Виявити троян, який не визначається антивірусом та обійшов ваш фаєрвол, часом завдання не з тривіальних. Але не неможлива – будь-яка дія залишає у системі сліди. Принцип виявлення трояна в тому полягає. Попереджу відразу – у статті легких та швидких рішень не буде. Вибачте, що посилань на програми буде небагато – назв чимало, доведеться шукати їх вручну. І знадобляться вам не всі. Я покажу, як троян знайти. Але виявити троян – не означає вилікувати.
Якщо троян є, він, швидше за все, потрібний для надсилання інформації хакеру. Значить, йому знадобиться для цього спеціальний канал , вхід в який відкриває один із системи. І порт цей (швидше за все) буде з тих, які системою не використовуються, тобто з числа зарезервованих. Отже, завдання на цьому етапі просте: уважно вивчити відкриті портита простежити за процесами, які цими портами користуються, та на які адреси інформація надсилається.
Для операційної системи Windowsвам у цьому процесі нашвидкуруч може допомогти команда netstatз прапором -an(якщо для виходу в інтернет ви використовуєте роутер, принцип пошуку буде неповноцінним, але читайте до кінця). Наберіть її прямо зараз у консолі команд:
Зовнішня адресаописаний за типом IP-адреса:інтернет-порт
Однак більш розгорнуту інформацію вам нададуть сторонні програми. Особисто я користуюся утилітами TCPView, CurrPortsі IceSword. Не завжди ця інформація об'єктивна, тому що процес може зачаїтися до певного часу, і не факт, що порт відкриється прямо зараз, але перевіряти іноді варто.
Втім, частіше вдивляйтеся різними способами.
Що насамперед зробить троян? Йому потрібно запускатися, а Windows для цього існує кілька директорій і налаштувань. І всі вони знаходять своє відображення у налаштуваннях реєстру. Windows автоматично виконує інструкції, що визначаються цими розділами реєстру:
Run RunServices RunOnce RunServicesOnes HKEY_CLASSES_ROOT\exefile\shell\open\command
Таким чином, скануючи ключі та розділи реєстру на підозрілі записи, можна виявити інфекцію трояном: той може вставити свої інструкції в ці розділи реєстру для того, щоб розгорнути свою діяльність. І для того, щоб виявити троян у реєстрі, також існує чимало утиліт, наприклад:
Трояни часто завантажуються під егідою завантаження драйверів до якихось пристроїв і використовують ці пристрої як прикриття. Цим грішать незрозумілі джерела драйверів для скачування в мережі. Нічого не нагадує? А система часто попереджає, що цифровий підпис драйвера відсутній. І не дарма.
Так що не поспішайте встановлювати завантажене з мережі і не вірте своїм очам – довіряйте тільки офіційним джерелам. Для моніторингу драйверів мережа пропонує такі утиліти:
Трояни можуть запускати деякі системні служби Windows самостійно, дозволяючи хакеру захопити контроль машини. Для цього троян надає собі ім'я службового процесу з метою уникнути детектування з боку антивірусу. Застосовується техніка руткіту з метою маніпуляції розділом реєстру, в якому, на жаль, є де сховатися:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
Отже, нам доведеться запастися утилітами моніторингу запущених сервісів. Це:
Що ми маємо на увазі під автозавантаженням? Ні, мої добрі, це не лише список записів в однойменній папці – це було б дуже просто. Насамперед, це такі розділи Windows:
msconfig у Windows XP (для інших версій майже не змінився)
а ось вікно Конфігурації для Windows 7
Це не повний перелік гілок. Якщо хочете дізнатися про програми, які запускаються разом з Windows, ви можете переглянути їх список у статті “ “. Серед утиліт, за допомогою яких можна проводити моніторинг розділів завантаження можна виділити:
Для трояна звичайна справа змінювати системні папки та файли. Перевірити це можна кількома способами:
У трояні немає сенсу, якщо він не запускає мережну активність. Щоб перевірити, яка інформація витікає з системи, необхідно використовувати мережні сканери та пакетні сніфери для моніторингу мережного трафіку, що надсилає дані на підозрілі адреси. Непоганим інструментом тут є Capsa Network Analyzer- Інтуїтивний двигун представить детальну інформацію, щоб перевірити, чи працює на вашому комп'ютері троян.
