повертайтеся.
турецька приказка

Денис Батранков, [email protected]

Вступ

Дуже цікаво дивитися на людей, які, розуміючи наявність комп'ютерного вірусу на своїй операційній системі Windows, проводять конкурс: який антивірус краще. З інтернету або з наявного диска використовуються всі антивіруси поспіль, поки черговий не скаже, що вірус знайдений і вилікуваний. Однак цей метод не завжди дає потрібний результат і тоді людина переустановлює операційну систему і заспокоюється.

Чи потрібно використовувати антивіруси? Потрібно. Але при цьому треба розуміти, що антивіруси не завжди ловлять віруси. Для прикладу візьмемо недавній звіт SurfRight де було досліджено 107 435 реальних комп'ютерів. 37898 комп'ютерів (35% з усіх) було інфіковано шкідливим кодом і при цьому на 25038 стояли антивіруси одночасно з вірусами, але антивіруси про це не знали. Як бачите на цьому прикладі 2/3 заражених комп'ютерів (25038 з 37898) мало антивірус, але їм це не допомогло. Добре, однак, що на інших комп'ютерах наявність антивіруса допомогло. Таким чином, антивірус - це частина захисту, необхідна, але недостатня.

Примітка: в статті під «вірусом» розуміємо «будь-який вид шкідливого коду»

Фахівці з комп'ютерної безпеки називають шкідливі програми різними іменами в залежності від завдань, які вирішує для зловмисника наявний в них код. Наприклад, завдання класичного комп'ютерного вірусу - впровадитися в інший код або замінити його. Завданням руткита є приховати свою присутність в системі. Завданням троянської програми є вкрасти якісь дані. Завданням програм-вимагачів є зашифрувати ваші файли або перекрити доступ в систему. Завданням мережевих черв'яків є поширення свого коду по мережі. І так далі. Часто зловмисники поєднують всі ці завдання в одному модулі шкідливої ​​програми, і він одночасно і мережевий черв'як і троян і руткит, а для прикриття ще і скрінсейвер або лже-антивірус. У літературі іноді всі ці типи називають «зловредів», щоб скоротити вираз «шкідливий код». Неологізм «зловредів» мені не подобається, тому я його не вживаю. У цій статті слово «вірус», використовується як характерний приклад будь-якого шкідливого коду. Тому читаючи слово «вірус» в цій статті, розуміємо: «будь-який шкідливий код».

Чи потрібно встановлювати заново Windows, якщо шкідливий код ніяк не видаляється і не виявляється? Так, це один з варіантів. Але недолік методу перевстановлення Windows полягає в тому, що установка займає час: адже потрібно встановити всі необхідні драйвери, додаткове програмне забезпечення, наприклад Microsoft Office і так далі, а може зайняти весь день (або всю ніч).

Звичайно, допитливий читач вже здогадується, що заново Windows не завжди потрібно, якщо ви завчасно створили образ вашої системи (бекап) за допомогою спеціалізованих програм, типовим представником яких є Norton Ghost. Однак є інші ще більш швидкі способи, що дозволяють повернути стан комп'ютера в момент часу, коли ще не був заражений. Пора дізнатися, як можна прискорити процес повернення своєї операційної системи в цей стан.

Контрольні точки відновлення Windows

Безліч проблем можна було б уникнути, якби домашні користувачі працювали з мінімальними привілеями, але все правильні слова безпечники про це розбиваються об реальне життя. Будь-який домашній користувач, який намагається виконати цей простий корисну пораду, впирається в повідомлення Windows про те, що для впізнання нової флешки потрібно бути адміністратором, для запису DVD диска потрібно бути адміністратором. І в підсумку він плює на корисні поради, включає у себе адміністративні права і продовжує жити щасливо, і, що цікаво, довго, оскільки сучасні шкідливі програми не шкодять своєму зберігачу до пори до часу, поки на це не буде отримано відповідну команда. Але от коли команда отримана і вас просять відправити SMS на короткий номер або перевести гроші за розшифрування ваших же DOC файлів - вже точно прийшла пора діяти.

Робота з мінімальними привілеями - не панацея від усіх бід

Періодично в Windows знаходять способи підвищити рівень привілеїв до адміністратора. Наприклад, навіть в цьому році була знайдена така вразливість, яка дозволяла стати адміністратором і Windows XP SP3 і Windows 7. Опис уразливості можна знайти за номером CVE-2010-0232 ( http://xforce.iss.net/xforce/xfdb/55742 ) Таким чином, навіть працюючи з мінімальними правами у вас немає 100% гарантії, що шкідливий код не зможе отримати права адміністратора. Тому рекомендується відключати вразливі сервіси і постійно встановлювати оновлення компонентів для Windows всіх версій.

