Jump to content

Статия: Основни техники за премахване на spy/ad/mal-ware при Windows XP


Препоръчан пост

Внимание!

Текущата статия съдържа неактуална информация по темата. Моля прочетете тази статия!


Премахването на зловреден софтуер се превърна в сериозна задача за обикновения потребител. Spyware, adware, malware и други подобни заплахи често са причина за проблеми при работата с операционната система и интернет. Тази статия е посветена на премахването на зловреден софтуер в максимално лесни за изпълнение стъпки.

Как става заразяването на система със spy/ad/mal-ware?
Най-често се случва при следните ситуации:
а) Свалянето на приложения, които съдържат spyware или adware.
б) При сърфиране в интернет потребителя кликва върху банер или popup, който отвежда към злонамерена страница.
в) Посещаването на съмнителни сайтове например за кракове, серийни номера и др.
г) На системата няма инсталиран антивирусен и антишпионски софтуер или не е актуализиран.
д) Липсва активна защитна стена (Firewall). Windows XP/Vista™ съдържат в себе си защитна стена. Единствено при Windows XP Service Pack 1 защитната стена (Internet Connection Firewall) не е активирана по подразбиране и се налага да се разреши ръчно.

Симптоми на машина заразена със злонамерен софтуер
Най разпространените симптоми при наличието на злонамерен софтуер на системата са:
а) Появата на рекламни съобщения.
б) Проблеми при работата на операционната система.
в) Началната страница на internet browser-a е подменена с друга.
г) Автоматично се отварят непознати интернет страници или прозорци.
д) В интернет браузъра са добавени нови страници или toolbars.
е) Стартирането на програми, които не са познати.
ж) Натоварване на системните ресурси.


Премахване на spyware, adware, malware и други заплахи.
В някой случай елиминирането на зловреден софтуер може да се превърне в доста сложна операция, но в повечето ситуации следните стъпки са подходящи за премахването му.
За премахването на заплахите ще Ви е нужен следния (безплатен) софтуер:
Spybot - Search & Destroy 1.4 (BG)- Премахва spyware, adware, dialers, keyloggers и др.
Ad-Aware SE Personal 1.06 r1- Аналогично на Spybot премахва заплахи от вида data-mining, aggressive advertising, Trojans, dialers, malware и др.
Ad-Aware SE 1.06 r1 Bulgarian - Нанко Нанев (gaffer)
a-squared Free (BG) - Премахва шпионски, рекламни, троянски приложения, червеи и други.

*BG - Програмата поддържа потребителски интерфейс на Български език.


Съдържание на статията:

1. Ръководство за работа с програмата Spybot - Serach and Destroy.
2. Ръководство за работа с програмата Ad-Aware SE.
3. Ръководство за работа с програмата A-Squared Free.
4. Основни стъпки при премахване на зловреден код.
5. Защита на системата от проникване на заплахи.
6. Откриване на подозрителна активност.

Редактиран от l.kanelov
Link to comment
Сподели другаде

Ръководство за работа с програмата Spybot- Search and Destroy

 

#1. След като свалите и инсталирате програмата изпълнете SpybotSD.exe или използвайте пряк път, за да отворите Spybot - Search and Destroy.

 

http://pics.softvisia.com/design/pics/3551/SD_ftime.PNG

 

#2. След като стартирате Spybot – Search and Destroy кликнете на бутона Search for Updates.

 

http://pics.softvisia.com/design/pics/3551/SD_update.PNG

 

#3. Отваря се страницата, в която имате възможност да актуализирате Spybot като изберете желаните updates както е показано на картинката по-горе. Селектирайте всички намерени актуализации и натиснете бутона Download Updates. Изчакайте докато процеса на актуализиране завърши.

 

http://pics.softvisia.com/design/pics/3551/SD_scanp.PNG

 

#4. Преминете на страницата Search and Destroy като кликнете на бутона Search&Destroy в лявата част на екрана. Кликнете на бутона Check for problems, за да стартирате процеса на откриване на spyware, adware, malware и други заплахи и изчакайте процеса да завърши.

