ЯК видалити вірус backdoor :: Операційні системи

Троянські програми можуть завдати користувачеві комп'ютера як моральний, так і фінансовий збиток. Антивірусні програми та брандмауери присікають основний потік шкідливого програмного забезпечення, однак нові версії троянських програм з'являються щодня. Іноді користувач ПК опиняється в ситуації, коли антивірус не бачить шкідливий код, тоді боротися з шкідливою програмою доводиться самостійно.

Інструкція

Однією з найбільш неприємних різновидів троянських програм є бекдори (backdoor), що дозволяють хакеру здійснювати віддалене управління зараженим комп'ютером. Виправдовуючи свою назву, backdoor відкриває для зловмисника лазівку, через яку можна виконувати на віддаленому комп'ютері будь-які дії.

Бекдор складається з двох частин: клієнтської, встановленої на комп'ютері хакера, і серверної, що знаходиться на зараженому комп'ютері. Серверна частина завжди знаходиться в очікуванні сполуки, «висячи» на якомусь порту. Саме за цією ознакою - займаному порту - її і можна відстежити, після чого видалити троянську програму вже буде значно простіше.

Відкрийте командний рядок: «Пуск - Всі програми - Стандартні - Командний рядок». Введіть команду netstat -aon і натисніть Enter. Ви побачите список з'єднань вашого комп'ютера. Поточні з'єднання будуть позначені в колонці «Стан» як ESTABLISHED, очікування з'єднання відзначається рядком LISTENING. Бекдор, що очікує з'єднання, знаходиться саме у стані слухання.

У першій колонці ви побачите локальні адреси та порти, використовувані здійснюють мережеві з'єднання програмами. Якщо ви бачите у себе в списку програми в стані очікування з'єднання, це не означає, що ваш комп'ютер неодмінно заражений. Наприклад, порти 135 і 445 використовуються сервісами Windows.

У самій останній колонці (PID) ви побачите номера ідентифікаторів процесів. Вони допоможуть вам дізнатися, яка програма використовує Вас порт. Наберіть в тому ж вікні командного рядка команду tasklist. Перед вами з'явиться список процесів із зазначенням їхніх імен і номерів ідентифікаторів. Подивившись ідентифікатор в списку мережевих з'єднань, ви можете по другому списку визначити, якою програмою він належить.

Буває так, що ім'я процесу вам нічого не говорить. Тоді скористайтеся програмою Everest (Aida64): встановіть її, запустіть і подивіться список процесів. Програма Everest дозволяє легко знаходити шлях, по якому знаходиться здійсненний файл. Якщо програма, що запускає процес, вам незнайома, видаліть здійсненний файл і закрийте його процес. У процесі наступного завантаження комп'ютера може спливти вікно попередження про те, що такий-то файл не може запуститися, при цьому буде вказано його ключ автозапуску в реєстрі. Користуючись цією інформацією, видаліть ключ, використовуючи редактор реєстру («Пуск - Виконати», команда regedit).

Якщо досліджуваний процес дійсно належить Бекдор, в колонці «Зовнішній адреса» ви можете побачити ip з'єднати з вами комп'ютера. Але це, швидше за все, буде адреса проксі-сервера, тому обчислити хакера вам навряд чи вдасться.