Обнаружить троян, который не определяется антивирусом и обошёл ваш фаервол, порой задача не из тривиальных. Но не невозможная — любое действие оставляет в системе следы. Принцип обнаружения трояна в том и состоит. Предупреждаю сразу — в статье лёгких и быстрых решений не будет. Извините, что ссылок на программы будет немного — названий немало, придётся вам искать их вручную. И пригодятся вам не все. Я покажу как троян найти. Но обнаружить троян — не значит вылечить.
Как обнаружить троян? Проверим открытые порты.
Если троян есть, он, скорее всего, нужен для отправки некой информации хакеру. Значит, ему понадобится для этого специальный канал, вход в который открывает один из портов системы. И порт этот (скорее всего) будет из числа тех, какие системой не используются, то есть из числа зарезервированных. Следовательно, задача на этом этапе проста: внимательно изучить открытые порты и проследить за процессами, которые этими портами пользуются, и на какие адреса информация отправляется.
Для операционной системы Windows вам в этом процессе на скорую руку может помочь команда netstat с флагом -an (если для выхода в интернет вы используете роутер, принцип поиска будет немного неполноценным, но читайте до конца). Наберите её прямо сейчас в консоли команд:
Внешний адрес описан по типу IP-адрес:интернет-порт
Однако более развёрнутую информацию вам предоставят сторонние программы. Лично я пользуюсь утилитами TCPView, CurrPorts и IceSword. Не всегда эта информация объективна, так как процесс может затаиться до поры до времени, и не факт, что порт откроется прямо сейчас, но проверять иногда стоит.
Как обнаружить троян? Проверьте запущенные процессы.
Троян вполне способен замаскироваться под легальный процесс или даже службу Windows. Нередко трояны себя проявляют в Диспетчере задач в виде процесса типа hgf743tgfo3yrg_и_что_то_там_ещё.exe: такой троян написать — как в магазин сходить. Троян способен инфицировать процесс, загружаясь с процессом Windows и паразитируя на нём. Здесь выход только один — нам нужны специальные программы для сканирования запущенных процессов. Одним из вариантов таких программ служит What’s Running («Уотс Ранинг» — «Что сейчас запущено«). В разное время мне приходилось использовать несколько утилит, которые зарекомендовали себя одинаково хорошо. И вот их список, приглядитесь:
- Autoruns
- KillProcess
- HijackThis
- PrcView
- Winsonar
- HiddenFinder
- Security Task Manager
- Yet Another Process Monitor
Вобщем, почаще вглядывайтесь в список процессов разными способами.
Как обнаружить троян? Проверьте реестр.
Что первым делом сделает троян? Ему нужно запускаться, а в Windows для этого существует несколько директорий и настроек. И все они находят своё отражение в настройках реестра. Windows автоматически исполняет инструкции, определяемые вот этими разделами реестра:
Run RunServices RunOnce RunServicesOnes HKEY_CLASSES_ROOT\exefile\shell\open\command
Таким образом, сканируя ключи и разделы реестра на подозрительные записи можно выявить инфекцию трояном: тот может вставить свои инструкции в эти разделы реестра для того, чтобы развернуть свою деятельность. И для того, чтобы обнаружить троян в реестре, также существует немало утилит, например:
- SysAnalyzer
- All-Seeing Eyes
- Tiny Watcher
- Registry Shower
- Active Registry Monitor
Как обнаружить троян? Он может быть в драйверах устройств.
Трояны часто загружаются под эгидой загрузки драйверов к каким-то устройствам и используют эти самые устройства как прикрытие. Этим грешат непонятные источники «драйверов для скачивания» в сети. Ничего не напоминает? А система часто предупреждает о том, что цифровая подпись драйвера отсутствует. И не зря.
Так что не спешите устанавливать скачанное из сети и не верьте глазам своим — доверяйте только официальным источникам. Для мониторинга драйверов сеть предлагает следующие утилиты:
- DriverView
- Driver Detective
- Unknown Device Identifier
- DriverScanner
- Double Driver
Как обнаружить троян? Службы и сервисы.
