Внешние проявления вирусов

К сожалению, внешних признаков, однозначно говорящих о наличии вируса не существует. Разве что если антивирусная программа выдаст сообщение. Но этот вариант мы пока пропустим. А начнем с того, что ваш ПК начинает вести себя "как-то не так".

Например, программы, которые ранее работали без каких-либо проблем, начинают часто сбоить, перестают запускаться вообще или же выдают такой результат, что даже самый неподкованный "чайник" видит фальшь. Или, к примеру, работая в графическом редакторе, вы вдруг слышите музыку, весьма неважного качества и заезженного мотива. А может и на экране вдруг появляются странные видеоэффекты.

К сожалению, всё перечисленное не обязательно является бесспорным признаком наличия вируса в системе. Учитывая ситуацию в стране, когда чуть ли не 100% программного обеспечения списано с пиратских компакт-дисков, трудно ожидать от программ устойчивой работы. Вдобавок к этому, средний наш ПК дома или в офисе часто служит самой настоящей информационной помойкой, на которой валяются программы установленные "на всякий случай". Что опять таки является основной причиной неустойчивой работы компьютера. Неожиданная мелодия также может быть вызвана одной из этих программ "со свалки", которые время от времени могут проявлять нежданную активность, требуя к себе внимания. А жуткие видеоэффекты нередко являются следствием программных и аппаратных конфликтов, или признаком наличия ошибок в драйверах видеоустройств.

Для того, чтобы с большой долей вероятности определить вирус это или очередной "глюк", рекомендуется проделать следующие операции.

1. Расспросите хозяина ПК (или самого себя), кем и как используется компьютер. Если пользователи часто приносят разные мелкие игры (на нескольких дискетах), развлекательные программы вроде биоритмов, гороскопов и прочего, небольшие прикладные программы с других компьютеров, то вероятность инфекции в машине весьма высока. Если при этом одинаковые сбои или различные сюрпризы наблюдаются на разных машинах, тогда наличие вируса можно считать доказанным.

2. Узнайте, когда были замечены первые симптомы вируса. Порой вирусы любят "отмечать праздники" и приурочивают свое проявление именно к таким датам. 1 апреля, 1 мая, 26 апреля (Чернобыль), 7 ноября, 13-е число, 13-е число, пришедшееся на пятницу, или скажем, 12-я минута каждого часа и т.п.

3. Проверьте, не связаны ли странные проявления с установкой и запуском новой программы. Если да, то она первый и самый главный "подозреваемый" на очереди в "расследовании". К сожалению, существует очень даже немало программ, которые работают "криво" и без всяких вирусов. Поэтому данный признак можно рассматривать лишь как косвенный. Впрочем, можно попробовать данную программу удалить (удалять естественно, нужно корректно), пользуясь ее же программой - деинсталлятором. Однако это тоже не гарантирует результата, поскольку такие программы имею свойство "гадить от души", оставляя следы своего пребывания надолго.

4. Выясните, не появилось ли такое поведение ПК после удаления чего-либо, в смысле программ, игрушек, устройств. Или наоборот, после добавления новых устройств - модема, видеокарты, звуковой платы, привода компакт-дисков, ZIP-дисковода, графического ускорителя, принтера, сканера, WEB-камеры, цифрового фотоаппарата и прочего. Если проблемы появились после указанных действий, то можно порадоваться – вирусы здесь не причем. Впрочем, появившиеся проблемы вряд ли дадут вам порадоваться, если вы не сумеете разобраться, в чем причина сбоев и не устраните их. При появлении дисфункций после удаления программ и прочего, можно разве что рискнуть переустановить их заново и удалить корректнее. Часто при удалении программа - деинсталлятор пишет, что такой то файл (чаще всего с расширением DLL – динамическая библиотека) давно не используется системой и его вроде бы можно удалить. На самом деле, поговорка "мал золотник, да дорог" действует и в отношении компьютеров. Попробуйте при удалении выбрать режим "нет для всех" (No to all), чтобы все такие подозрительные с точки зрения "нужности" файлы остались на месте. Места они много не займут, а множества проблем можно избежать. Если сбои начались после добавления новых устройств, ищите "корень зла" именно в них, самостоятельно, или обратитесь за помощью к более квалифицированным товарищам. Впрочем, иногда полезно почитать и инструкцию по эксплуатации (файлы Readme). Нередко в них описывается та проблема, с которой мучаетесь и вы, а также пути её решения.

