Как уменьшить риск заражения системы. Я постарался собрать основные рекомендации которых нужно придерживаться:
1) Одним из основных векторов распространения зловредов являются флешки - поэтому я настоятельно рекомендую отключить автозапуск со сменных носителей (а лучше вообоще полностью).
Сделать это можно несколькими способами:
1) Через "Редактор объектов групповой политики":
а) В поле выполнить вводим gpedit.msc и нажимаем enter - тем самым мы вызываем "Редактор объектов групповой политики" (кстати поизучайте его на досуге - оттуда можно много чего ещё делать - например блокировать-разблокировать диспетчер задач и редактор реестра и т.д.)
б) Переходим там по пути Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Политика автозапуска - Отключить автозапуск.
в) Ставим галочку включен и выбираем параметр "Все устройства" - жмём ПРИМЕНИТЬ - ОК.
2) С помощью AVZ:
Открываем AVZ и переходим в Файл - Мастер поиска и устранения проблем - Системные проблемы - жмём пуск.
Ставим галочки на пунктах в названиях которых встречается слово автозапуск - жмём Исправить отмеченные проблемы.
Также можно написать скрипт для отключения автозапуска, например для отключения автозапуска со всех устройств кроме CD/DVD приводов нужно выполнить такой скрипт в AVZ (AVZ - Файл - Выполнить скрипт - вставить туда скрипт - Запустить):
Код:
Цитировать
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.
Ручной правкой реестра:
а)
Код:
Цитировать
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom
Установить значение параметра AutoRun равным 0.
б)
Код:
Цитировать
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
Создать ключ "NoDriveTypeAutoRun" (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
Настройки в HKEY_CURRENT_USER таким образом игнорируются, но можно и там такой ключ создать если вы хотите для убедительности.
в)
Код:
Цитировать
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
Задать строковой параметр (типа REG_SZ) со значением:
Код:
Цитировать
@SYS:DoesNotExist
г)
Код:
Цитировать
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files
Создать строковый параметр типа REG_SZ с названием:
Код:
4) Кто не хочет самостоятельно вносить изменения в реестр указанные в третьем пункте - могут воспользоваться AutorunDell_FINAL - скачать его можно по ссылке:
[Ссылки могут видеть только зарегистрированные пользователи. ] P.S. Вы можите использовать любой из приведённых способов - какой вам больше понравится))
2) В повседневной работе за компьютером желательно использовать учётную запись с ограниченными правами, так как это в значительной мере снижает вероятность заражения ПК. А учётную запись администратора использовать только при установке программ и внесение в систему изменений требующих соответствующих привелегий.
В Windows Vista и Windows 7 данную проблему решили введением компонента UAC. Если вы пользуетесь этими операционными системами - то используете встроенную учётную запись с включенным UAC - это почти полностью убережёт вас от прописания зловреда в автозагрузку (естественно если вы сами это не одобрите) и внесения им критических изменений в системные настройки (т.е. значительно уменьшит возможность закрепления зловреда на ПК).
3) Регулярно обновляйте систему и программы (особенно не стоит принебрегать обновлением браузеров (Internet Explorer в том числе), Adobe Acrobat, Java, Adobe Flash Player, антивирусов и другого защитного софта). Для обнаружения наиболее часто используемых уязвимостей (которые нужно устранить в первую очередь) вы можете воспользоваться скриптом написанным участник форума virusinfo.info AndreyKa (AVZ - Файл - Выполнить скрипт - вставить туда скрипт - Запустить):
[Ссылки могут видеть только зарегистрированные пользователи. ] 4) Желательно произвести тонкую настройку системы, в этом вам поможет следующая книжка (в той книге много полезной инфы по информационной безопасности):
[Ссылки могут видеть только зарегистрированные пользователи. ] P.S. При внесение изменений затрагивающих сетевые настройки проконсультируйтесь в техподдержке вашего интеренет провайдера.
5) Желательно включить показ расширений файлов - для этого перейдите:
ПУСК - Панель управления - Свойства папки - выберети вкладку ВИД - снимите галочку с пункта "Скрывать расширения для зарегистрированных типов файлов" - нажмите применить - ОК.