Трояны могут запускать некоторые системные службы Windows самостоятельно, позволяя хакеру захватить контроль над машиной. Для этого троян присваивает себе имя служебного процесса с целью избежать детектирования со стороны антивируса. Применяется техника руткита с целью манипуляции разделом реестра, в котором, к сожалению, есть где спрятаться:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
А значит, нам придётся запастись утилитами мониторинга запущенных сервисов. Это:
- Smart Utility
- Process Hacker
- Netwrix Service Monitor
- Service Manager Plus
- Anvir Task Manager и др.
Как обнаружить троян? Нет ли его в автозагрузке?
Что мы подразумеваем под автозагрузкой? Нет, мои хорошие, это не только список записей в одноимённой папке — это было бы совсем просто. Прежде всего, это следующие разделы Windows:
- полный список служб Windows, выдаваемый одноимённой консолью. Команда быстрого запуска консоли: Выполнить (WIN + R) — services.msc. Советую открыть, отсортировать по Типу запуска и внимательно изучить все запускаемые Автоматически службы.
- папка с автоматически загружаемыми драйверами: знаменитая C:\Windows\System32\Drivers (были времена я проверял каждый из драйверов вручную)
- бывает всякое, так что загляните и в файл bootmgr (для Windows XP это boot.ini) на предмет посторонних вкраплений. Самый простой способ это сделать — вызвать утилиту Конфигурации системы: WIN + R- msconfig — вкладка Загрузка
- а раз уж вы здесь, перейдите и во вкладку загружаемых программ. Во вкладке Автозапуск мы часто ищем программы, которые тормозят запуск системы. Однако вы можете там обнаружить и трояна
msconfig в Windows XP (для других версий почти не изменился)
а вот окно Конфигурации для Windows 7
- а вот теперь и папку Автозагрузки проверьте (убедитесь, что системе приказано отображать Системные файлы и папки, а также Скрытые):
-
Локальный диск С: - Program Data - Microsoft - Windows - Главное меню - Программы - Автозагрузка
-
C:\Пользователи\имя-записи\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка
Это не полный список ветвей. Если хотите узнать о программах, которые запускаются вместе с Windows, вы можете посмотреть на их список в статье «Опасные ветви реестра«. Из числа утилит, с помощью которых можно проводить мониторинг разделов загрузки можно выделить:
- Starter
- Security Autorun
- Startup Tracker
- Program Starter
- Autoruns
Как обнаружить троян? Проверьте подозрительные папки.
Для трояна обычное дело изменять системные папки и файлы. Проверить это можно несколькими способами:
- FCIV — командная утилита для расчёта MD5 или SHA1 файловых хешей
- SIGVERIF — проверяет целостность критических файлов, имеющих цифровую подпись Microsoft
- TRIPWIRE — сканирует и сообщает об изменениях в критических файлах Windows
- MD5 Checksum Verifier
- SysInspect
- Sentinel
- Verisys
- WinMD5
- FastSum
Как обнаружить троян? Проверьте сетевую активность приложений
В трояне нет смысла, если он не запускает сетевую активность. Чтобы проверить, какого рода информация утекает из системы, необходимо использовать сетевые сканеры и пакетные сниферы для мониторинга сетевого трафика, отправляющего данные на подозрительные адреса. Неплохим инструментом здесь является Capsa Network Analyzer — интуитивный движок представит детальную информацию, чтобы проверить, работает ли на вашем компьютере троян.
Успехов нам всем.
Удаление вредоносных программ с Windows компьютера
OneDrive (для дома или персональный) OneDrive для Windows Еще…Меньше
Безопасность Windows — это мощное средство сканирования, которое находит и удаляет вредоносные программы с компьютера. Ниже описано, как использовать его в Windows 10 для сканирования компьютера.
Важно: Прежде чем использовать Защитник Windows автономном режиме, обязательно сохраните открытые файлы и закройте приложения и программы.
-
Откройте Безопасность Windows параметров.
-
Выберите параметры & защиты > вирусов.
