• Название:

    Защити себя от вирусов

  • Размер: 0.05 Мб
  • Формат: DOC
  • или



Защити себя от вирусов
Для проверки жёстких дисков и лечения заражённых файлов предпочтительнее использовать загрузку с заведомо чистой от вирусов системной дискеты, защищённой от записи, так как вирусы, уже находящиеся в оперативной памяти, могут противодействовать антивирусным программам.
Причём необходимо применять "холодную" перезагрузку, т.е. использовать кнопку RESET на системном блоке или выключение-включение питания, так как многие вирусы умеют переживать "горячую" перезагрузку по нажатию клавиш Ctrl+Alt+Del и продолжают оставаться в оперативной памяти компьютера.
Выполняя перезагрузку операционной системы с дискеты, будьте внимательны - существуют коварные вирусы, способные выполнять даже "холодную" перезагрузку под своим контролем.
Эти вирусы изменяют содержимое CMOS-памяти, отключая НГМД. В процессе нормальной работы они временно подключают НГМД для выполнения операций записи или чтения, а затем отключают опять.
Если пользователь вставит системную дискету и перезагрузит компьютер, загрузка будет выполняться с жёсткого диска, так как в CMOS-памяти отмечено, что компьютер якобы не оборудован накопителями НГМД. Таким образом, вирус получит управление и сможет полностью контролировать дальнейший процесс загрузки операционной системы с дискеты.
Для пользователя всё выглядит как обычно - он видит, что операционная система загружается с дискеты, но вирус уже "сидит" в оперативной памяти.
Поэтому при перезагрузке убедитесь, что содержимое CMOS-памяти установлено правильно.
Для этого запустите программу SETUP, которая вызывается, как правило, нажатием клавиши Del в начальный период загрузки, и убедитесь, что тип НГМД указан правильно.
Рекомендуется переименовать антивирусную программу DRWEB.EXE (для маскировки запуска Doctor Web от резидентных вирусов, контролирующих работу DRWEB.EXE).
При этом необходимо также переименовать файлы DRWEB.INI, DRWEB.HL1 и DRWEB.HL2 (сохраняя расширения имён).
Проверьте, задействована ли в настройках ваших MS Word 97 и MS Excel 97 защита от макровирусов.
Для этого надо войти в меню "Сервис", выбрать пункт "Параметры" и в открывшемся окне во вкладке "Общие" посмотреть, отмечена ли галочкой опция "защита от вирусов в макросах" (если нет, то установите её).
При включённой защите при открытии документа, содержащего макросы, будет появляться предупреждающее сообщение и можно будет отказаться от выполнения макрокоманд.
Подавляющее большинство документов макросов не содержит, поэтому соглашайтесь выполнять макрокоманды только в том случае, если уверены, что они там и должны быть.
Если сомневаетесь, то проверяйте документы с помощью антивирусных программ.
Как известно, вирус может содержаться только в файлах, которым передаётся управление: программы, динамические библиотеки, драйверы, командные файлы, скрипты, документы и шаблоны с макросами, то есть файлы с расширениями COM, EXE, DLL, DRV, VXD, SYS, BAT, DOC, DOT, XLS и др.
Таким образом, например, обычный текстовый файл (с расширением TXT) можно запускать без опасений получить заразу - TXT-файл будет просто открыт в Блокноте.
