Он появляется неожиданно и не пропадает после перезагрузки, занимая практически весь рабочий стол, оставляя лишь немного места по краям. С этим неприятным явлением сталкиваются многие пользователи в последнее время. Порно-баннер вульгарен и работать за таким компьютером невозможно. Если раньше он появлялся только при открытии браузера, а как удалять порно информер в Internet Explorer мы уже знаем, то теперь загружается при загрузке компьютера. Виновник как и прежде один - это Вы. Решение: лечить и только лечить, так как это вирус и не более, а потому подавляется боевыми бригадами антивирусов. 

Здесь рассматривается случай, когда рабочий стол закрыт частично, то есть можно запускать программы.

Ситуация на фронте

Лаборатория Др.Веб отметила эпидемию СМС-вирус на российском пространстве Интернета, однако ОпСоСы не чешутся, чтобы прикрывать лавочки вымогателей с короткими номерами. А потому приходится сражаться как придётся. В последнее время появились новые виды вирей, которые грузятся сразу вместе в процессом explorer.exe. Dr.Web CureIt их не видит, чтобы не мучится и смотреть на порно-баннер, нужно завалить процесс Эксплорера. Как убивать процесс по имени можно прочитать здесь. Для примера, завалить explorer.exe с командной строки можно так:

TASKKILL /f /im explorer.exe

Баннер хотя бы пропадёт и не будет мешать заниматься лечением. Запускается очень просто, нужно набрать в командной строке (Windows+R): explorer.exe. Если получается, рекомендую именно первый способ лечения, к чему заниматься поиском ещё не найденного кода ответа, если можно просто вернуть всё как было.

Способ 1 (простой): Восстановление системы Windows

В первую очередь стоит выполнить восстановление ОС Windows её же средствами. Для этого зайдите в меню Пуск -> Стандартные -> Служебные -> Восстановление системы. Или же нажмите одновременно сочетание клавиш Windows+R. В появившемся окне "Выполнить", введите rstrui.exe. Это одно и то же. добро. Если Вы или Ваш супер-грамотный знакомый отключили функцию "Восстановления системы", то вынужден Вас поздравить: "Поздравляю, Шарик, ты - балбес!" (С). Ибо эта нехитрая утилита позволяет восстанавливать состояние реестра и системных файлов до того времени, пока зловреда на Вашей территории не было. Если же Вы грамотный человек, то функция работает и немедленно приступаем к восстановлению. Как правило, система сохраняет параметры во время выключения, причём хранит копии нескольких дней, выбирете копию двухдневной давности на всякий случай. После этих действий система перейдёт в перезагрузку и окно пропадёт. При этом данные (документы, фильмы, музыка) пользователя останутся в целости и сохранности.

Способ 2 (удобный): Проведите проверку бесплатными сканерами
 

Если Интернета нет, то лучше воспользоваться бесплатными антивирусными сканерами - Dr.Web CureIt или Kaspersky Virus Removal Tool. Безопаснее записать их на CD и запускать их с привода, если имеется такая возможность. Можно и прямо с флешки, так как баннеры и информеры не отличаются насильственным характером и убивать Курита или Ремовалу на лету не станут. Обязательно проверить папку Windows и Users (Documents And Settings по-старому) - это цитадель заразы, именно там чаще всего поражают файлы вирусы и прочая дрянь.

Способ 3 (самый надежный): Лечение LiveCD

Это сборки, предоставляемые некоторыми производителями в бесплатное пользование для лечения заражённых компьютеров. Наиболее распространёнными являются LiveCD двух производителей - Dr.Web LiveCD и Avira Rescue System. Я бы советовал поддержать отечественного производителя, поверьте, в трудную минуту он поддерживать Вас не меньше. Как правило, это самозагрузочные мини-CD, который можно записать на обычную CD-болванку. После загрузки линукс-оболочки (да-да) Dr.Web начинает проверять Ваш компьютер на наличие вредоносного ПО. К тому же Dr.Web умеет проверять и реестр.
 

Способ 4 (обязательный): Установка надёжного антивируса

Если имеется хоть какая то возможность управления компьютером (иногда бывают свободные места по краям экрана), то постарайтесь установить либо Kaspersky Internet Security, либо Dr.Web. Если у Вас нет антивируса, то это ужасно, но для нашего случая даже хорошо, потому как ставить на "чистый" компьютер антивирус проще.

Если есть, и это один из двух перечисленных мной, то установите новые версии - их делают не просто так, новая версия поставится поверх старой. Если другой разработчик - то следует его удалить. К слову, многие антивирусы защищают себя уже при установке, предварительно убивая всех вирусов на машине, для этих целей Kaspersky Antivirus - это оптимальный выбор, настоящий кровавый наёмник.
 