Успіхів нам усім.
Malwarebytes
Заснована в 2004 році, Malwarebytes весь цей час допомагала користувачам видаляти шкідливі програми з комп'ютера та забезпечувала безпечну роботу в Інтернеті. Тим більше, що ваш комп'ютер залишається під захистом від вірусів безкоштовно. Компанією створено низку продуктів, які допоможуть Вам зберегти ваш комп'ютер у безпеці та надійності, не уповільнюючи роботу програм.
Malwarebytesрозробила ряд інструментів, які можуть ідентифікувати та видаляти шкідливі програмиз комп'ютера. Коли комп'ютер інфікований, Malwarebytes може забезпечити необхідну допомогу, щоб видалити вірус і відновити роботу комп'ютера і знову відновити оптимальну продуктивність.
Заснована в 2004 році, Malwarebytes весь цей час допомагала користувачам видаляти шкідливі програми з комп'ютера та забезпечувала безпечну роботу в Інтернеті. Тим більше, що ваш комп'ютер залишається під захистом від вірусів безкоштовно. Компанія створила низку продуктів, які допоможуть Вам зберегти ваш комп'ютер у безпеці та надійності, не уповільнюючи роботу програм. Найбільш поширеними продуктами є:
Malwarebytes’ Anti-Malware- Ви ніколи не думали, як зробити захист від шкідливих програм більш ефективним? У компанії Malwarebytes зробили простий у використанні, і ефективний інструмент для захисту від шкідливого ПЗ.
Чи знаєте ви це чи ні, ваш комп'ютер завжди наражається на ризик зараження вірусами(viruses), хробаками(Worms), троянами(trojans), руткітами(rootkits), додзвонювачів(діалери), програм-шпигунів(spyware) та шкідливими програмами(malware), які постійно розвиваються та стають все більш важкими для виявлення та видалення. Тільки найскладніші програмні комплексизахисту від шкідливого програмного забезпечення та сучасні методи можуть виявити та видалити ці шкідливі програми з комп'ютера.
Malwarebytes 'Anti-Malwareвважається черговим кроком у виявленні та видаленні шкідливих програм. У продукції існує ряд нових технологій, які призначені для швидкого виявлення, знищення та запобігання роботі шкідливих програм.
Malwarebytes ' Anti-Malwareможе виявити і видалити шкідливі програми, такі, що навіть найвідоміші анти-вірусні та анти-mailware програми не можуть виявити.
Malwarebytes ' Anti-Malwareвідстежує кожен процес і зупиняє шкідливі процеси, перш ніж вони встигають запуститися.
Модуль захисту в реальному часі використовує сучасну технологію евристичного сканування, яка контролює вашу систему, щоб тримати систему в безпеці. Крім того, існує центр загроз, який дозволить вам триматися в курсі останніх шкідливих програм та загроз.
*Активація:
Повна версія відкриває захист у реальному часі, сканування за розкладом та планування оновлень.
Для споживачів та особистого використання, плата складає всього 800,67 руб.
Для корпоративних клієнтів, Річна ліцензія не потрібна.
Основні характеристики
* Підтримка Windows 2000, XP, Vista та 7 (32-розрядні та 64-біт).
* Наявність режиму швидкого сканування.
* Можливість сканування всіх дисків.
* Захист від шкідливих програм Malwarebytes 'модуль. (Потрібна реєстрація)
* Щоденне оновлення бази.
* Карантин для загроз із можливістю відновлення.
* Список ігнорування "для модулів сканування та захисту.
* Налаштування для підвищення Malwarebytes 'Anti-Malware продуктивності.
* Невеликий список додаткових утиліт, щоб допомогти видалити шкідливі програми вручну.
* Багатомовна підтримка.
* Працює спільно з іншими утилітами захисту від шкідливого ПЗ.
