1. Антивирусы vs вирусы. Антивирус - совершенно необходимое ПО, позволяющее сколько-нибудь нормально функционировать ОС Windows в условиях постоянного подключения компьютера к Сети. Однако даже все существующие антивирусы вместе не способны обеспечить 100%-ю защиту системы, более того ни один из антивирусов не способен корректно устранить активное заражение. Дело даже не в том, что вирус может сильно испортить реестр или запретить запуск антивируса, дело в автозапуске, антивирусы редко удаляют ссылки на вирусные модули в реестре, что иногда приводит к неспособности "вылеченной" системы к нормальному запуску. А в случае лечения системы с LiveCD на реестр просто не обращают внимания, что приводит к совсем уже печальным последствиям. 2. Антивирусы - реакция на новые вирусы. К сожалению сегодня подавляющее большинство антивирусных компаний не способно анализировать и своевременно пополнять антивирусные базы из-за огромного потока "вирусов" присылаемых на анализ. Иногда с момента рождения вируса проходит несколько недель и даже месяцев прежде чем он будет проанализирован и внесен в базу. Соотв. миллионы зараженных компьютеров с установленным антивирусом текущая реальность. 3. Проактивная защита. Казалось бы это панацея... однако безжалостное потребление ресурсов, требования к уровню подготовки пользователя, бесконечные глюки и просто раздражение от игры в вопросы-ответы полностью перекрывает все достоинства проактивной защиты. 4. Что же делать если система поражена неизвестным вирусом? Контроль автозапуска. Как известно большинство вирусов используют автозапуск для возобновления своей работы в системе. Соотв. контроль автозапуска - это ключ к успешной борьбе с основной частью вирусов и руткитов, что и делает проактивная защита в частности, однако проактив практически бесполезен если система была заражена неизвестным вирусом способным противодействовать антивирусам. 5. uVS - обнаружение и уничтожение неизвестных вирусов/руткитов. Если вам не помог антивирус то поможет uVS. 1. Сбор информации о системе. uVS сканирует реестр, каталоги и файлы автозапуска, линки и строит довольно полный список объектов автозапуска, позволяя пользователю быстро обнаружить и затем уничтожить тело вируса. 2. Анализ автозапуска. uVS не только собирает информацию, но и проводит простой анализ объектов автозапуска: анализируются пути запуска, имена файлов, атрибуты, время создания и изменения, особое внимание уделяется ключам реестра часто используемых вирусами и т.д. В результате пользователь получает небольшой список подозрительных файлов, часть из которых может оказаться вирусами. 3. Фильтрация автозапуска. Автозапуск разбивается на категории в т.ч. особо интересные в плане поисков неизвестного вируса. Например "Сетевая активность", "Неизв. модули в известных процессах", "Процессы без видимых окон". Кроме того можно скрыть из списка известные файлы, что сразу в разы сокращает поле для поисков (гор. клавиша F1). Дополнительно можно скрыть все файлы имеющие дату создания/изменения меньше даты предположительного заражения, что сократит кол-во элементов уже в десятки раз. 4. Найден файл похожий на вирус, что дальше? Читаем файл "_Как быстро найти неизвестный вирус.txt" 5. Сигнатура вируса. uvs имеет уникальную способность самостоятельно извлекать сигнатуры из исполняемых модулей и затем находить все их копии и моды. Пользователь может внести сигнатуру в базу и последовательно, а главное быстро залечить набор компьютеров пораженных одинаковым набором вирусов. Единственное, что задает пользователь - это длина сигнатуры и ее имя. Длина фактически есть чувствительность поискового движка чем больше длина тем меньше вероятность случайного совпадения сигнатур и соотв. меньше вероятность ошибки. Максимальная длина сигнатуры 64 байта, что дает практически нулевую ошибку. Типичная длина - 8 байт, что подходит для надежного выявления большинства вирусов. В информации о "зараженном" файле можно найти глубину совпадения сигнатуры (для отсева ложных срабатываний и задания правильной длины) 6. Файловые вирусы. В силу пункта 5.5 uvs способен автоматически обнаруживать и главное идентифицировать по сигнатуре файловые вирусы. Для файловых вирусов длина сигнатуры не должна быть слишком большой. 7. Руткиты - как найти невидимое, ничего не зная о рутките. uvs имеет два механизма обнаружения скрытого автозапуска, 1-й непосредственно в зараженной системе для скрытых сервисов и драйверов. (вероятность обнаружения не очень высока) 2-й при загрузке в WinPE или из под чистой системы. (вероятность обнаружения близка к 100% для руткитов скрывающих автозапуск) Во втором случае в зараженной системе создается файл сверки и затем используется для проверки автозапуска уже неактивной системы. 8. Уничтожение вирусов, как uvs убивает вирус? Список найденных вирусов сравнивается со списком активных процессов, сервисов и т.п. все обнаруженные активные модули останавливаются и затем последовательно выгружаются. Затем уничтожаются все ссылки на эти файлы в реестре, линки/файлы автозапуска и т.п. Тела вирусов удаляются либо отдается указание уничтожить фалы при след. перезагрузке. 9. Проверка неактивной системы. Если система не стартует, поражена стелсами или руткитами, либо испорчен реестр в этом случае используется режим проверки неактивной системы. A. Проверка по сети. uvs способен проникать на удаленный компьютер и запускать там свою сервисную часть с правами LocalSystem, а проверяющий компьютер поддерживает только интерфейсную часть. Для доступа к удаленному компьютеру необходим лишь пользователь/пароль администратора именно на удаленном компьютере и доступ в шару ADMIN$. (если тек. пользователь уже имеет доступ в ADMIN$, то запуск возможен и без ввода пользователя/пароля)