Як видалити вірус backdoor

Як видалити вірус backdoor

Троянські програми можуть завдати користувачеві комп’ютера як моральний, так і фінансовий збиток. Антивірусні програми та брандмауери припиняють основний потік шкідливого програмного забезпечення, проте нові версії троянських програм з’являються щодня. Іноді користувач ПК виявляється в ситуації, коли антивірус не бачить шкідливий код, тоді боротися з шкідливою програмою доводиться самостійно.

Інструкція

  1. Однією з найбільш неприємних різновидів троянських програм є бекдори (backdoor), що дозволяють хакеру здійснювати віддалене управління зараженим комп’ютером. Виправдовуючи свою назву, backdoor відкриває для зловмисника лазівку, через яку можна виконувати на віддаленому комп’ютері будь-які дії.
  2. Бекдор складається з двох частин: клієнтської, встановленої на комп’ютері хакера, і серверної, що знаходиться на зараженому комп’ютері. Серверна частина завжди знаходиться в очікуванні з’єднання, «висячи» на якомусь порту. Саме за цією ознакою — займаному порту — її і можна відстежити, після чого видалити троянську програму вже буде значно простіше.
  3. Відкрийте командний рядок: «Пуск — Всі програми — Стандартні — Командний рядок». Введіть команду netstat-aon та натисніть Enter. Ви побачите список з’єднань вашого комп’ютера. Поточні з’єднання будуть позначені у колонці «Стан» як ESTABLISHED, очікування з’єднання відзначається рядком LISTENING. Бекдор, що очікує з’єднання, знаходиться саме у стані слухання.
  4. У першій колонці ви побачите локальні адреси та порти, використовувані здійснюють мережеві з’єднання програмами. Якщо ви бачите у себе в списку програми в стані очікування з’єднання, це не означає, що ваш комп’ютер неодмінно заражений. Наприклад, порти 135 і 445 використовуються сервісами Windows.
  5. В останній колонці (PID) ви побачите номери ідентифікаторів процесів. Вони допоможуть вам дізнатися, яка програма використовує вас зацікавив порт. Наберіть в тому ж вікні командного рядка команду tasklist. Перед вами з’явиться список процесів із зазначенням їхніх імен і номерів ідентифікаторів. Подивившись ідентифікатор в списку мережевих з’єднань, ви можете за другим списком визначити, якою програмою він належить.
  6. Буває так, що ім’я процесу вам нічого не говорить. Тоді скористайтеся програмою Everest (Aida64): встановіть її, запустіть і подивіться список процесів. Програма Everest дозволяє легко знаходити шлях, по якому знаходиться здійснимий файл. Якщо програма, яка запускає процес, вам незнайома, видаліть здійснимий файл і закрийте його процес. У процесі наступного завантаження комп’ютера може спливти вікно попередження про те, що такий-то файл не може запуститися, при цьому буде вказано його ключ автозапуску в реєстрі. Користуючись цією інформацією, видаліть ключ, використовуючи редактор реєстру («Пуск — Виконати», команда regedit).
  7. Якщо досліджуваний процес дійсно належить бекдор, у колонці «Зовнішній адреса» ви можете побачити ip з’єднається з вами комп’ютера. Але це, швидше за все, буде адреса проксі-сервера, тому обчислити хакера вам навряд чи вдасться.