Библиотека Интернет Индустрии I2R.ru

Удаление троянов без помощи антивирусных и других аналогичных программ на примере платформы Win32

В данной статье речь пойдет только о троянах типа BackDoor
В данной документации автор не претендует на единственное правильное мнение
и не несет никакой ответственности за вред, который Вы можете причинить себе и окружающим

Ну всё...с грозным законодательством нашей доброй матушки Родины договорились, можем приступать.
Начнем с того, что практически каждый, более или менее продвинутый пользователь, сталкивался с проблемой удаленного администрирования на своей машине, то есть получал "подарочек" от других юзеров, то бишь троянца. И естественно запускал его без всяких подозрений, потому что их и не было (подозрений), откуда они могли взяться???. Даже после того как открывался сидюк, появлялись на экране монитора злостные надписи Виндов, порнокартинки на Рабочем столе, стали исчезать деньги с твоего счета у провайдера и постоянно появлялось приглашение бесплатно посетить США :))) (Программа выпустила недопустимую ошибку и будет закрыта, если ошибака будет повторяться, обратитесь к разработчику) при открытии программы, все равно, подозрение не вызовет, что это происходит именно по вине той самой проги, которую Вы запустили от приятелей.
Вскоре, умные юзверы начинают понимать что просто так это происходить не может и начинают поднимать огромные томы документации и читать FAQи. Это, конечно, правильно, так все мы делали!!!:))) Итак, узнаем, что у нас на компе стоит злостный вредитель, надо его убрать, но как???...где он находится??? какое название файла??? Как удалять??? Что он из себя представляет??? А уж мысли о том, что кто-то управляет твоим компом из другого дома, города или даже другой страны, никак не могут уложиться в голове...Матрица прям какая-то:(((
Расскажу Вам случай из жизни: Случилось это три года назад, когда я первый раз зашел в сеть и был полным чайником. Приятели решили подшутить...и сотворили все вышеописанное со мной. Шутки шутками, а я 2 раза форматил диск, пока не понял в чем дело. После этого, я узнал что существует прога, которая может от всего этого дерьма меня избавить. Это был по тем временам LockDown. И стоила она 50 американских рублей...так чтож Вы думаете...я чуть было ее не купил...,потому что понятие crack для меня было абсолютно новое, но слава Богу не купил.
На самом деле все гораздо проще. А...ну да, о чем это мы!? Так вот, при помощи этих советов, Вам потребуется 2-3 минуты чтобы обнаружить и обезвредить троянскую крысу без помощи антивируса или других аналогичных программ.

Почему не нужен антивирус?...
Антивирус, конечно, вещь хорошая, а иногда даже и нужная, но поверьте мне, очень редко!!! На самом деле, я не хочу никого обидеть, ни Касперского, ни Данилова, но антивирусы - это бесполезный мусор на компе если у тебя есть голова на плечах, руки растут откуда надо и ты, хотя бы изредка читаешь FAQи и новости. Если же нет..., то жми на ссылочки на именах и закрой эту страницу...
Я, конечно, обосную свое мнение: во-первых, антивирусы жрут прилично ресурсов, а ведь еще не все наши пользователи обзавелись Pentiumom 3 и 4, во-вторых: я думаю всем когда-нибудь надоедает, постоянно режущая глаза, надпись Обновите базы, Ваши базы устарели, и приходится каждый раз тратить драгоценный диалаповский коннект на обновление этих баз, в-третьих: у антивирусов есть дурацкая привычка все принимать за вирусы и трояны, даже картинки, приколы, текстовые документы и др.
Я думаю 3 аргумента вполне достаточно, чтобы не гадить свой комп разным брахлом, но это все же решать Вам.

Как обнаружить?...
Для этого нужны кое-какие проги...Я понимаю, звучит тупо...не поставить антивирус, зато поставить еще туеву хучу других прог, и это Вы скажете выход из положения? ДА, отвечу я. Потому что все проги предложенные здесь будут иметь гораздо большее значение, возможностей и полезностей чем антивирусы, и всегда будут нужны в простой работе, то есть из разряда must have.
Чтобы локализавать троянца, нужно знать что при запуске файла, который Вам послал "друг", он прописывается обычно в 2 директории C:\Windows или C:\Windows\System. Но это не важно, потому что следить Вы за этим не будите. Займется этим многим известная прога, под названием RegRun,



скачать самую свежую версию можно на сайте производителя - http://www.greatis.com/. Прога занимается тем, что при запуске и выходе отслеживает все процессы, прописавшиеся в автозагрузку. А как известно троян прописывается в основном именно туда. Как только Вы включите комп RegRun моментально выдаст Вам информацию о новых программах в автозагрузке. Это могут быть и не трояны..., а обычные проги, которые стоят у Вас в SystemTray(правый нижний угол на панельки). Чтобы в этом убедиться, нажмите правой кнопкой мыши в RegRune на ту прогу которая добавляется в автозагрузку и выберите Properties. Посмотрите где прописана прога. Если она даже прописана в C:\Windows или C:\Windows\System, то совсем необязательно, что это троян, но должно вызвать у Вас подозрение. Далее смотрите на размер. Если прога весит более 1 Mb, то вздыхайте спокойно...если менее, то смотрим дальше. File Discription. Это описание файла - для чего он предназначен и последнее - Company name. Чаще всего это Microsoft, так что не пугайтесь...Папа Билли хоть и гадкий но трои пока не делает:))) Это только часть атрибутов файла, но наиболее важных, вот все атрибуты:



Советую Вам тщательно следить за своими драйверами и прогами, прописанные в автозагрузку, тогда у Вас больше шансов моментально определить трояна. Вобщем, если непрошенный гость все же пожаловал, тогда придется его удалять.

Как удалить?...
Первым делом, Вы нажмете Пуск => Найти => Файлы и папки, затем наберете имя файла, и когда он найдется, попытаетесь удалить его, но Винды же умные...они Вам просто так не дадут этого сделать. В ответ Вы получите такую табличку: Не удается удалить файл. Указанный файл используется Windows. Поэтому придется перезагружать компьютер в режиме MS-DOS и путем нехитрых манипуляций удалять его оттуда. Но есть способ легче - это программа Process Viewer 2000

скачать можно у нас - download(425 Kb)
Использовать очень просто. Прога изначально создана как имулятор Linux команды Kill. Только в графическом удобном режиме и для Win32. Все, что Вам нужно, это найти интересующее приложение и нажать кнопку Kill. Таким образом троян выбивается из автозагрузки и больше не используется Windows, теперь можно спокойно удалять из под Виндов. Прога полезна тем что начисто убивает приложение из оперативной памяти и делает это очень быстро. Например, после просиживания в нете около 3-4 часов, я полностью уверен, что Ваша оперативка уже дохнет и поэтому выгружать все приложения такие как IE и ICQ будет достаточно долго. Используйте ProcessViewer 2000. Он сделает это гораздо быстрее. Помимо всего прочего, работает без глюков, его лучше использовать вместо CTRL+ALT+DEL. К тому же PV 2000 видит все приложения запущееный на данный момент, в отличии от CTRL+ALT+DEL.

Dago.Org