 

Забележка: Често пъти се случва при откритите заплахи от подобни програми да фигурират Cookies. Cookies са файлове, които съдържат информация за потребителя, която се използва за да може сайтовете да "разпознават" потребителите. Cookies не са spyware, adware или друга заплаха.

 

http://pics.softvisia.com/design/pics/3551/SD_fixprobl.PNG

 

#5. След като сканирането на системата завърши ще видите екран подобен на този по-горе. Сега имате възможност да маркирате откритите заплахи и да ги поправите. За да премахнете заплахите открити от Spybot - Search and Destroy отбележете всички полета под графата "Problem" и кликнете на бутона Fix selected problems.

 

http://pics.softvisia.com/design/pics/3551/D_confirm.PNG

 

#6. След като изберете бутона Fix Selected problems ще получите запитване за премахването на откритите проблеми. В прозореца Confirmation кликнете Yes.

 

Когато приключите с премахването на откритите заплахи ще видите резултат подобен на този:

http://pics.softvisia.com/design/pics/3551/SD_cleanSuc.PNG

 

*Имунизиране на системата срещу зловреден софтуер*

#1. Кликнете на бутона Immunize.

http://pics.softvisia.com/design/pics/3551/SD_immunize.PNG

 

#2. На страницата Immunize щракнете на бутона Immunize както е показано на картинката по горе.

#3. Затворете Spybot – Search & Destroy.

Link to comment
Сподели другаде

Ръководство за работа с програмата Ad-Аware SE

 

#1. След като свалите и инсталирате програмата изпълнете файла Ad-Aware.exe или използвайте препратка, за да стартирате Ad-Aware SE.

 

http://pics.softvisia.com/design/pics/3551/Ad-A_first.PNG

 

#2. Кликнете на бутона WebUpdate Tool.

 

http://pics.softvisia.com/design/pics/3551/Ad-A_update.PNG

 

#3. Щракнете на бутона Connect и когато получите запитване за изтегляне на актуализации потвърдете. Изчакайте процеса на актуализиране да завърши и натиснете Finish.

 

http://pics.softvisia.com/design/pics/3551/Ad-A_scan.PNG

 

#4. Кликнете на бутона Scan Now, за да отворите страницата от която можете да избере типа на сканиране на системата и да стартирате процеса. Изберете Perform smart system scan и продължете чрез бутона Next.

 

http://pics.softvisia.com/design/pics/3551/Ad-A_scancomplete.PNG

 

#5. След като сканирането на системата завърши ще видите екран подобен на този по-горе. Отворете страницата с резултатите от сканирането като кликнете на бутона Next.

 

http://pics.softvisia.com/design/pics/3551/Ad-A_scanresults.PNG

 

#6. Изберете всички открити заплахи и натиснете бутона Next.

 

http://pics.softvisia.com/design/pics/3551/Ad-A_remove.PNG

 

#7. Когато получите запитване за премахване на селектираните заплахи изберете бутона OK.

#8. Затворете Ad-Aware SE.

Link to comment
Сподели другаде

Ръководство за работа с програмата a-squared Free

 

#1. След като свалите и инсталирате програмата изпълнете файла a2free.exe или използвайте препратка, за да стартирате a-squared Free.

 

http://pics.softvisia.com/design/pics/3551/A_firsttime.PNG

 

#2. Кликнете на бутона Обнови сега ( Update now ). Процеса е напълно автоматичен и трябва само да изчакате програмата да обнови дефинициите си. След като процеса завърши програмата е готова за работа.

 

http://pics.softvisia.com/design/pics/3551/A_scan.PNG

 

#3. Щракнете на бутона Провери сега ( Scan now ).

 

http://pics.softvisia.com/design/pics/3551/A_configurescan.PNG

 

#4. Тази страница Ви дава възможност да изберете метод за проверка на системата. Изберете Умна (Smart ) и натиснете бутона Провери (Scan), за да стартирате проверката. Изчакайте процеса да завърши.