* Підтримка командного рядкадля швидкого сканування.
* Інтеграція в контекстне менюдля перевірки файлів на вимогу.
Використання:
Просто завантажити Malwarebytes 'Anti-Malware на одному з посилань нижче. Двічі клацніть на завантажений файл, щоб інсталювати програму на комп'ютері. Після інсталяції програми, двічі клацніть на Malwarebytes' Anti-Malware значок на робочому столі, щоб запустити програму. Коли програма відкрита, виберіть сканування і програма проведе вас через кроки, що залишилися.
mbam-setup-1.46.exe | 6009,13 Kб | Скачан: 1542 разів
StartUpLite StartUpLite- Найчастішою проблемою в комп'ютерному світі є скарги багатьох користувачів на повільний запуск комп'ютера. Кожен хоче знати, як прискорити процес запуску. Звичайно, є багато рішень цієї проблеми, Malwarebytes створила безпечний, легкий та ефективний спосіб для усунення непотрібних додатків, які запускаються під час увімкнення комп'ютера - StartUpLite.
StartUpLiteє легкою і простою у використанні програмою, яка дозволяє прискорити роботу системи запуску, безпечно та ефективно. Програма дозволяє вимкнути або видалити непотрібні записи запуску з комп'ютера. При використанні StartUpLite можна значно допомогти скоротити час завантаження за допомогою всього декількох клацань миші.
Використання: Просто завантажте StartUpLite за наведеним нижче посиланням і збережіть його у зручному місці. Двічі клацніть на StartUpLite.exe
StartUpLite_Version 1.07.exe | 199,7 Kб | Скачан: 147 разів
FileASSASSIN - Швидше за все, Ви часто стикалися з одним або кількома з таких повідомлень:
1. Неможливо видалити файл: Відмовлено у доступі.
2. Переконайтеся, що диск не переповнений або захищений від запису та що файл, що не використовується в даний час.
3. Джерела або кінцевий файл може бути у використанні.
4. Файл використовується іншою програмою або користувачем.
Це дуже поширені повідомлення, які виникають при спробі видалити файли, часто це виникає через зараження шкідливим кодом ваших програм в системі. Malwarebytes добре знайома з цими повідомленнями, і саме тому створили FileASSASSIN.
FileASSASSINця програма, яка може видалити будь-який тип заблокованих файлів, які знаходяться на вашому комп'ютері. Файли від заражень шкідливим ПЗ або тільки певний файл, що не видалятиме Windows - FileASSASSIN видалити її.
Програма використовує передові методи програмування для вивантаження модулів, закриває віддалені зв'язки, і завершує різні процеси видалення захищеного файлу. Будь ласка, обережно, оскільки видалення важливих системних файлів може викликати системні помилки.
Використання:
Просто завантажте FileASSASSIN на посилання нижче. Якщо ви вибрали портативну установку, просто розпакуйте та запустіть програму, інакше запустіть інсталятор. Тепер FileASSASSIN виберіть файл, перетягнувши його на область тексту або за допомогою програми. Далі виберіть метод видалення зі списку. Нарешті виберіть пункт Виконати і процес видалення розпочнеться.
fa-setup.exe | 163,12 Kб | Скачан: 542 разів
RegASSASSIN- Загальна проблема при роботі комп'ютера зі шкідливим програмним забезпеченням є те, що створюються численні ключі реєстру, в реєстрі системи. Більшість із яких дуже важко видалити. Malwarebytes створила програму для усунення цієї проблеми - RegASSASSIN.
RegASSASSIN є портативним додатком. Програма дозволяє видаляти ключі реєстру, скинувши ключі дозволу, а потім видалити його. Будь ласка, використовуйте з обережністю, оскільки видалення критичних ключів реєстру може викликати системні помилки.
Використання: Просто завантажте RegASSASSIN за наведеним нижче посиланням. Після завантаження двічі клацніть RegASSASSIN.exe. Потім введіть розділ реєстру, який потрібно видалити або скинути, і натисніть кнопку Видалити.