Перед тим як починати лікування потрібно згадати, той день, коли ви могли заразитися. Це могло бути, взагалі кажучи, відвідування будь-якого сайту, завантаження будь-якої програми, перегляд будь-якого PDF або відео по Інтернет, встромлена в USB флешка, атака з сусіднього комп'ютера. Зараз заразитися можна всюди, навіть на цілком порядних сайтах і навіть переглядаючи абсолютно нешкідливі документи: PDF, XLS, DOC. З вибором дати можна не боятися: навіть якщо ви помилитеся з датою, завжди можна відкотити зміни або вибрати дату ще більш ранню. За замовчуванням функція відновлення системи Windows XP і Vista зберігає системні файли і реєстр раз на добу, а Windows 7 - раз в тиждень.

Потім ви запускаєте стандартну службову програму "Відновлення системи" з меню Пуск і повертаєте систему в стан до зараження, вказавши потрібну дату у відповідному вікні програми. Точка відновлення системи - ця інформація про стан системи на зазначену дату та час. Тому, вибравши потрібну точку відновлення, ви можете повернути стан системи на той момент. От і все. Повторюся: якщо лікування було невдалим, то ви можете відкинути редагування назад або вибрати ще більш ранню точку відновлення.

Ось як виглядає скріншот для Windows XP.

Ось як виглядає скріншот для Windows XP

Ось як виглядає скріншот для Windows 7.

Ось як виглядає скріншот для Windows 7

При відновленні в Windows 7 ви можете подивитися програми, які будуть порушені при відновленні. У Windows XP служба відновлення системи відстежує лише ключовий набір файлів системи і додатків, а в Windows 7 система стежить за змінами всього диска. Однак в обох операційних системах призначені для користувача файли не включаються до точки відновлення системи, тому повернення до попередньої точки не призведе до втрати ваших документів.

У Windows XP, якщо ви зберігали документи в папці «Мої документи», то вони залишаться в цілості й схоронності, а ось робочий стіл буде повернений в попередній стан, крім того будуть відновлені системні файли, включаючи реєстр. У Windows 7 ні папка «Мої документи», ні робочий стіл не змінюється при відновленні.

Якщо ви читаєте цю статтю до того як збираєтеся використовувати точки відновлення, то перевірте, а чи включена у вас ця функція - це допоможе вам відновити систему в майбутньому при будь-якої аварійної ситуації. У Windows XP виберіть: Мій Комп'ютер - Властивості - Відновлення системи, в Windows 7: Комп'ютер - Властивості - Захист системи.

Скріншот з Windows 7 з включеною захистом диска C:

Windows SteadyState або миттєвий знімок диска

Ще більш вдалою безкоштовної функцією для відновлення системи, яка є в Windows є компонент SteadyState . Він доступний для Windows XP і Vista і його треба завантажити з сайту Microsoft і встановити додатково. У Windows 7 ця функція на момент написання статті (травень 2010 року) відсутній. В принципі аналогічні рішення існують і у сторонніх розробників, перерахую їх: ShadowUser, Deep Freeze, Renurnil, Shadow Defender. Деякі з них теж мають безкоштовні версії. І деякі з них працюють також під Windows 7.

Windows SteadyState і інші подібні системи спочатку розроблялася для використання на загальнодоступних комп'ютерах в готелях і інтернет-кафе. Але ця технологія також дуже корисна і домашнім користувачам як система постійної підтримки Windows в працездатному стані.

Щоб зрозуміти, як все такі системи працюють, потрібно уявити, що ваш Windows запускається і робить миттєвий знімок всієї інформації на дисках і потім працює не на вашу реальну диску, а на цій копії диска, вона називається тіньовою копією. Це як якщо б ви зробили бекап і працювали на ньому, замість реального диска. Ви можете змінювати і видаляти всі що завгодно на цій тіньової копії, але ваш реальний диск завжди залишається незмінним. Якщо ви відчуваєте, що пора «лікуватися», то можна просто натиснути кнопку reset і Windows знову завантажиться з «чистого аркуша», тобто з незмінною копії вашого диска. Ви витрачаєте на очищення системи 0 секунд.

Природно, для того, щоб пам'ятати всі зміни на копії, Windows SteadyState потрібно якесь місце на диску. Для цього виділяється і використовується спеціальний файл кешу, розмір якого ви можете регулювати. У цей файл записуються всі «зміни», які насправді не справляються з диском. В інших подібних речовинах, перерахованих вище, є більш оригінальні рішення, коли використовується наявний вільний від файлів простір на реальному диску, де і зберігається інформація про зміни під час роботи. При перезапуску вся ця інформація про зміни, скидається.
Скріншот, де захист жорсткого диска включена.