 

http://pics.softvisia.com/design/pics/3551/A_removet.PNG

 

#5 Когато проверката на системата завърши ще видите екран подобен на този по горе. Изберете всички открити заплахи и кликнете на бутона „Изтрий избраните обекти“.

 

#6 Затворете a-squared Free.

Link to comment
Сподели другаде

Публикувано (Редактиран)

Основни стъпки при премахването на Spy/Ad/mal-ware и други

 

#1. Инсталирайте и обновете Ad-Aware SE, Spybot - S&D или a-squared Free.

 

#2. Уверете се, че използвате защитна стена (Firewall). WindowsXP/Vista™ съдържат в себе си защитна стена. Единствено при WindowsXP Service Pack 1 защитната стена (Internet Connection Firewall) не е активирана по подразбиране и се налага да я разрешите ръчно. При Windows XP SP2/Vista™ защитната стена се нарича Windows Firewall.

http://pics.softvisia.com/design/pics/3551/WinFirewall.PNG

 

За да се уверите, че е активирана изпълнете следните стъпки:

Start-->Control Panel-->Windows Firewall. Изберете „On ( recommended)“ и затворете прозорца с бутона OK.

Windows Firewall осигурява базово ниво на защита. Ако искате максимална защита се насочете към по мощна защитна стена.

 

#3. Изключете функцията System Restore.

System Restore е една нова възможност на Windows XP. Когато е разрешена се правят моментни снимки на конфигурацията на системата. Тези моментни снимки включват настройките на Windows, списъци на инсталирани програми и други. Ако системата има проблеми можете да възстановите конфигурацията на системата до точка във времето, когато компютъра е работил нормално. System Restore е много добра функнция, но някой от заплахите я използват, за да се вмъкнат в системата. Добре е да се изключи, когато на системата има вирус или друг зловреден код.

http://pics.softvisia.com/design/pics/3551/SysRestore.PNG

 

За да изключите System Restore изпълнете следните стъпки:

Start-->Control Panel-->System-->System Restore. Изберете Turn of System Restore on all Drives след което потвърдете с Apply и затворете прозореца с OK.

 

#4. Рестартирайте системата в режим Safe Mode.

Влизането в SafeMode режим става с клавиша F8 веднага след като изтече POST процедурата за самотестване при включване на захранването. За целта може да започнете да натискате клавиша F8 още докато тече POST - визуализира се информация за тактовата честота на процесора, обема на оперативната памет (RAM) и тн. След като го натиснете няколко пъти по време на зареждането на машината се показва екран с разширени опции за начално зареждане. Там избирате Safe Mode и продължавате с Enter. Safe Mode е диагностичен режим, при които Windows XP се стартира с ограничен набор от драйвери за устройствата и системни услуги. Също така се игнорират програмите, които се стартират автоматично, потребителските профили, програмите изброени в Регистъра за автоматично изпълнение и всички локални групови политики. Safe Mode осигурява достъп до конфигурационните файлове, за да може да се правят промени в конфигурацията. По-този начин почистването на зловреден софтуер става значително по-лесно за антивирусните и антишпионските програми.

 

#5. Сканирайте системата със Spybot-S&D, Ad-Aware или a-squared. Премахнете откритите заплахи и имунизирайте системата чрез Spybot- S&D.

#6. Рестартирайте машината нормално. Ако използвате System Restore го включете.

Редактиран от l.kanelov
Link to comment
Сподели другаде

Защита на системата от проникване на зловреден код

 

а) Технолгията Data Execution Prevention

 

Data Execution Prevention е технология за предпазване на паметта. DEP указва на процесора да отбележи всички места в паметта на всяко приложения като неизпълними, освен в случай, че съдържат изпълним код. Ако кодът се изпълнява от страница в паметта отбелязана като неизпълнима, CPU може да предизвика изключение и да попречи на кода да се изпълни. Това предотвратява влизането на зловреден код, например вирус или друга заплаха в повечето отдели на паметта. За да работи DEP трябва процесора да го поддържа. Можете да определите дали даден компютър поддържа DEP чрез инструмента System като изпълните следните стъпки:

Start-->Control Panel--->System-->Advanced-->Performance-->Settings-->Data Execution Prevention

http://pics.softvisia.com/design/pics/3551/DEP%20Configure.PNG

 

Това е прозореца, който Ви дава възможност да конфигурирате DEP. Възможни са два начина на поведение:

 

#1. Turn on DEP for essential Windows programs and services only - Включва DEP само за услуги, програми и компоненти, които са част от операционната система.

