Отправляет email-рассылки с помощью сервиса Sendsay

Секреты Windows: статьи о реестре, rundll32.exe, программах

Рассылка закрыта

При закрытии подписчики были переданы в рассылку "Всё о работе в Интернет" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

  Ноябрь 2009  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Автор
Клименко Роман aka parad0x

Статистика

3.339 подписчиков
-4 за неделю
  Все выпуски  

Секреты Windows: статьи о реестре, rundll32.exe, программах


Глава 3. Антивирусная защита отдельного ПК. Если компьютер уже заражен - Список работающих служб
Дата: 9 ноября 2009, понедельник

У вас возникли вопросы по Windows? Задайте их нам на Форуме (http://www.onestyle.com.ua/q.php). Вам достаточно просто зарегистрироваться!

Новинки нашей сети


mybaby.co.ua. Для скачивания доступна программа Набор развивающих игр для детей дошкольного возраста. А также добавлены игры Угадай-ка животное, вариант 1, Угадай-ка животное, вариант 2, Норка.
http://inf.biz.ua. Добавлен код информера Бесплатные книги.
http://arm.biz.ua. Добавлены новые виды оружия и брони.
http://card.co.ua. Добавлена игра Дурак дорожный
http://gal.co.ua. В галерею Приколы добавлены новые изображения: Сдается мне, что я тут не первый..., C прискорбием вынужден сообщить, Вкл и Выкл.

В конец записи

Данная книга была написана под руководством литературного агентства «Сигма+» по заказу Лаборатории Касперского. Однако в дальнейшем, по словам литературного агентства «Сигма+», Лаборатория Касперского «передумала» платить за уже написанную книгу, которая до этого им нравилась. И гонорар мне так и не был выплачен. Как думаете, почему?

Мы с вами уже умеем обнаруживать процессы, которые были запущенны вредоносными программами. Это даже не полдела, но все-таки уже можно начинать собой гордиться. А чтобы гордость за наши умения была еще больше, давайте посмотрим, как можно обнаружить другой тип вредоносных программ. Те программы, которые не запускают процессов, а вместо этого создают в системе свою службу.

Нам уже известен один способ просмотра списка работающих служб — вкладка СЛУЖБЫ диалога ДИСПЕТЧЕР ЗАДАЧ WINDOWS. Не спорю, способ действующий. Вы даже можете с его помощью просмотреть список остановленных служб, и, более того, запустить или остановить любую службу, а также узнать ID процесса, в котором выполняется служба. Но одно маленькое «но» — для поиска вредоносных программ этот способ малопригоден. Поэтому давайте рассмотрим другие способы.

Оснастка Службы

Оснастка СЛУЖБЫ (консоль services.msc) более пригодна для поиска вредоносных программ, установленных в качестве служб. Она отображает список всех установленных в системе служб, а также позволяет выполнить над ними множество действий: изменять способ запуска, отключать, останавливать и запускать, а также изменять другие параметры служб.

Поскольку практически все службы, создаваемые вредоносными программами, запускаются автоматически, начинать поиск вредных служб нужно с сортировки списка по типу запуска. Для этого щелкнете кнопкой мыши по столбцу ТИП ЗАПУСКА (рис. 3.37).


Рис. 3.37. Список служб в оснастке Службы, отсортированный по типу запуска

Ну, а дальше идет поиск служб, вызывающих у вас подозрение, и поиск информации о подозрительных службах в Интернете. Когда подозрительная служба найдена, выберите пункт СВОЙСТВА в ее контекстном меню. Перед вами отобразится окно, с помощью которого можно выполнить множество действий. Но нам сейчас нужны следующие его возможности.

