Помоги себе сам

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #070, стр. 070-072-6

Для извлечения файла из карантина (если по ошибке был удален компонент честного приложения, что нарушило его работу), достаточно нажать на кнопку «Quarantine», выбрать объект для восстановления и сказать «Restore». А для окончательного удаления из карантина — «Delete».

К своему стыду, всю информацию о состоянии карантина Anti-Spy.Info хранит в реестре. То есть, если поместить в карантин какой-нибудь жизненно важный системный компонент, без которого Windows не загрузится, мы уже не сможем запустить Anti-Spy.Info, чтобы вернуть все обратно. Правильным решением было бы хранить информацию в обыкновенном дисковом файле, тогда, загрузившись с Windows PE, Barn PE или любого другого Live CD, мы смогли бы запустить Anti-Spy.Info, указать ей на карантинный файл и произвести откат, а так... карантин превращается в разрушительное оружие, которое можно доверить только умелым рукам морских пехотинцев :).

Другой уникальной особенностью Anti-Spy.Info является умение отслеживать компоненты, загружающиеся вместе с IE, которые непосредственно не отображаются в Диспетчере Задач, а многие черви распространяются именно так! Всем нестандартным IE-компонентам Anti-Spy.Info присваивает довольно высокий уровень опасности (порядка 70%), даже если они хорошо известны: Fresh Download Catcher Module, ReGetApi Module, Adobe Acrobat IE Helper Version X for ActiveX и т.д. Очень приятно, что модули можно отключать, так как сам IE этого не позволяет. И хотя, начиная с 5-й версии, появилась возможность отключить все нештатные модули целиком, это проблемы не решает.

Вполне типичная ситуация: после установки менеджера закачек Fresh Download под 4-м IE все работало нормально, вплоть до перехода на 5-ую версию, которая сразу же начала падать при запуске без вопросов и объяснений. При отключении всех модулей падения прекращались, но зачем IE без модулей? Возвращаем модули обратно, берем в лапы Anti-Spy.Info и методом поочередного отключения за несколько минут находим, кто виноват. Удаляем его и наслаждаемся web-серфингом со всеми удобствами.

[диагноз]

Anti-Spy.Info – прекрасная утилита, позволяющая быстро находить зловредные (или некорректно работающие) программы, с возможностью временного или полноценного удаления их из системы. Конечно, в отличии от антивирусов, работающих в полностью автоматическом режиме, она требует от пользователя достаточно высокой квалификации и потому не может быть рекомендована, например, секретарше :).

К тому же она не заменяет, а дополняет антивирусы, поскольку следит лишь за активными (то есть уже запущенными) программами, но ничего не может сказать о файле, только что полученном из сети. Еще она не способна обнаруживать скрытые файлы и процессы, маскирующиеся на уровне ядра операционной системы, то есть rootkit'ы, число которых неуклонно растет.

Но и не стоит требовать от маленькой утилиты решения всех своих задач. К защите необходимо подходить комплексно, используя широкий спектр инструментов. И Anti-Spy.Info — в том числе.