#2. Turn on DEP for all programs and services except those I select - Изберете тази опция и натиснете Add, за да посочите програми, които да се изпълняват без защита. При тази настройка, защитата при изпълнение ще работи за всички програми, освен за намиращите се в списъка.

#3. Изберете желаната конфигурация и натиснете OK.

 

б) McAfee SiteAdvistor

 

Често проникването на spyware, adware или други заплахи се случва, когато потребителя отваря съмнителни страници. McAfee SiteAdvistor е програма, която има за цел да Ви информира за страниците, които отваряте. Ако страницата съдържа някакъв вид заплахи програмата на момента ще го отрази под формата на индикация във Вашия интернет browser. Приложението е изключително лесно за използване. Единственото, което трябва да направите е да го инсталирате и да следите индикациите при отваряне на интернет страници. За определяне на състоянието на дадена страница програмата използва следните цветове на бутона McAfee SiteAdvistor, който се интегрира във Вашия интернет browser.

http://pics.softvisia.com/design/pics/3551/SiteAdvistor.PNG

 

#1. Зеленият символ показва, че страница е безопасна. Няма проблеми свързани със сигурността при посещаването на такива страници.

#2. Жълтият удивителен знак сигнализира, че при тестовете на страницата са открити дупки в сигурността. При такава страница е добре да внимавате какво сваляте.

#3. Червеният хикс, информира за страница, която е напълно възможно да съдържа spyware, adware и други заплахи. Посещаването на такива страници не е желателно.

 

Повече информация и линк за изтегляне на програмата можете да получите на сайта:

http://www.siteadvisor.com/

Link to comment
Сподели другаде

Откриване на подозрителна активност в системата

 

Ще Ви е нужен следния (безплатен) софтуер:

Process Explorer - Аналог на инструмента Task Manager, но с разширени възможности.

Autoruns - Аналог на инструмента MsConfig, но с повече възможности.

HijackThis - Сканира системата и извежда списък с всичко, което не принадлежи на операционната система или което се стартира автоматично при зареждането и под формата на текстов LOG файл.

 

а) Откриване на зловреден код чрез Process Explorer

 

Често пъти заплахите се скриват зад процеси вървящи във фонов режим на системата. Стандартния инструмент Task Manager не предоставя достатъчно информация и откриването на зловреден процес става доста трудна задача. За целта програмата Process Explorer е много по-добро решение, защото лесно можете да идентифициране процеса и неговото местоположение.

#1. След като свалите програмата, изпълнете файла procexp.exe.

#2. Конфигуриране на стандартния набор от колони.

http://pics.softvisia.com/design/pics/3551/processexp_setcolum.PNG

 

За да отворите прозореца, който Ви дава възможност да промените стандартния набор от колони в Process Explorer кликнете на View -->Select Columns. Уверете се, че Process Explorer използва настройките показани на картинката по-горе.

 

#3. Откриване на зловреден процес.

Най-често зловредните процеси се познават по следните белези:

 

-- Натоварването на процесора (CPU Usage) е голямо. В зависимост от заплахата може да достигне и 100%.

 

-- Процеса няма икона.

 

-- Не се визуализира описание (Description) или Company Name.

 

-- Не е подписан/сертифициран от Microsoft.

 

-- Процеса съществува в %Systemroot%. По подразбиране това е папката Windows на устройство C:\.

 

-- Няма информация за версията.

 

-- Ако се съмнявате в даден процес кликнете с дясното копче на мишката върху него и изберете опцията Search Online. Потърсете информация за процеса и начина за премахване.