Способ 5 (хитрый): Перевод времени назад

Некоторые зловреды не очень умны и порой перевод системного времени на два-три дня назад даёт беспрепятственно войти в систему и наконец-таки установить нормальный Антивирус, а не тот который у знакомых пару раз даже барсеточника поймал.


Способ 6 (последний): Проверка на другом компьютере

Разумеется, это самый простой способ - снять жесткий диск и прогнать его антивирусным катком. Не всегда такое возможно, так как порой диск содержит весьма ценную информацию, но это действительно простой способ и весьма действенный. Указал его только потому, что такой способ возможен и применялся не раз, так как быстр и надёжен. При таком способе имеет смысл проверять только системные каталоги - Windows и Documents and Settings (Users на новых системах). Именно там скрываются вредные особи. Смысла проверять составные файлы, архивы и прочие большеразмеры нет. Помните, вирус - это небольшая программа, она должна быть неожиданна и быстра, как ночная диарея.

Для удаления вирусов рекомендуем использовать Dr.Web Antivirus, либо Kaspersky Antivirus.
 

Ответ пользователя Праведник:

У кого розовый банер 9800 с текстом 7331692+10+1 или похожий попробуйте может и поможет.
Коды 1-й - 4243352762 2-й 7393936297.

Ответ от пользователя shooter:
У кого розовый баннер "sms 3457 19 на номер 2474"

1смс_код - 4479927959
2смс_код - 8694287294

Ответ от пользователя steaze:
У кого баннер, требует отправки сообщения на номер 8353.

Если текст начинается с 142..., то вводим ответ: 9025679360
Если текст начинается с 143..., то вводим ответ: 2397672939

Ответ от пользователя ubik:
У кого баннер, требует отправки кода 3354 на номер +0990300
Последовательно вводим два кода: 9127793676 и 8826697732.

Последние коды:
Если номер 8353, а текст начинается с 6139..., то вводим ответ: 1968845971
Если номер 8353, а текст начинается с 1275..., то вводим ответ: 1968845971
Если номер 8353, а текст начинается с aa750..., то попробуйте ввести сначала 467518, а затем 8624763341.

Ответ от пользователя Антон:
У кого текст T701021200 номер 8353 введите код 58J2974X Мне помогло.

Ответ от пользователя Антон:
У кого текст T701021200 номер 8353 введите код 58J2974X

Мне помогло.

Ответ от пользователя Oleg:

Если Номер - 5121, Текст 110160

Мне вчера помогли какие-то из этих кодов, подставлял по очереди, сначала один подошел потом из этих-же и второй, там нужно было 2 СМС отправить,

381745019462
8765327868
1078376871
2856494592
19464834
74952448
6789246356
8694287294

http://www.softogen.ru/faqs/computer-questions/who-remove-porno-banner-from-desktop-computer.html
 

Что это такое? Информер - это панель, которая занимает значительную экранную часть в Вашем Internet Explorer. Чтобы убрать информер, подлые люди требуют послать СМС на определённый номер. Как от этого избавиться?

Не лазить по сомнительным сайтам и не нажимать подтверждение, не прочитав информационное окно;
Зайти в меню "Сервис" -> пункт "Свойства". Далее открыть вкладку "Программы". В открывшейся вкладке нажать на кнопку "Надстройки".
Здесь следует в поле со списком выбрать "Надстройки загруженные в IE" - это и есть то, что подгрузилось в IE после чистой установки.Для каждой настройки присутствует опция Включить/Отключить. Можно отключить все.

Меры, для того, чтобы от этого избавится навсегда и без всяких антивирусов:

Так выглядит окно Internet Exporer версии 8. Если у вас версия меньше, то рекомендую обновиться, так как корпорация Майкрософт более не поддерживает шестую версию.

Зайти в настройки (меню "Сервис" -> пункт "Свойства"). Открыть вкладку "Дополнительно".
В открывшемся списке найти группу "Обзор".
В группе "Обзор" находим строку "Включить сторонние расширения обозревателя" и убираем галочку.
Перезапускаем браузер.

В случае, если сторонние расширения всё-таки нужны, то в группе "Обзор" есть две строчки, начинающиеся на "Включить установку по запросу ...", включите их обе. Таким образом, при установки таких развратных дополнений, Вас хотя бы спросят. Становится непонятным, почему они не стоят по-умолчанию.

