Компьютер, зараженный вирусами — это всегда неприятно. Под угрозой оказываются личные файлы пользователя, номера его расчетных счетов в интернете, стабильность операционной системы и даже физические компоненты компьютера. На нашу радость существует много предприимчивых людей, создающих программное обеспечение для борьбы с вирусами. С каждым разом клиентам обещают “еще больший уровень обнаружения нежелательного ПО!”, за который приходится платить деньгами и мощностью ресурсов компьютера. Этого вам точно не скажут в рекламе, но в любом антивирусе есть список доверенных программ со шпионскими функциями, которые прекрасно запускаются, устанавливаются и работают при включенной активной защите. Одна из категорий такого ПО — кейлоггеры.
Задача самого простого клавишного шпиона — перехватывать каждое нажатие на клавиатуре. Здесь у злоумышленника более приземленные и конкретные цели: украсть любой логин и пароль, прочитать личную переписку, увидеть любое действие на компьютере. Современные кейлоггеры умеют делать снимки экрана, записывать позицию курсора, следить за буфером обмена, перехватывать входящие сообщения во всех популярных сервисах и многое другое. Есть подозрение, что начальство следит за вами на рабочем месте? Родители хотят взять под контроль вашу активность в интернете? Взломали аккаунт в соц.сети? Тогда смело на поиск и обезвреживание кейлоггера!
Виды клавиатурных шпионов
Существуют аппаратные и программные шпионы. Первый тип легко распознать при визуальном осмотре клавиатуры и ее шнура. Иногда он имеется вид платы, встроенной внутрь самой клавиатуры (на корпусе должны быть следы ее вскрытия), но чаще это подозрительный и совершенно ненужный переходник USB или OS/2.
Это маленькое устройство умеет записывать нажатия клавиш на встроенную память, передавать данные по Wi-Fi или через мобильную сеть на удаленный компьютер.
Второй тип шпионов не только богаче по функциям, но и скрывается не в пример лучше — среди запущенных программ и служб пользователя. Чаще всего их деятельность хорошо замаскирована и визуально никак себя не проявляет. Например, каждый пользователь компьютера встречался с такой “полезной” программой, как Punto Switcher? Вот это и есть самый настоящий кейлоггер. Если в разделе “Настройки” -> “Дневник” установлена галочка “Вести дневник”, а на самих записях установлен незнакомый пароль, то за этим компьютером уже кто-то наблюдает. Вычислить и обезвредить такую программу можно только при комплексном подходе и поочередном выполнении следующих инструкций.
Очистка автозагрузки
Заходим в меню “Пуск”, нажимаем на ссылку “Выполнить…” (либо можно воспользоваться сочетанием клавиш WIN+R), в диалоговом окне пишем команду “msconfig” и нажимаем ввод. На вкладке “Автозагрузка” присутствуют все программные компоненты, стартующие вместе с Windows. Подозрительные или попросту ненужные программы лучше отключить, сняв флажок рядом с их именем. Если элемент в списке незнаком, лучше не спешить его удалять. К примеру, на запрос в гугле “Что такое jusched.exe” получена информация, что это компонент Java машины на компьютере, очень нужный и полезный, поэтому удалять его не стоит.
Далее таким же образом проверяем ключи реестра для автозагрузки. Для этого в диалоговом окне “Выполнить…” вводим команду “regedit” и ищем следующие параметры:
— путь HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion ветки Run и RunOnse;
— путь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion ветки Run и RunOnse.
Здесь также не должно остаться подозрительных ключей.
Удаление подозрительных служб
Кейлоггер может быть замаскирован под службу Windows. Поэтому необходимо просмотреть весь список запущенных компонентов и остановить подозрительную активность. Полный перечень доступных работающих служб можно найти по пути “Пуск” -> “Панель управления” -> “Администрирование” -> “Службы”. Действия здесь аналогичны тем, что требовались для очистки автозагрузки: ищем в интернете по названию, читаем описание, если не служба нужна — останавливаем.
Онлайн-сервисы для обнаружения любого нежелательного ПО
Пожалуй, лучшей на сегодняшний день утилитой в этой области является бесплатная программка Virus Total Uploader.
Нас интересует возможность этой программы по отправке на проверку запущенных в системе подозрительных процессов. Для этого необходимо мышкой выделить программу и нажать на кнопку “Upload process executable”. После загрузки откроется сайт с результатом проверки более сорока различными антивирусами. Если количество определений превысило десять, а также среди программ для проверки опознали вирус известные и популярные пакеты, тогда есть повод подозревать загруженный процесс.
Антишпионы
Существует множество программ, разработанных специально для того, чтобы бороться с кейлоггерами. К сожалению, у всех антишпионов есть один существенный минус — они часто удаляют нужные и полезные для работы Windows DLL-перехватчики, являющиеся компонентами самой операционной системы. На этот случай была разработана специальная программа под названием AVZ, которая при поддержке лабораторией Касперского проявила себя как универсальный инструмент для борьбы с клавиатурными перехватчиками.
Все, что нужно для проверки, это скачать саму программу и базы данных к ней, проверить свой компьютер, а потом выложить текст с результатом проверки на форум Касперского (если понадобиться). Большой плюс такого подхода в том, что AVZ ничего важного или неизвестного не удаляет без согласия пользователя. Только после получения поддержки на сайте можно принять наиболее правильное решение.