Для чего это следуют сделать - многие зловреды сейчас используют для обмана пользователей двойное расширение (скрытое расширение) - т.е. например Фото.jpg.exe - если у вас будет стоять там галочка то вы можете не понять что перед вами замаскированный исполняемый файл, так как будет отображаться Фото.jpg
Если вы увидите файл с двойным расширением, то будьте максимально осторожны - пошлите в вирусную лабораторию на изучение, проверьте на VT и лишь потом если файл окажется чист запускайте.
6) Желательно произвести тонкую настройку браузера, выполнив хотя бы основные рекомендации:
- использовать сессионные куки (cookies)
- отключить Java
- отключить плагины (использовать их только по необходимости)
- отключить фреймы и inline-фреймы
- также желательно запретить исполнение JavaScript (разрешать только для доверенных сайтов)
- менеджерами паролей лучше не пользоваться (надёжнее хранить их в собственной памяти)
Если вы не хотите разбираться в тонкой настройке вашего браузера (выполнять выше изложенные пункты) - то для вас рационально будет использовать его в песочниче (например Sandboxie).
7) Необходимо соблюдать элементарную гигиену при сёрфенге в интернете:
- качать софт только с оффициальных сайтов
- не кликать на сомнительные ссылки полученный по почте, месенджеру и т.д.
- файлы лучше сразу скачать (нажать правую кнопку мыши и выбрать пункт сохранить как), изучить (проверить соответствие расширения обещанного файла скачанному (например картинка уж точно не должна иметь расширение exe), наличие двойного расширениия, отправить на VirusTotal) и лишь потом (если не возникнет подозрений) запускать.
- перед посещением подозрительного сайта лучше проверить заражен ли он, для этого можно например использовать:
[Ссылки могут видеть только зарегистрированные пользователи. ] 8) Рекомендую вам изучить что-такое hosts файл и для чего он нужен.
Общая информация:
[Ссылки могут видеть только зарегистрированные пользователи. ] Для чего это нужно - зловреды внося изменения в этот файл могут блокировать определённые сайты (например серверы обновлений для антивирусов, операционной системы и т.д.) и перенаправлять ваши запросы на другие (фишинговые или зараженные) сайты.
Если в кратце - то hosts файл как правило находится здесь:
Код:
Цитировать
c:\windows\system32\drivers\etc\hosts
Редактироваться он может с помощью обычного блокнота.
По умолчанию должен содержать только строчку:
Код:
Цитировать
127.0.0.1 localhost
Если операционная система поддерживает протокол интернета версии 6 (IPv6), то по умолчанию там есть ещё строчка:
Код:
Если вы увидите там другие строки кроме этих - то их следует удалить (P.S. следует иметь ввиду что некоторый защитный софт также может вносить изменения в hosts файл - для блокирования зловредных сайтов).
Очистить hosts файл от нежелательных записей можно автоматически - выполнив скрипт в AVZ (AVZ - Файл - Выполнить скрипт - вставить туда скрипт - Запустить):
Код:
Цитировать
begin
ClearHostsFile;
end.
Назначение записей в hosts файле:
127.0.0.1 localhost - адрес вашего компьютера
216.246.90.119 virusinfo.info - указывает адрес для ускорения загрузки сайта virusinfo.info (т.е. при вводе в браузере адреса virusinfo.info - будет сразу устанавливаться соединение с удалённым IP-адресом 216.246.90.119 - это часто используется зловредами для перенаправления запросов на другие сайты)
127.0.0.1 virusinfo.info - блокирует сайт virusinfo.info (часто используется зловредами для блокирования серверов обновлений антивирусов (защитного софта) и операционной системы)
9) Желательно запомните стандартный ключ запуска проводника:
Код:
Цитировать
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe
"
Для чего это нужно - многие зловреды (например блокеры) модифицируют его, например внося такие изменения:
Код:
Цитировать
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\svvghost.exe"
Т.е. при загрузке Windows вместо проводника (explorer.exe) будет грузиться зловредный процесс (svvghost.exe).
10) Для тестирования нового софта и запуска подозрительных файлов установите себе виртуальную машину, программу типа "песочница" или регулярно делайте образы системного раздела соответствующими утилитами - это поможет вам продлить срок службы и снизит риск заражения (или облегчит лечение) системы. Также регулярно делайте резервные копии важных данных - чтобы не потерять их при заражение системы.