-
Выберите Защитник Windows автономном режиме, а затем нажмите кнопку «Проверить сейчас».
Проверка Защитник Windows автономном режиме занимает около 15 минут, после чего компьютер перезапустится.
Просмотр результатов проверки
-
Откройте Безопасность Windows параметров.
-
Выберите & защиты > защиты от > защиты от вирусов.
Автономная проверка Защитник Windows автоматически обнаруживает и удаляет вредоносные программы или помещает их в карантин.
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.
Download Article
Download Article
A trojan horse is a type of malware that can infect any computer. Trojans find their way onto computers by hiding in software downloads, making them easy to (unintentionally) install. You can also get a trojan horse by visiting an insecure or malicious website. Once a trojan horse is installed on your computer, it can spy on you, steal your personal information, and/or create backdoors that allow other hackers to do the same. This wikiHow teaches you how to tell if your computer is infected with a trojan horse, and how to secure your computer.
Things You Should Know
- Be wary if your computer is running especially slowly, programs are unexpectedly opening, or you’ve noticed an influx of spam and pop ups.
- Install and/or update your antivirus software and run a scan. Most computers have built in antivirus software, but your computer must be up to date for them to run effectively.
- To run a scan on a Mac, you’ll also need to download third party software such as Malwarebytes for Mac.
-
1
Recognize the signs. The signs of a trojan horse can be similar to other types of viruses and malware. You may have a trojan horse if you are experiencing any of the following:
- Is your computer running more slowly than usual? Trojans run software in the background that can use a lot of precious computing power. A «zombifying» trojan can even make it impossible for you to use your computer at all while the hacker is using it to attack a network.[1]
- Are you seeing programs that you don’t recognize, or are programs opening automatically that weren’t before? Trojans install software on your computer that can be used to harvest your information or use your computer to attack others. You may not see these programs in your Start menu or Apps folder, but sometimes you’ll see them running in the background.
- Have you noticed a lot of pop-up windows or spam? Trojans may install programs that cause pop-up windows to appear on the screen, sometimes asking for login or banking information. If you see a pop-up asking you for personal information, don’t enter that information unless you specifically visited the website or opened the app first.
- Is your computer running more slowly than usual? Trojans run software in the background that can use a lot of precious computing power. A «zombifying» trojan can even make it impossible for you to use your computer at all while the hacker is using it to attack a network.[1]
-
2
Install and/or update your antivirus software. Both Windows and macOS come with built-in security software designed to keep you safe from trojan horses and other threats. However, if your computer and antivirus software are not up to date, newer trojans may creep through.
- If you’re using Windows 10, Windows Security is always running in the background, doing frequent scans for trojan horses and other threats.[2]
To make sure it’s up to date, press Win + i to open your Settings, click Update & security, and then click Check for updates. Install any updates that are found. - If you have a Mac, virus and malware protection is built in to your computer already.[3]
Apple recommends keeping your system up to date to ensure the best protection. Click the Apple menu, select System Preferences, click Software Update, and then click Update Now if any updates are found.
Advertisement
- If you’re using Windows 10, Windows Security is always running in the background, doing frequent scans for trojan horses and other threats.[2]
-
3
Scan your computer. Any reputable antivirus/antimalware software can check your computer thoroughly for trojan horses. If your software detects a trojan horse, it will let you know, and then help you remove it from your computer.
- Windows Security is great at tracking down and removing most threats on its own, but for a deeper scan, you can run an offline scan. In the Windows search bar, type virus, click Virus & threat protection in the search results, and then click Scan Options. Select Microsoft Defender Offline Scan and click Scan Now.
- Although you have antivirus protection, you can’t run a scan on a Mac without installing non-Apple antivirus/antimalware software. One of the most well-known available is Malwarebytes for Mac, and you can use it to scan your Mac for free. Download Malwarebytes from https://www.malwarebytes.com/mac-download, and then double-click the downloaded file to install the software. Once installed, open Malwarebytes and click Scan Now to start the scan.