  • Строка ИСПОЛНЯЕМЫЙ ФАЙЛ. Указывает путь к исполняемому файлу службы. Вам знаком файл или каталог, указанный в этой строке? Откройте указанный каталог и посмотрите на дату его создания. Ничего не вспоминается? Может, в тот день вы устанавливали какие-то новые программы? Что, совершенно не представляете, что это за файл? В таком случае поищите его описание в Интернете. Но на всякий случай перед этим остановите и отключите подозрительную службу. Очень важные службы Windows Vista вам не даст отключить, поэтому, скорее всего, после отключения данной службы, даже если она и окажется стандартной службой Windows, ничего особо страшного не случится.
  • Раскрывающийся список ТИП ЗАПУСКА. Именно с помощью данного списка можно отключить службу. Для этого достаточно выбрать в нем пункт ОТКЛЮЧЕНА.
  • Кнопки ЗАПУСТИТЬ и ОСТАНОВИТЬ. После того, как вы отключили службу, ее нужно остановить (если, конечно, она была запущена). Для этого вам пригодится кнопка ОСТАНОВИТЬ. Следует сначала отключать службу, а уже потом останавливать. Так как в противном случае есть вероятность, что после остановки службы, она будет автоматически запущена снова.

    В некоторых случаях вы можете с досадой обнаружить, что кнопки Запустить и Остановить для подозрительной службы не активны. И раскрывающийся список Тип запуска также не активен. В этом случае — дело труба. Отключить такую службу можно только через реестр. Хотя на всякий случай можно попробовать еще один способ — команды sc.exe config имя_службы start= disabled (отключение) и sc.exe stop имя_службы (остановить). В качестве имени службы нужно указывать значение поля Имя службы диалога Свойства подозрительно службы.

    Среди стандартных служб Windows также попадаются службы, которые нельзя отключить и остановить: Plug-and-Play, Windows Driver Foundation - User-mode Driver Framework (нельзя остановить), Диспетчер учетных записей безопасности (нельзя остановить), Клиент групповой политики, Модуль запуска процессов DCOM-сервера, Планировщик заданий, Удаленный вызов процедур (RPC).

Программа msconfig.exe

Дополнительную помощь в поиске подозрительной службы вам может оказать программа msconfig.exe, которую раньше мы использовали для поиска автоматически запускаемых программ. Эта программа обладает одной уникальной возможностью — флажком НЕ ОТОБРАЖАТЬ СЛУЖБЫ МАЙКРОСОФТ на вкладке СЛУЖБЫ окна программы (рис. 3.38).

С помощью данного флажка можно скрыть все службы, разработчиком которых не является Microsoft Corporation. В некоторых случаях это вам может помочь в поиске подозрительных служб. Хотя иногда создатели вредоносных программ не забоятся об авторских правах, и также указывают в качестве издателя службы Microsoft Corporation.


Рис. 3.38. Отображение только служб, которые были созданы не Microsoft

Если вы обнаружили подозрительную службу в оснастке СЛУЖБЫ, тогда не ленитесь, и проверьте разработчика службы в программе msconfig.exe. Если разработчик не указан, или если в качестве разработчика указана неизвестная фирма, тогда ваши подозрения могут окрепнуть еще больше.

Если в качестве разработчика указана неизвестная фирма, поищите сведения об этой фирме в Интернете. Быть может, недавно вы устанавливали программу от этой фирмы, или драйверы для нового оборудования.

Удаление служб

Если вы абсолютно уверены, что подозрительная служба никакая не подозрительная, а самая настоящая вредоносная, тогда ее нужно обязательно остановить и отключить. А лучше, вообще удалить.

Но удалить службу не так просто — в оснастке СЛУЖБЫ и в программе msconfig.exe вы такой возможности не найдете. Поэтому для удаления службы придется воспользоваться командной строкой. А точнее, командой вида sc.exe delete имя_службы. В качестве имени службы нужно указывать значение поля ИМЯ СЛУЖБЫ диалога СВОЙСТВА вредоносной службы.

Но перед тем, как сделать это, дважды или трижды подумайте. А потом еще дважды или трижды удостоверьтесь, что служба, которую вы хотите удалить, на самом деле вредоносная. Так как после удаления службы, вы не сможете ее установить. И если служба все-таки окажется нужной, то вам придется заново переустанавливать операционную систему или какую-либо хорошую программу.

Продолжение следует
Рейтинг: 5.00 [ 3 ] 
Оцените: 1 2 3 4 5
moemesto.ru bobrdobr.ru - добавить в социальные закладки
В начало записи
Оригинал статьи: http://www.onestyle.com.ua/txt.php?u=704
В избранное