 

б) Премахване на автоматично стартиращи се заплахи чрез AutoRuns.

 

Ако подозирате, че всеки път когато стартирате системата се зарежда зловреден код можете да проверите това като погледнете какви приложения се стартират с операционната система. Windows XP предлага инструмента MsConfig, който се използва за диагностика на процеса на стартиране на операционната система. Sysinternals предлага инструмента AutoRuns който е много по-добър и ефективен от msconfig и предлага повече информация за приложенията, които се стартират с Windows.

 

#1. След като свалите програмата, изпълнете файла autoruns.exe.

http://pics.softvisia.com/design/pics/3551/AutoRuns.PNG

 

#2. Селектирайте менюто Options. Изберете опциите Verify Code Signatures и Hide Ms Entires.

#3. Натиснете клавиша F5 или от меню File изберете Refresh.

#4. Преминете на страницата Logon. Ако се съмнявате в приложние, което се стартира с операционната система кликнете с дясното копче върху него и изберете Search Online. Ако откриете, че това е зловреден код премахнете тикчето в полето пред него и премахнете записа, като го селектирате и натиснете клавиша Delete.

Забележка: Не премахвайте приложения, за който не сте сигурни какво правят.

#5. Затворете AutoRuns и рестартирайте системата.

 

в) HijackThis

 

Ако все още се съмнявате, че на системата Ви има зловреден софтуер можете да използвате програмата HijackThis, за да сканирате системата и да започнете нова тема в форума като предоставите текстовия LOG файл. За целта изпълнете следните стъпки:

 

#1. Свалете и стартирайте HijackThis.

#2. Кликнете на бутона Do a system scan and save a logfile.

#3. След като се появи текстовия файл hijackthis.log изберете Save As и го съхранете на удобно за Вас место на диска.

#4. Поставете съдържанието на Log файла в темата или го прикачете, ако е необходимо.

За детайлна информация относно HijackThis - Ръководство/описание за/на HijackThis @ Night_Raven

 

Автор: Лазар Канелов (l.kanelov)

Всички авторски права върху съдържанието на статията и снимковия материал са запазени. Забранено е разпространяването и/или модифицирането на статията или части от нея без изричното съгласие на автора. Всички ©, ® и ™ са собственост на притежаващите ги фирми.

 

****

Благодаря на Милен Метев (Tragedy) и Венцислав Димитров (Night_Raven) за съветите по организацията на темата и полезните допълнения.

Link to comment
Сподели другаде

  • 8 months later...
Много интересна тема! :bgflag:

 

Давай, още по темата. Има още какво да се пише...

Разбира се, че има още много неща за писане, но все пак това са основни техники, предназначени за потребители с не много умения.

Иначе скоро мисля да актуализирам темата.

:)

Link to comment
Сподели другаде

  • 5 months later...

Е, браво на приятелчетата - статията по темата е просто много полезна и перманентно актуална, ако има нещо ново по въпрос, давайте го моля своевременно!

Благодаря Ви!

С уважение

 

Н. Дамянов

Тел Авис, 06.07.2008

Link to comment
Сподели другаде

  • 3 years later...
прозорците не излизат същите може ли да ми дадете линкове с точните програми а и a-squared Free (BG) нестава за уиндоус хп сп3 има ли някоя друга която да става
Link to comment
Сподели другаде

прочетох ти статията и е страхотна но има нещо неясно имам въпрос спрямо Process Explorer

-- Процеса няма икон

Не се визуализира описание (Description) или Company Name.