5. Определить, не связано ли появление симптомов заражения с "оживлением скелетов" – распаковкой древних архивов и запуском программ из них. Современные антивирусные программы умеют проверять наиболее популярные типы архивов, но еще встречаются архивы вроде .ice, .arc, .pak, .zoo, .bsa, .ha и им подобные. Такие "замшелые" архивы антивирусы сканировать не умеют. Так что при распаковке архивов и запуске их содержимого нужно отмечать все "странные" ситуации, ибо они могут быть проявлениями инфекции.

6. Спросите, не имеет ли хозяин компьютера дурной привычки оставлять дискету в дисководе при перезагрузках компьютера. Некоторые загрузочные вирусы могут месяцами "обитать" на диске, никак себя не проявляя, и просыпаясь лишь к юбилейным датам.

7. Выясните, не имеет ли владелец ПК склонности "лазить" в Интернет и списывать оттуда без меры "халявное" ПО. Таким владельцам можно напомнить, что бесплатного сыра не бывает и иногда "за грамм добычи" можно отдать "год трудов". Чаще всего новые незнакомые миру вирусы ловятся именно через Интернет, при этом ловля и "дезинфекция" их становится затруднительной. В данном случае выявление вируса возможно лишь, если он явно и активно проявляет себя, или же используются специальные программы, которые отслеживают все действия программ на диске.

Конечно, можно дизассемблировать каждую подозрительную программу и выяснить, почему она словно ди-джей с соседней дискотеки, гоняет ваш жесткий диск[6] назад и вперед. С практических позиций предпочтительнее кажется другой вариант – держать наготове антивирусное ПО, обновляя для него вирусные базы через ту же "всемирную паутину". Это сэкономит вам время и, несмотря на некоторые затраты по закупке программ, окупит себя.

8. Кроме "блох" в списанных из Интернета программах, можно заполучить вирус даже путем обычной переписки через почтовые программы и через "свободное плавание" в сети. Дело в том, что некоторые типы электронных писем могут содержать так называемые скрипты (участки программного кода), в которых может содержаться всё что угодно. От шутливых розыгрышей до покушения на ваши конфиденциальные данные. В этом случае вам тоже поможет хорошее антивирусное ПО, оно сумеет нейтрализовать наиболее болезненные и деструктивные действия вирусов, а также предупредить вас о них. Кроме того, если к вам приходит письмо от неизвестного адресата с просьбой "нажать кнопочку и получить приз", нужно подумать, что может быть в качестве "приза" после нажатия этой "кнопочки". Это не всегда "Мерседес" с золочеными бамперами, может быть и электронный червь, который устроит настоящий дебош на вашем ПК. Авторы наблюдали случаи, когда антивирусный монитор выдавал предупреждения при простом посещении некоторых Интернет-сайтов, даже если они там ничего не нажимали. Чаще всего это были "троянские кони"[7].

9. Далее, в присутствии хозяина включайте компьютер. Следите за процессом загрузки. Первой запустится программа самоконтроля POST (Power On Self Test), записанная в ПЗУ базовой системы ввода/вывода (BIOS). Данный тест проверяет память, дисковые устройства на предмет их наличия и характеристик, инициализирует (устанавливает в стартовое состояние) прочие устройства. Если "вирус" проявляет себя на данном этапе – тогда это не вирус, а какой-либо аппаратный сбой. Можно порадоваться или поплакаться, в зависимости от вашего склада характера.