- There are many other antimalware programs you can use on both Windows and macOS. Malwarebytes, Avast, and AVG are all available for both operating systems, and they all have free scanning options. Each of these programs also offers you the option to pay for an upgrade that will always run in the background so it can catch trojan horses and other malware in real-time.
-
4
Protect yourself from trojan horses in the future. Whether your antivirus scanner found a trojan horse or not, you’ll still want to do everything you can to make sure you stay protected from threats in the future.
- Keep all of your software up to date. When Windows or macOS prompts you to update to the latest version of the operating system, do it as soon as possible. While these update notices don’t always pop up at the most convenient times, they are timely—updates usually contain security updates that fix issues that hackers can exploit. The longer you wait, the more vulnerable you are to attack.
- Never install applications from sources you don’t know and trust. Although it’s not fail-proof, you’ll have a better chance of avoiding trojan horses if you stick to installing software through the App Store app on your Mac or the Microsoft Store app on your PC.
- Never open attachments in email messages unless you’re expecting the attachment. Trojan horses may infect your computer through a program file sent by someone else—even if the email message is from someone you trust, there’s a chance a virus infected their computer and is now trying to install trojan horses on other peoples’ computers.
- Avoid visiting risky websites. If your browser warns you that your connection is not secure, or you’re being inundated with pop-ups or fake virus notices (these can look convincing!), close your browser tab, open a new one, and browse to a different website.
Advertisement
Add New Question
-
Question
I got a notification that I got a Zeus virus and I called and they said that I have a trojan and that it costs 100 dollars to fix. Is this a scam?
Yes, this is a scam.
-
Question
I got a message saying I have a virus. I left the website, do I still have a virus?
Arbiter Gaming
Community Answer
You may have a virus. Go into safe mode with networking, delete restore points and turn off system restore. Scan using malware bytes.
-
Question
I got a notification of a virus but I didn’t click it. How can I be sure I don’t have it?
If you don’t have an antivirus or the notification seems fake, that notification is probably a virus. If you didn’t click it, you don’t have it. But scan using a real antivirus just in case.
See more answers
Ask a Question
200 characters left
Include your email address to get a message when this question is answered.
Submit
Advertisement
-
If a pop-up advertisement prompts you to download anti-virus software, do not install it. This is a common trojan horse tactic. Stick to known products like those mentioned in this wikiHow.
-
If you’re using an antivirus program that doesn’t do regular scans in the background automatically, make sure to turn the «automatic scanning» feature (or similar) on.
Thanks for submitting a tip for review!
Advertisement
About This Article
Article SummaryX
1. Update your operating system and antivirus software.
2. Run an antivirus scan.
3. Keep all of your software up-to-date in the future and avoid downloading applications from unknown sources.
Did this summary help you?
Thanks to all authors for creating a page that has been read 343,841 times.
Is this article up to date?
Пользоваться антивирусом или нет, каждый решает сам. На эту тему можно долго дискутировать, но участившиеся сообщения о новых изощренных вирусных атаках заставляют все чаще думать о необходимости надежной защиты. Многие пользователи идут на компромисс и не покупают антивирусный софт, считая это лишним, но пользуются встроенной защитой Windows. Это имеет смысл для версий ОС Windows 10 и 11, где такой вариант защиты себя хорошо зарекомендовал. Разработчики сделали защиту вполне надежной, что позволяет чувствовать себя относительно защищенным.
И все же нужно позаботиться о более надежной защите. И это вполне возможно и, более того, не требует никаких финансовых вложений. Дело в том, что в код ОС Windows встроена утилита MRT, позволяющая выполнить проверку компьютера на наличие всех известных вирусов. Вообще, она находится в папке System32 в директории Windows, но гораздо более удобно вызывать ее запуск через меню «Выполнить». Для этого нужно нажать комбинацию клавиш «Win + R» и в появившемся окне вписать MRT. Вслед за этим запустится средство удаления вредоносных программ, где нужно выбрать нужный режим сканирования из трех доступных.