RegASSASSIN.exe | 63,7 Kб | Скачан: 554 разів
Шкідливі програми, трояни та погрози
Більшість комп'ютерів підключено до мережі (інтернет, локальна мережа), що спрощує поширення шкідливих програм (за російськими стандартами такі програми називаються "руйнівні програмні засоби", але, тому що дане поняттямало поширено, в огляді використовуватиметься поняття "шкідливі програми"; на англійськоювони називаються Malware). До таких програм належать трояни (також відомі як троянські коні), віруси, черв'яки, шпигунське ПЗ, рекламне ПЗ, руткіти та інші види.
Ще одним плюсом є те, що MBAM рідко викликає будь-які конфлікти з іншими утилітами захисту від шкідливого програмного забезпечення.
. Крім шпигунського ПЗ, ця програма сканує та видаляє інші види загроз, такі як: додзвонювачі, клавіатурні шпигуни, черв'яки, руткіти і т.д.
Програма має три види сканування: швидке, повне або вибіркове сканування системи. Перед скануванням програма пропонує перевірити оновлення, щоб одразу захистити Вас від новітніх загроз. SAS має чорний список. Це список зі 100 прикладів різних DLL та EXE-файлів, яких не повинно бути на комп'ютері. При натисканні на будь-який з пунктів у списку Ви отримаєте повний описпогрози.
Одна з важливих особливостей програми - наявність Hi-Jack захисту, яка не дозволяє іншим програмам завершити роботу програми (за винятком Task Manager).
На жаль, безкоштовна версія цієї програми не підтримує захист у реальному часі, запуску сканування за розкладом та інших функцій.
Інші безкоштовні сканери троянів, які не увійшли до огляду:
Сканує та видаляє трояни, черв'яки, віруси, шпигунське програмне забезпечення, трекери, дозвонщики і т.д. Проста у використанні. | ||
У безкоштовної версіїсильно обмежена. Відсутнє: автоматичне оновлення, захист файлів у реальному часі, сканування за розкладом тощо. На жаль, стала тріальною. Можливо, ранні версії ще можна знайти в інтернеті |
||
www.emsisoft(.)com |
Проактивний захист від відомих та невідомих троянів, вірусів, черв'яків, шпигунського ПЗ, руткітів та інших шкідливих програм. | ||
Автоматичне оновленняне надається, якщо Ви відмовилися від участі у спільноті ThreatFire"s. 4.10 версія не змінювалася з листопада 2011 року. |
Хочете позбавитися зловредів (вірусів, черв'яків, троянів і т.д.), навіть якщо у Вас не був раніше встановлений? Нижче наведена нескладна та перевірена часом інструкція, яка допоможе будь-кому бажаючому самостійно, і головне, абсолютно безкоштовно, це зробити!
1) Перевірте комп'ютер на наявність зловредів(вірусів, черв'яків, троянів, адварі-програм і т.д.) за допомогою або Kaspersky Rescue Disk 10(якщо Kaspersky Virus Removal Tool не запускається або зависає навіть у розширеному режимі).
Kaspersky Virus Removal Tool 2015можна запустити прямо з-під працюючої Windows у звичайному або безпечному режимі. Ця програмане конфліктує з встановленим антивірусом, і після використання може бути видалена.
Для використання Kaspersky Rescue Disk 10потрібно попередньо записати образ на CD або DVD диск, або на флешку. Диск завантажується замість Windows, що дозволяє виявити та нейтралізувати особливо складні зловреди, які з-під режиму Windows можуть приховувати свою присутність завдяки використанню руткіт-технологій.
2)
Раз/Якщо у Вас встановлений один із продуктів «Лабораторії Касперського» (наприклад, / / ), увімкніть у продукті детект потенційно небажаного програмного забезпечення
.
Для цього перейдіть у головне вікно програми - налаштування - додатково - параметри загроз та винятків - встановіть галочку на пункті « Виявляти інші програми«.
Запустіть оновлення баз і після його завершення перезавантажте комп'ютер. Це дозволить отримати та ініціювати нові вірусні бази для нейтралізації adware-програм. Запустіть повну перевірку на віруси