това значи ли че има зловреден код в него ето и снимка снимка

post-22809-0-28847100-1328305038_thumb.jpg

Link to comment
Сподели другаде

Не. В случая става въпрос за напълно легитимен процес. Тези насоки, които съм дал що се отнася до Process Explorer са доста общи и всичко зависи от конкретната ситуация. В никакъв случай не може да се правят генерални изводи без задълбочен анализ. Често се срещат легитимни процеси без Descripton и Company Name както сам си се убедил, което е лоша практика, но нищо не може да се направи, защото зависи от разработчиците на съответните продукти. Това, което ти може да направиш е да добавиш коментар към съответния процес и да конфигурираш Process Explorer да го показва, след като си се уверил, че съмнително изглеждащия процес всъщност не е опасен. То всъщност е добра практика да се добавят коментари към всички процеси след като бъдат идентифицирани внимателно, защото един ден ако решиш да погледнеш какви процеси имаш ако всички процеси имат коментар с 1 клик може да видиш дали нямаш нови и непознати процеси.

Иначе не са редки и случаите, когато истински зловредни процеси нямат Company Name / Description (затова и съм го написал), макар че е модерна и друга техника, а именно да се използва "Microsoft Corporation" като Company Name и Description, който подвежда потребителя, че даденият процес е част от Windows, а той реално не е. В такива ситуации се прибягва до проверка за подпис, разглеждане на стрингове и други техники, които не са обект на тази тема.

 

Държа да отбележа, че текущата тема е вече МНОГО стара (вижда се от датата на публикуване) и не отговаря на състоянието на сигурността в момента. Освен това е и твърде базова. Бях започнал да пиша сериозно обновление, но така и не ми остана време и за него и в крайна сметка колегата Night_Raven пусна такава тема. Бих ти препоръчал да я прочетеш.

 

Що се отнася до програмите - както казах вече тази тема няма нищо общо с реалността и съответно и програмите, които съм предложил вече не са добър избор. Бяха едно време.....

Към момента хубави програмки, с които да си сканираш системата са Malwarebytes Anti-Malware и SUPERAntiSpyware. Като разбира се преди сканиране се обновяват дефинициите. :)

 

P.S.: От скрийншота се вижда, че ползваш FlexType, което е съвършена простотия. Коментирали сме 1001 пъти тук във форума и дори има специална тема и инструмент, който автоматизира премахването му, а също и добавянето на фонетична подредба на клавиатурата. Препоръчвам ти да я погледнеш и нея.

Link to comment
Сподели другаде

l.kanelov, здравей.

Не е му е мястото тук на моя коментар, но реших да използвам възможността.

Държа да отбележа, че текущата тема е вече МНОГО стара (вижда се от датата на публикуване) и не отговаря на състоянието на сигурността в момента.

 

Няма ли да е добре, подобни теми, които не са актуални към днешната ситуация, да се преместят в някакъв архив. По този начин няма да подвеждат потребителя към грешни решения. Аз самия съм срещал няколко, където самия автор на темата споделя, че информацията му е стара, но не в самото начало, а някъде между коментарите.

 

П.П. Сега забелязах, че например Night_Raven е сложил забележка към тази негова тема. Това също е решение.

Link to comment
Сподели другаде

Привет,

 

аз също съм на мнение, че трябва да има подобна забележка по принцип. Друг е въпросът, че потребителят и сам може да се усети гледайки датата на публикуване (първото нещо, което се вижда), още повече в този случай, който касае IT сигурност и всеки знае, че това е нещо, което се променя буквално всеки ден. Доста логично е тема за сигурност на 5 (пет) години да не е вече актуална. Ако е тема за (пре)инсталация на Windows 7 пък е логично, че и след 20 години ще е актуална, защото и тогава setup-а ще си е същия, ако изобщо някой го намери тогава. Това го казвам принципно, защото не винаги авторите на теми/статии поставят подобни бележки дали защото са забравили (както е в моя случай) или просто не им дреме, че потребителите ще четат старо съдържание и може да се объркат (по-често срещаното). Така че моят съвет е да се обръща по-сериозно внимание на датата на публикуване и спецификата на темата с цел избягване на подобни ситуации като цяло. Всеки има глава на раменете и може да прецени, елементарно е.

Аз ще поставя бележка както е направил колегата Night_Raven тъй като това е признак за коректност спрямо потребителите, но още веднъж приканвам всички да внимават като цяло с актуалността на съдържанието независимо от темата.

Link to comment
Сподели другаде

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
×
  • Създай ново...