Мы с вами уже умеем обнаруживать процессы, которые были запущенны вредоносными программами. Это даже не полдела, но все-таки уже можно начинать собой гордиться. А чтобы гордость за наши умения была еще больше, давайте посмотрим, как можно обнаружить другой тип вредоносных программ. Те программы, которые не запускают процессов, а вместо этого создают в системе свою службу.

Нам уже известен один способ просмотра списка работающих служб — вкладка СЛУЖБЫ диалога ДИСПЕТЧЕР ЗАДАЧ WINDOWS. Не спорю, способ действующий. Вы даже можете с его помощью просмотреть список остановленных служб, и, более того, запустить или остановить любую службу, а также узнать ID процесса, в котором выполняется служба. Но одно маленькое «но» — для поиска вредоносных программ этот способ малопригоден. Поэтому давайте рассмотрим другие способы.



Оснастка СЛУЖБЫ (консоль services.msc) более пригодна для поиска вредоносных программ, установленных в качестве служб. Она отображает список всех установленных в системе служб, а также позволяет выполнить над ними множество действий: изменять способ запуска, отключать, останавливать и запускать, а также изменять другие параметры служб.

Поскольку практически все службы, создаваемые вредоносными программами, запускаются автоматически, начинать поиск вредных служб нужно с сортировки списка по типу запуска. Для этого щелкнете кнопкой мыши по столбцу ТИП ЗАПУСКА (рис. 3.37).

Рис. 3.37. Список служб в оснастке Службы


Ну, а дальше идет поиск служб, вызывающих у вас подозрение, и поиск информации о подозрительных службах в Интернете. Когда подозрительная служба найдена, выберите пункт СВОЙСТВА в ее контекстном меню. Перед вами отобразится окно, с помощью которого можно выполнить множество действий. Но нам сейчас нужны следующие его возможности.

* Строка ИСПОЛНЯЕМЫЙ ФАЙЛ. Указывает путь к исполняемому файлу службы. Вам знаком файл или каталог, указанный в этой строке? Откройте указанный каталог и посмотрите на дату его создания. Ничего не вспоминается? Может, в тот день вы устанавливали какие-то новые программы? Что, совершенно не представляете, что это за файл? В таком случае поищите его описание в Интернете. Но на всякий случай перед этим остановите и отключите подозрительную службу. Очень важные службы Windows Vista вам не даст отключить, поэтому, скорее всего, после отключения данной службы, даже если она и окажется стандартной службой Windows, ничего особо страшного не случится.
* Раскрывающийся список ТИП ЗАПУСКА. Именно с помощью данного списка можно отключить службу. Для этого достаточно выбрать в нем пункт ОТКЛЮЧЕНА.
* Кнопки ЗАПУСТИТЬ и ОСТАНОВИТЬ. После того, как вы отключили службу, ее нужно остановить (если, конечно, она была запущена). Для этого вам пригодится кнопка ОСТАНОВИТЬ. Следует сначала отключать службу, а уже потом останавливать. Так как в противном случае есть вероятность, что после остановки службы, она будет автоматически запущена снова.

В некоторых случаях вы можете с досадой обнаружить, что кнопки Запустить и Остановить для подозрительной службы не активны. И раскрывающийся список Тип запуска также не активен. В этом случае — дело труба. Отключить такую службу можно только через реестр. Хотя на всякий случай можно попробовать еще один способ — команды sc.exe config имя_службы start= disabled (отключение) и sc.exe stop имя_службы (остановить). В качестве имени службы нужно указывать значение поля Имя службы диалога Свойства подозрительно службы.

Среди стандартных служб Windows также попадаются службы, которые нельзя отключить и остановить: Plug-and-Play, Windows Driver Foundation - User-mode Driver Framework (нельзя остановить), Диспетчер учетных записей безопасности (нельзя остановить), Клиент групповой политики, Модуль запуска процессов DCOM-сервера, Планировщик заданий, Удаленный вызов процедур (RPC).



Дополнительную помощь в поиске подозрительной службы вам может оказать программа msconfig.exe, которую раньше мы использовали для поиска автоматически запускаемых программ. Эта программа обладает одной уникальной возможностью — флажком НЕ ОТОБРАЖАТЬ СЛУЖБЫ МАЙКРОСОФТ на вкладке СЛУЖБЫ окна программы (рис. 3.38).

С помощью данного флажка можно скрыть все службы, разработчиком которых не является Microsoft Corporation. В некоторых случаях это вам может помочь в поиске подозрительных служб. Хотя иногда создатели вредоносных программ не забоятся об авторских правах, и также указывают в качестве издателя службы Microsoft Corporation.

Рис. 3.38. Отображение только служб, которые были


Если вы обнаружили подозрительную службу в оснастке СЛУЖБЫ, тогда не ленитесь, и проверьте разработчика службы в программе msconfig.exe. Если разработчик не указан, или если в качестве разработчика указана неизвестная фирма, тогда ваши подозрения могут окрепнуть еще больше.

Если в качестве разработчика указана неизвестная фирма, поищите сведения об этой фирме в Интернете. Быть может, недавно вы устанавливали программу от этой фирмы, или драйверы для нового оборудования.



Если вы абсолютно уверены, что подозрительная служба никакая не подозрительная, а самая настоящая вредоносная, тогда ее нужно обязательно остановить и отключить. А лучше, вообще удалить.

Но удалить службу не так просто — в оснастке СЛУЖБЫ и в программе msconfig.exe вы такой возможности не найдете. Поэтому для удаления службы придется воспользоваться командной строкой. А точнее, командой вида sc.exe delete имя_службы. В качестве имени службы нужно указывать значение поля ИМЯ СЛУЖБЫ диалога СВОЙСТВА вредоносной службы.

Но перед тем, как сделать это, дважды или трижды подумайте. А потом еще дважды или трижды удостоверьтесь, что служба, которую вы хотите удалить, на самом деле вредоносная. Так как после удаления службы, вы не сможете ее установить. И если служба все-таки окажется нужной, то вам придется заново переустанавливать операционную систему или какую-либо хорошую программу.