Читаем Журнал «Компьютерра» № 35 от 26 сентября 2006 года полностью

2. Advanced Process Manipulation (APM) родилась на свет в результате исследования троянских программ и поиска путей борьбы с ними. Она тоже бесплатна (даже для коммерческого использования). В отличие от обычных вьюеров активных процессов (заменителей Task Manager’а), APM не отсылает запросы другим процессам, а становится их частью. Фактически это означает полный контроль над процессом, так как сам себе любой процесс обычно готов разрешить любые действия.

3. DelLater позволяет указать пользователю файл, который необходимо удалить при следующем запуске ОС. Она берет на вооружение официальный метод, описанный Microsoft в Platform SDK, — Microsoft Developer Network, а значит, максимально безопасна.

Все эти симпатичные софтинки являются отличным орудием в деле удаления строптивых троянских коней.

Ручные гранаты

Но новые угрозы появляются постоянно, а старые трансформируются и делают прежние средства борьбы неэффективными. Никакие сколь угодно «продвинутые» утилиты не отменяют необходимость знать устройство используемой операционной системы и уметь очищать ее от вредоносного (в том числе троянского) кода вручную. Те, кто надеется исключительно на автоматическую, «прозрачную для пользователя» защиту, ничего не смыслят ни в защите, ни в автоматике. Рано или поздно таких людей постигнет участь жителей Трои… хорошо хоть, что только в переносном смысле.

Чаще всего в различных руководствах по борьбе с вирусами советуют начинать проверку с открытых на компьютере портов. В нормальном режиме, при установленном и адекватно настроенном Zone Alarm’е (или любом другом приличном брандмауэре) все неиспользуемые порты закрыты. Поэтому попытка отправить запрос на один из «нестандартных» портов ни к чему не приведет: компьютер прикинется калькулятором и запрос проигнорирует.

А вот если чудо-софт обнаружил что-то подозрительное, тут надо глядеть во все порты! Утилита AVZ (www.z-oleg.com/secur/avz) их отлично показывает. И она — мощнейшее оружие супротив троянов и прочих супостатов. Положительный результат (наличие непрошенных соединений) будет свидетельствовать о том, что вы на правильном пути. А вот отрицательный результат вовсе не означает отсутствия заразы в вашем ПК. Кстати, чем именно смотреть — не столь важно. Я пользуюсь AVZ, админы традиционно предпочитают X-Spider

[www.ptsecurity.ru], можно просто набрать команду netstat -an, но в этом случае велик риск получить недостоверную инфрмацию, так как некоторые трояны готовы к этому. В любом случае, самый надежный способ проверки — извне.

Если подозрительная активность обнаружена, то прежде чем готовиться к длительному отражению осады злейших кибермонстров, неплохо бы поискать примитивных троянов [А также adware/spyware, hi-jack (подменяющих адрес стартовой страницы) и прочих наград за распутный веб-серфинг] и их следы в типичных местах для размещения «подарков».

Прежде всего обратите взор на активные процессы. Можно воспользоваться и стандартным TaskManager’ом, но лучше попробовать Advanced Process Viewer. Необходимо завершить все посторонние процессы, принадлежащие зловредному коду. Во избежание недоразумений полезно «своих знать в лицо». И в здравом уме не стоит трогать хотя бы следующие процессы: Explorer, Lsass, Services, System, Winlogon, Svchost, Csrss, Smss. Естественно, список далеко не полный и несколько отличается у разных пользователей, но эти — самые главные. Особое внимание следует обратить на так называемые процессы-маскировщики, они обычно имитируют истинные названия по написанию: explore (должно быть explorer), sys (system), svshost (svchost), winlogin (winlogon), systrey (systray) и т. д., их надо удалить в первую очередь.

После того как разобрались с оперативной памятью, запускаем regedit (или любой другой, более удобный редактор реестра) и открываем ветви:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;

HKCU\Software\Microsoft\Windows\CurrentVersion\Run;

HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run;

HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce;

HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce;

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices;

При обнаружении ключа автозапуска, принадлежащего вредоносному коду — тут же удалите его. Если не уверены во вредоносности, просто поставьте в начале строки запуска несколько символов "+", это помешает запустить программу при следующей загрузке.

Ну а утилита autoruns от Марка Руссиновича и Брюса Когсвелла покажет вам не только общеизвестные секции автозапуска в реестре, но и вообще ВСЁ, что запускается самостоятельно при каждой загрузке операционной системы. В том числе и как ее часть. Это сотни строк, будьте морально готовы. Искать по ним подозрительные вещи глазками — довольно нудное занятие, поэтому рекомендую сразу после установки «чистой» ОС экспортировать из autoruns список автозапуска в текстовый файл, а затем каждый раз при проверке создавать новый и просто сравнивать его с эталонным (например, опцией «сравнить файлы» в Total Commander).