Пять советов по удалению вирусов и шпионского программного обеспечения
Заражение рабочих станций, настольных ПК и ноутбуков вирусами и шпионами неизбежно. Какие бы строгие меры ни принимались для защиты систем — от сетевых шлюзов и четко прописанных правил пользования Интернетом до автоматических проверок — вредоносное ПО порой ухитряется проникнуть даже через многоуровневую защиту. Положение осложняется тем, что далеко не все пользователи готовы тратиться на отдельные решения по защите от шпионских программ, хотя уже осознают необходимость минимальной антивирусной защиты.
Некоторые специалисты советуют полностью переустанавливать Windows при заражении, другие считают, что поступать так — значит, признавать свое поражение перед злоумышленниками. Истина, как всегда, где-то посередине. Лично я считаю наиболее эффективными описанные ниже меры — вкупе с созданием образа рабочей системы (при борьбе с вирусами запасный выход никогда не помешает).
1. Изоляция зараженного диска
Многие руткиты и троянцы мастерски умеют скрывать следы своего присутствия от операционной системы сразу же после запуска или еще до старта Windows. Порой даже лучшим антивирусным и антишпионским программам, включая AVG Anti-Virus Professional, Malwarebytes Anti-Malware и SuperAntiSpyware, не удается справиться с такими скрытыми заражениями.
Для решения проблемы понадобится отдельный компьютер, предназначенный специально для борьбы с вирусами. Зараженный жесткий диск следует отключить от основной системы, подключить в качестве подчиненного к другой машине и многократно проверить на вирусы и шпионское ПО.
2. Удаление временных файлов
Пока диск еще подключен к другому компьютеру в качестве подчиненного, стоит удалить временные файлы всех пользователей. В Windows XP они хранятся в папке «C:\Documents and Settings\Имя_пользователя\Local Settings\Temp», а в Windows Vista — в папке «C:\Пользователи\Имя_пользователя\App Data\Local\Temp» (в англоязычной версии — «C:\Users\Имя_пользователя\App Data\Local\Temp»).
Во временных папках очень часто скрываются вредоносные файлы, атакующие систему при запуске. Пока жесткий диск подключен в качестве подчиненного, их гораздо легче удалить.
3. Повторное сканирование диска после возвращения
Полностью просканировав диск на вирусы и пару раз — на шпионы с использованием двух разных антишпионских приложений с актуальной базой данных, его можно установить обратно в исходный компьютер и снова просканировать в том же самом порядке.
Несмотря на многократное сканирование и очистку на другом компьютере, при очередной проверке на диске может обнаружиться еще немало активных инфекций. Только после повторного сканирования уже в «родной» системе можно быть уверенным в том, что для удаления вирусов сделано все возможное.
4. Тестирование системы
После выполнения трех предыдущих операций возникает обманчивая уверенность в том, что проблема решена. Однако не стоит на это рассчитывать. Для начала следует запустить веб-браузер и удалить все автономные файла и файлы cookie. После этого необходимо проверить параметры соединения Internet Explorer на вкладке «Подключения» в окне «Свойства обозревателя», которое можно вызвать из меню «Сервис» (Tools | Internet Options | Connections), чтобы убедиться, что вредоносные программы не внесли никаких изменений в настройки прокси-сервера и локальной сети. При обнаружении ошибок их следует устранить и обеспечить соответствие настроек принятым в рамках данной локальной сети.
После этого стоит посетить штук 12-15 сайтов, внимательно наблюдая за поведением системы — не всплывают ли окна с рекламой, не подменяются ли результаты поиска, не изменен ли адрес домашней страницы и так далее. Чтобы убедиться в том, что система полностью очищена, следует произвести как минимум 5-6 поисков в Google, Yahoo и других поисковиках, а также проверить, есть ли доступ к сайтам популярных производителей антивирусов типа AVG, Symantec и Malwarebytes.
5. Глубокая очистка от оставшихся инфекций
Если даже после всех принятых мер наблюдаются признаки заражения — например, подменяются результаты поиска или блокируется доступ к определенным сайтам, нужно попытаться определить имя файла, связанного с процессом, который вызывает эти явления. Для выявления таких процессов можно воспользоваться средствами HijackThis от Trend Micro, Process Explorer от Microsoft, а также встроенной в Windows утилитой конфигурации системы (Microsoft System Configuration Utility), которая запускается командой msconfig из окна «Выполнить» в меню «Пуск» (Start | Run). При необходимости следует удалить подозрительные исполняемые файлы из реестра, перезагрузить компьютер и проверить систему заново.
Если несмотря на все эти усилия, справиться с заражением не удается, пора задуматься о переустановке системы. Скорее всего, справиться с инфекцией уже не удастся.
Другие стратегии
Некоторые специалисты предпочитают использовать более экзотичные способы борьбы с заражениями и гарантируют их эффективность. Одна из альтернатив, которые мне доводилось пробовать, — это KNOPPIX. Кроме того, я подключал диски Windows к ноутбуку Macintosh для удаления особенно приставучей заразы, когда у меня не было возможности загрузить систему со съемного накопителя. Некоторые эксперты советуют использовать утилиты типа Reimage, но мне даже не удалось заставить ее распознать ряд довольно популярных сетевых карт, без чего невозможно автоматизированное восстановление.
А какие способы вы могли бы порекомендовать для удаления вирусов и шпионов? Поделитесь своим опытом в комментариях!