10. Поскольку сейчас практически на всех машинах стоит операционная система (ОС) Windows 95/98/98SE/ME/XP, можно при загрузке проконтролировать систему на наличие сбойных системных файлов. Для этого после появления таблицы с наименованиями устройств и прерываний[8] (или в этот момент) нужно несколько раз нажать клавишу F8. После этого появится перечень возможных режимов загрузки: 1.Normal, 2.Logged (/Bootlog.txt), 3.Safe mode…и т.п. Вам нужно выбрать второй режим. После загрузки в корневом каталоге будет создан текстовый файл с именем Bootlog.txt. Просмотрите его в любом файловом менеджере – FAR, Norton Commander, Volcov Commander, или им подобном (обычно клавишей F3). В нем построчно пишутся все файлы, которые загружаются в ходе запуска операционной системы. Если есть проблемы с загрузкой, напротив данного компонента будет надпись, в которой присутствует слово LoadFailed. Во время просмотра задайте поиск данного слова (обычно клавишей F7), иначе список загружаемых компонентов может быть весьма длинным. При наличии данного слова вам придется вначале выяснить, почему данный файл (компонент) не загружается. Либо он отсутствует, то есть вы его удалили случайно или вместе с чем-то (см. пункты 3,4), либо он испорчен, и его нужно восстановить.

11. Далее, если предыдущие действия не дали определенного результата, вам нужно запустить с "чистой" дискеты (обязательно!) программу тестирования диска на наличие ошибок в файловой структуре. В данном случае можно назвать программы Scandisk (входит в комплект ОС Windows)или Norton Disk Doctor (NDD[9]). Первую программу можно найти в подкаталоге Command в папке операционной системы, чаще всего это папка Windows. Вообще то автор рекомендует использовать вторую[10] программу, поскольку она работает быстрее и качественнее исправляет ошибки. Напоминаем, что запускать программы нужно, загрузив ПК с дискеты, при этом данные программы нужно записать на другом компьютере, иначе при возможном частичном заражении вашей машины, вы заразите всё то, что еще не заражено. Ошибки в файловой структуре ОС Windows встречаются весьма часто[11] и поэтому нужно быть внимательным. Сначала просто отмечаем наличие ошибок (потерянные или ошибочные длинные имена, перекрестные цепочки, потерянные кластеры и т.д.). Если ошибок много и подавляющее большинство из них относится к COM- и EXE-файлам, то исправлять ошибки, что предлагает сделать программа, ни в коем случае нельзя. Потому что это, скорее всего так называемый DIR-вирус. Тогда "лечение" будет для большинства программ "последним в жизни". Если ошибок немного, тогда можно рискнуть и выполнить процедуру лечения-исправления ошибок. Далее, загружаем компьютер уже с жесткого диска. Если сбои исчезли, тогда остается вас поздравить. В противном случае придется искать дальше.

12. Если ваш ПК нагло "виснет" при загрузке операционной системы, попробуйте проделать следующее. Вновь после появления таблицы устройств и прерываний нажмите клавишу F8 и выберите режим Step-by-step confirmation (шаг за шагом по подтверждению). В данном случае будет выводиться список основных файлов, которые загружаются в память при запуске ОС. После каждой строчки будет выводиться запрос на загрузку данного компонента. Вы можете либо согласиться и нажать клавишу "Y" и клавишу Enter, либо отказаться и нажать клавишу "N" c клавишей Enter. В данном случае, если вы не уверены в своих познаниях, то лучше пригласить более опытного коллегу. Если после загрузки очередного файла компьютер перестает подавать признаки жизни, тогда вам нужно искать проблему именно в данном компоненте. Он либо отсутствует, но должен быть загружен, либо он поврежден и нуждается в замене. В обоих случаях его можно попробовать переписать с другого компьютера, при этом нужно удостовериться, что переписываемые файлы имеют одну и ту же версию. Иначе можно списать старый вариант компонента и проблема не получит решения. Или же можно сверить размеры и дату создания файлов.

13. Терпеливо проделав все предыдущие пункты, вы в основном исключите проблемы, не связанные с вирусной инфекцией. Если все они не дали положительного результата, тогда вам "повезло", у вас, вероятно, завелся "новый друг" – компьютерный вирус. К сожалению, и сейчас нельзя сказать, что в ваших бедах виноват именно он, поэтому далее мы рассмотрим ваших истинных друзей, которые помогут вам разобраться в проблеме. И ответить, наконец, на извечный российский вопрос – кто виноват?