Скріншот, де захист жорсткого диска включена

Таким чином, гідністю Windows SteadyState є те, що будь-які зміни, які відбувалися в системі, ви можете вилікувати звичайним перезапуском системи. Мінусом є те, що ви повинні подбати про збереження своїх документів, які зберігаються на ваших дисках. Оскільки Windows SteadyState захищає тільки розділ, де розташована система, то ви можете зберігати документи на сусідніх розділах. А якщо ви будете зберігати ваші документи (або фільми чи музику) на мережевих дисках, то ви ще більше спростите собі життя. Треба зауважити, що сторонні продукти, перераховані вище, пропонують більш розширений функціонал цього виду захисту, але при цьому просять за це грошей.

образи дисків

Говорячи про системи відновлення не можна не згадати спосіб, коли ви можете зробити звичайний архів вашої системи і потім її відновити. Системи бекапу дисків розвинулися дуже сильно: вони вже можуть робити архів працюючої системи - не витрачаючи ваш робочий час в очікуванні, коли процес завершиться. Створені бекапи Windows можуть бути відновлені навіть на зовсім інший комп'ютер, де вже буде інше залізо: процесор, материнська плата, відеокарта і ін. Однак найшвидшим способом відновлення я вважаю роботу на миттєвих копіях диска, коли звичайної перезавантаженням ви безслідно перете наслідки своїх помилкових дій . І витрачаєте на стирання вірусу 0 секунд свого часу.

висновок

Отже, ми вивчили кілька способів відновлення системи після зараження. Найшвидшим способом відновлення зараження є робота на тіньовому знімку диска, найповільнішим - відновлення з бекапа. Однак, всі ці способи швидше і надійніше, ніж будь-який антивірус, особливо при захисті від таких видів шкідливого коду, як руткіти. Руткіти спеціально призначені для приховування від антивірусів і дуже часто антивіруси нездатні протистояти їм. Саме на базі руткітів будуються цілі мережі керованих віддалено комп'ютерів (ботів), а антивіруси і люди навіть не помічають цього.

Приклад: Руткіт TDSS (так само відомий як Alureon, Tidserv або TDL3)

Наводжу приклад цього руткита, тому що в моєму оточенні я виявив дуже багато людей заражених цим руткітом, а це і комерційні і держ. організації. Спосіб зараження в виявлених мною випадках - автозапуск з флешки. Антивіруси цей руткит не виявляються, кращий спосіб для його пошуку - утиліта TDSS Remover . На основі даних компанії Damballa, вважається, що на сьогоднішній день найбільший ботнет Zeus призначений для крадіжки паролів до систем інтернет-банкінгу. Але в Росії схоже це TDSS. Для перевірки запустіть у себе цю утиліту, раптом вона щось знайде і у вас?

Особливістю описаних способів захисту (як і багатьох інших в нашому житті) є те, що ми все одно повинні підготуватися до можливої ​​вірусної атаки - якщо ви не подумали завчасно і не включили вбудовану систему захисту, то вона і не спрацює. Подивіться у себе: чи включені точки відновлення, встановіть Windows SteadyState, створіть бекап системи. Зробіть будь-яке їхнє цих простих дій і вам не треба буде потім шкодувати і відновлювати працездатність вашого комп'ютера тривалий час. Будь-які питання по будь-якій їхній цих технологій ви можете задавати на форумі securitylab.ru в розділі Windows. А також рекомендую додатково потурбуватися безпекою свого Windows і налаштувати його відповідно до рекомендацій з безпеки. Хоча б відключіть, нарешті, автозапуск вірусів з флешок.

Денис Батранков, [email protected]

Чи потрібно використовувати антивіруси?
Чи потрібно встановлювати заново Windows, якщо шкідливий код ніяк не видаляється і не виявляється?
Для перевірки запустіть у себе цю утиліту, раптом вона щось знайде і у вас?
Чи потрібно використовувати антивіруси?
Чи потрібно встановлювати заново Windows, якщо шкідливий код ніяк не видаляється і не виявляється?
Для перевірки запустіть у себе цю утиліту, раптом вона щось знайде і у вас?
Чи потрібно використовувати антивіруси?
Чи потрібно встановлювати заново Windows, якщо шкідливий код ніяк не видаляється і не виявляється?
Для перевірки запустіть у себе цю утиліту, раптом вона щось знайде і у вас?
Чи потрібно використовувати антивіруси?
IRC (Internet Relay Chat)