Это режимы быстрой, полной или выборочной проверки. Первый режим можно использовать в профилактических целях пару раз в месяц – он занимает не так много времени. Более продолжительное время занимает полная проверка. Ее имеет смысл делать, как минимум, раз в пару месяцев. Выборочная проверка удобная тем, что позволяет быстро проверить определенную директорию, если есть сомнения в безопасности установленного на компьютер ПО. По окончании проверки утилита предоставит полный отчет о проверке, а пользователю только останется принять решение о судьбе выявленных «подозрительных» файлов.
Стоит понимать, что утилита MRT не является антивирусом. Она работает не только на Windows 10 и 11, но и на Windows 7 и 8. К достоинствам этого средства проверки можно отнести то, что утилита регулярно обновляется разработчиками и содержит в своей базе данные обо всех наиболее часто используемых вирусах и троянах. Использование этой утилиты особенно актуально, когда уже установленное вирусное ПО фактически блокирует установку антивируса на компьютер. Сканер MRT в состоянии обнаружить вирус даже в том случае, если его исполняемый файл никогда не запускался.
Добавьте «Нескучные технологии» в избранные источники
По материалам
vladtime.ru
Увлекаюсь технологиями — это и хобби и работа. Спасибо, что читаете и комментируете мои нескучные тексты.
Back to top button
Многие пользователи не знают, как эффективно проверить свой ПК на вирусы, хоть в Виндовс 10 имеется встроенный Windows Defender. Родной Защитник отлично справляется со своей миссией и надежно защищает систему от вторжения различных троянов и червей. Однако с помощью одного встроенного инструмента полностью обезопасить свой ПК от угроз не удастся. Нужно время от времени использовать онлайн-сканеры или установить сторонний антивирус.
Проверка на вирусы с помощью Windows Defender в Windows 10
Для защиты домашних ПК от вредоносных и шпионских модулей создан специальный инструмент от компании «Майкрософт» под названием «Защитник Виндовс». Впервые Windows Defender появился в ОС Windows XP. Разработчики на протяжении многих лет усовершенствовали этот программный продукт, улучшая его функции. Защитник Виндовс на всех ПК активирован по умолчанию.
Основные возможности встроенного Защитника:
- обнаружение вредоносного и шпионского ПО;
- предотвращение установки на ПК зараженных вирусом программ;
- наблюдение за запускаемыми обновлениями;
- мониторинг автозапуска;
- отправка сведений об угрозах безопасности в компанию «Майкрософт»;
- ручное исключение из проверки файла, установка которого блокируется системой.
Как проверить состояние Windows Defender:
- активировать «Параметры»;
- отыскать «Обновление и безопасность»;
- перейти в «Защитник Виндовс»;
- проверить, активирована ли «Защита в реальном времени» и «Облачная защита».
Как запустить проверку состояния ПК:
- активировать «Параметры»;
- отыскать подпункт «Защитник Виндовс»;
- нажать на «Открыть защитник Виндовс»;
- откроется консоль с одноименным названием;
- открыть вкладку «Домой»;
- проверить включена ли защита (Вкл.);
- выбрать параметр проверки («Быстрая», «Полная» или «Особая»);
- нажать на «Проверить сейчас», чтобы просканировать домашний компьютер.
Важно! «Windows Defender» — бесплатная встроенная утилита, которую можно регулярно обновлять с помощью Центра обновлений. При желании пользователи могут установить на свой ПК сторонний антивирус из интернета. При установке другой антивирусной программы возможны конфликты со встроенным Защитником. В таком случае можно на время (до следующей перезагрузки) деактивировать Windows Defender в «Параметрах». Полностью отключить Защитник Виндовс не удастся.
Использование сторонних антивирусов
Для защиты домашнего ПК от вирусов хватает встроенного Защитника Виндовс. Правда, у родной утилиты Win 10 есть уязвимости, устранить которые помогает использование онлайн-сканеров или установка сторонней антивирусной программы. Например, Защитник Виндовс не всегда способен распознать новейшее вредоносное ПО.