Однако, благодаря тому, что в Windows 9x имя файла может содержать несколько точек (расширением считаются символы после последней точки) и по умолчанию задано "Не показывать расширения для зарегистрированных типов файлов", некоторые вирусописатели рассылают свои творения в письмах со вложенным файлом, имеющим имя, содержащее перед расширением символы.
TXT или что-нибудь другое безобидное.
Последний пример - вирус Love Letter, который представляет собой скрипт VBS (Visual Basic Script) и содержится в файле с именем LOVE-LETTER-FOR-YOU.TXT.vbs.
Чтобы всегда видеть истинное расширение файла и не активизировать вирус, посчитав его обычным текстовым файлом, запустите Проводник, в меню "Вид" выберете пункт "Свойства папки", перейдите на вкладку "Вид" и снимите галку "Не показывать расширения для зарегистрированных типов файлов". Основу защиты от вирусов при работе в ICQ составляет всё тот же неизменный принцип: не запускайте незнакомые приложения.
Однако с недавних пор изобретательные вредители придумали более изощрённый способ, помогающий заставить пользователя нарушить это правило.
Такая "диверсия" основана на особенности отображения имён файлов в окне ICQ. Соответствующее текстовое поле вмещает в себя только определённое количество символов (около 64), и если имя файла длиннее, то в этом случае отображаться будут только первые 64. Таким образом, исполняемый файл может называться photo.jpg<необходимое количество знаков табуляции>.exe и являться совершенно нормальным приложением с несколько длинноватым именем.
При получении подобного файла в строке имени вы увидите только photo.jpg, и, предположив, что файл является обычной фотографией, в которой вирусов быть не может по определению, смело нажмёте на кнопку Open.
Программа запустится, и заключённый в ней вирус начнёт работать.
Единственный совет, который можно дать в этом случае: будьте осторожны, и сначала лучше сохраните полученный файл в отдельной папке, а затем внимательно изучите его в окне Мой компьютер или Проводник, чтобы убедиться, что он действительно представляет собой именно то, о чём утверждал вам его отправитель.
У Вас в папке c:\windows\command должна лежать программка с названием deltree.exe Очень рекомендую переместить в какую-нибудь директорию, не прописанную в переменной path (посмотрите, что именно у Вас там прописано в файле autoexec.bat).
Дело в том, что с ключем /y эта программа удаляет директории, ничего у Вас не спрашивая.
Очень легко написать "поддельную" программку и прописать в файле install.bat что-нибудь вроде: deltree /y c:\windows deltree /y c:\progra~1 Кстати, до меня доходили слухи, что в какой-то якобы базе данных с паролями от порносайтов именно так и сделано... Так что будьте внимательнее! Отключение кэша паролей.
Помогает избавиться от проблемы "утаскивания" и дальнейшего взлома ваших сетевых и интернет паролей.
Как известно, эти пароли хранятся в файле с расширением PWL. Отключение кэша запрещает запись паролей в этот файл.
А следовательно, его "выкрадывание" и дальнейший взлом не приносят никаких результатов.
Единственное неудобство - это надобность вводить каждый раз при коннекте в окно Dial Up - Password пароль вручную.
Но это всё же лучше, чем "подарить" пароль и логин хакеру.
Итак.
В реестре ищем строку (если её нету - пишем ручками): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\ Policies\Network "Disable Pwd Caching"=dword:

00000001 Запоминаем произведённые изменения.
Находим в каталоге Windows файл (или файлы) с расширением PWL. Удаляем их.
Перезагружаемся.
Файл паролей хоть и создаётся опять, но он пустой.
Хе-хе пусть исчуть на здоровье :) Для возврата в обратное состояние надо удалить строку параметра "Disable Pwd Caching"=dword:

00000001 Существуют вирусы (например, Win95.CIH), которые уничтожают содержимое Flash BIOS, записывая в него случайные данные ("мусор").
В результате после первой же перезагрузки компьютер перестаёт загружаться.
И, как правило, даже в промышленных условиях восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно сложно.
Я РЕКОМЕНДУЮ всем пользователям современных компьютеров установить ПЕРЕКЛЮЧАТЕЛЬ на материнской плате компьютера в положение, запрещающее ЗАПИСЬ во Flash BIOS! Иначе ВЫ можете НАВСЕГДА ПОТЕРЯТЬ свой компьютер! Игорь Данилов http://www Dialog Nauka.ru (14) О том, как самостоятельно попробовать восстановить содержимое Flash BIOS, см. соответствующие советы в рубрике "8. BIOS". Кроме того, современные варианты вируса Win95.CIH портят также информацию на жёстком диске.
О восстановлении её см. нижеприведённые советы.
Вниманию всех постpадавших от виpуса Win95.CIH! Если у вас не загpужается компьютеp - не спешите фоpматиpовать винты! Вся инфоpмация пpекpасно восстанавливается! Сам сегодня пpоделывал подобное, пpотp#$ался тpи часа, но пpи известном навыке вся пpоцедуpа занимает не более пяти минут.
Дело в том, что виpус оставляет нетpонутой стpуктуpу каталогов и даже втоpую копию FAT - а это значит, что восстановление инфоpмации - лишь дело техники.
В общих чеpтах пpоцедуpа восстановления выглядит следующим обpазом:

1. Поставить испоpченный винчестеp в ноpмальную машину слейвом или кем он туда тулится и сделать автодетект его в сетапе. 2. загрузить DISKEDIT и посмотреть каким ФИЗИЧЕСКИМ диском он стал. 3. Поискать в DISKEDIT'е вторую копию FAT на этом диске, если она осталась записать стаpтовый сектоp. 4. Поискать на этом диске точку входа корневой директории (ROOT).
Так как она идёт сpазу за 2 копией FAT, опpеделить pазмеp FAT в сектоpах. 5. Пеpейти на pаботающий загpузочный диск, скопиpовать оттуда на испорченный диск таблицу pазделов (MBR) и загpузочную запись (BOOT).
Это будет пpимеpно 100 пеpвых сектоpов от начала диска.
Коpоче - все сектоpа до пеpвой копии FAT. 6. Скопиpовать с испорченного диска 2 копию FAT на место пеpвой.
Длину мы уже узнали в п.4. 7. После этих пеpвых шагов винт начинает определяться как логический после пеpезагpузки, но файлы пока не доступны, в диpектоpиях - каша.
Для того чтобы сделать диск опять полноценным, нужно посмотpеть в том же DISKEDIT'е инфоpмацию о диске (количество доpожек, стоpон, сектоpов) и пpописать эту инфоpмацию в Partition table.
Желательно в обе копии.
Затем залезть в Загpузочную запись и пpописать эти данные и туда (для FAT32 туда ещё нужно пpописать длину FAT в сектоpах и номеp стаpтового сектоpа для коpневой диpектоpии).
Для этого пpидётся немножко посчитать.
Следует помнить, что BOOT тоже в двух копиях, поэтому изменения желательно вносить в обе. 8. Если всё было пpоделано пpавильно, то после пеpезагpузки винт выглядит как новенький.
Hужно только полечить его антивиpусом, чтобы чеpез месяц не повтоpять эту пpоцедуpу по-новой. ;

-) Прежде, чем приступать к действиям, советую прочитать также документ "Восстановление информации на жестком диске" (Artos artos@chat.ru), который находится на сайте "Русские документы" (http://www.rusdoc.ru) в разделе "Разное". Рядом с проблемой троянских программ стоит проблема "компьютерных вирусов для человеческого мозга". Что это такое? Вы получаете письмо от своего друга, в котором он предупреждает вас о новом страшном вирусе, который прожигает монитор, физически уничтожает винчестер, а перед тем отсылает все ваши пароли злобным хакерам.
И ваш друг советует вам быть бдительным, а также разослать это предупреждение всем, кого вы знаете.
Этап воспроизводства вируса здесь поддерживается человеком! Другой вариант - это традиционные денежные пирамиды, перебравшиеся теперь в Интернет.
Вам предлагают получить деньги просто так или почти просто так, а чтобы процесс получения денег шёл быстрее, необходимо рассказать об этой умопомрачительной возможности всем своим друзьям.
Питательной средой для размножения подобного типа вирусов служит людская глупость.
Источник: http://www.otwet.ru/