VirusTotal
Это бесплатный онлайн-сканер вирусов, троянов, червей и различных вредоносных ПО. VirusTotal не только проверяет, но и анализирует файлы и URL. При обнаружении вредоносного кода эта программа делится информацией с ИБ-сообществом. В VirusTotal установлен движок CyAI, помогающий выявлять вирусы, которым удалось обмануть встроенную систему безопасности. Выполнить проверку конкретного файла или URL-ссылки можно непосредственно на сайте virustotal.com. Правда, при онлайн-сканировании к выявленным вирусам не применятся никакие действия.
Плюсы антивируса:
- работает в онлайн-режиме и не требует регистрации;
- имеет понятный интерфейс;
- может работать с любым браузером;
- включает несколько антивирусных сканеров;
- не конфликтует с Защитником Виндовс;
- сканирует загруженный на интернет-площадку файл или URL;
- вес загружаемого файла около 100 Мб;
- запускается простым нажатием кнопки «Проверить».
Dr.Web Online
Это бесплатный онлайн-сканер, помогающий частично просканировать систему. Dr.Web Online проверяет только те файлы и URL-ссылки, которые загружаются на его интернет-площадку. Выявленные угрозы этот сканер не удаляет. Вылечить зараженный файл от вируса поможет, например, утилита Dr.Web CureIt.
Достоинства Dr.Web Online:
- позволяет проверить любой файл весом до 10 Мб;
- сканирует любую URL-ссылку;
- выдает подробный отчет о проверке;
- для проведения сканирования использует обновленную вирусную базу;
- проверку можно осуществить на сайте drweb.ru online без регистрации.
Доктор
Вылечить домашний ПК от вирусов поможет бесплатная утилита под названием «Доктор Веб». Правильное наименование программы — Dr.Web CureIt. Это утилита, которую нужно установить на свой ПК. Правда, Dr.Web CureIt не лечит, а выявляет угрозы и предлагает их удалить или поместить на карантин. При заражении ОС желательно проводить сканирование из «безопасного режима».
Характеристики Доктора Веба:
- скачивается бесплатно;
- еженедельно предлагает обновление вирусной базы;
- запускает сканирование ОС простым нажатием кнопки «Начать проверку»;
- позволяет выбрать объекты для проверки;
- найденные угрозы удаляет или помещает на карантин;
- способен вылечить измененный hosts файл.
Kaspersky VirusDesk
Это онлайн-сканер, который долгое время применялся для проверки файлов и веб-адресов. Сервис работал на основании собственной постоянно обновляемой вирусной базы и использовал свою облачную технологию Kaspersky Security Network. Сканер анализировал файлы весом до 50 Мб.
С апреля 2020 Kaspersky VirusDesk прекратил работу. Вместо него для проверки можно использовать онлайн-сканер Kaspersky Threat Intelligence Portal. Новый сервис сканирует и анализирует потенциальные угрозы безопасности.
Преимущества Kaspersky Threat Intelligence Portal:
- сканирует файлы весом до 256 Мб;
- проверяет ссылки на сайты, IP-адреса, домены, хеш-суммы файлов;
- дает подробную информацию об обнаруженных угрозах и их источниках.
NANO Антивирус
Это антивирусная утилита, защищающая ПК от новейшего вредоносного ПО. NANO Антивирус разрешается скачать и использовать бесплатно. Утилита обеспечивает защиту в режиме реального времени.
Достоинства NANO Антивирус:
- выявляет вирусы в разных типах архивов;
- находит и лечит даже сложные полиморфные и шифрованные угрозы;
- выявляет даже те вирусы, которые не занесены в вирусную базу;
- ежедневно обновляет вирусную базу через интернет-связь.
Jotti’s malware scan
Это бесплатный онлайн-сканер, позволяющий просканировать любые файлы. Выполняет проверку за считанные секунды, выдает отчет, но не лечит зараженные элементы.
Плюсы Jotti’s malware scan:
- работает онлайн;
- позволяет одновременно добавлять до 5 файлов (весом до 250 Мб);
выдает подробный отчет об угрозах.