Продукты Microsoft славяться своими дырами. А Internet Explorer - это особенная дыра. Поэтому настоятельно рекомендую использовать настоящие браузеры, такие как FireFox и Opera. В них и надстройки сами не встанут и скорость работы гораздо выше.

http://www.softogen.ru/index.php?view=article&id=94&Itemid=41 

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. К примеру: Windows заблокирована, отправьте СМС. Как избавиться от навязчивого баннера, требующего отправить SMS?

Развод может выглядеть примерно так:
"Если данный рекламный информер был вами установлен, но вы решили отказаться от него, то вам достаточно отправить смс на короткий номер, представленный ниже. полученный код позволит удалить информер. для России нужно отправить смс с текстом xmn 137443300 на номер 4460"

Если отправить SMS, как того требуют вымогатели, с вашего счета спишут приличную сумму денег (100 или даже 300 руб.), однако от баннера так и не избавят. В ответном сообщении вас попросят отправить еще один SMS. И так до тех пор, пока у вас не кончится терпение и/или деньги на счете.

Избавиться от навязчивого баннера можно самостоятельно. Подобную заразу в сети чаще всего ловят пользователи Internet Explorer. Если баннер возникает у вас именно в этом браузере, то вот инструкция по избавлению (написана для версии IE7, но скорее всего похожим образом можно отключить баннер и в IE6):

1. Выбираем меню: Сервис / Управление надстройками / Включение и отключение надстроек... (в английской версии: Tools / Manage Add-ons / Enable or Disable Add-ons...)
2. В открывшемся окне в строке "Отображать" выбираем "Надстройки, загруженные в Internet Explorer" ("Add-ons currently loaded in Internet Explorer").
3. В списке надстроек ищем и поочередно отключаем все подозрительные пункты. Подозрительными являются все, которые вы не знаете, что делают. Возможно вы увидите в колонке "Файлы" названия cpalib.dll и noalib.dll – это скорее всего они. Не бойтесь отключить что-то нужное – все можно воссановить – включить любую надстройку обратно. Браузер будет работать даже после отключения всех надстроек.
4. Чтобы отключить надстроку выберите ее с помощью мыши, а затем выберите внизу "Отключить" ("Disable").
 

Но не всегда можно выйти в настройки Internet Explorer, так как вариантов этого трояна очень много сейчас. Поэтому некоторые Антивирусные компании сделали у себя бесплатный "Сервис деактивации вымогателей-блокеров".

1. В Лаборатории Касперского по ссылке: http://support.kaspersky.ru/viruses/deblocker

http://support.kaspersky.ru/downloads/utils/digita_cure.zip качаем,запускаем,ждём,баннер пропадает.

2. В компании Доктор Веб на этой странице: http://news.drweb.com/show/?i=304&c=5

http://www.freedrweb.com/ качаете Dr.Web CureIt проверяете комп-проблемма исчезает.

3. Форма для получения кода активации на номер 4460 и 7373: http://mips.narod.ru/sms.html
 

Как почистить систему от смс-вымогателей?. Выполните всё что написано ниже.

Попробуйте сделать восстановление системы на несколько дней ранее. Нажмите Пуск -> Выполнить -> Введите msconfig. На вкладке Общие нажать Запустить восстановление системы. Или C:\WINDOWS\system32\Restore\rstrui.exe
Если баннер закрывает почти весь экран и вы ничего не можете сделать, открываем Word, набираем в нём любой текст, не сохраняя документ кратковременно нажимаем кнопку питания, все программы закроются, баннер пропадет, а ворд попросит сохранить документ, нажимаем "отмена" и работаем в винде без баннера. Баннер позже появится снова, поэтому его нужно удалить.
Разблокировка диспетчера задач: Нажмите Пуск -> Выполнить -> Введите gpedit.msc
Выберите Конфигурация пользователя, потом Административные шаблоны, потом Система, потом Возможности Ctrl+Alt+Del. В параметре Удалить диспетчер задач установить не задана.
Или HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System параметр DisableTaskMgr установить в 0
Разблокировка редактора реестра: Тоже самое, но чуть выше (в "Система"). Смотрим справа Сделать недоступными средства редактирования реестра установить в не задана.

Если заблокированы сайты yandex.ru, mail.ru, vkontakte.ru. odnoklassniki.ru и т.д. необходимо отредактировать файл hosts, расположенный по умолчанию в папке C:\WINDOWS\system32\drivers\etc. Это умолчание задается в реестре в ветке hkey_local_machine\system\currentControlSet\Services\Tcpip\Parameters в расширяемом строковом параметре DataBasePath, его значение должно быть %SystemRoot%\System32\drivers\etc. В данном файле hosts необходимо оставить текстовую «шапку», расположенную в начале файла (строки, начинающиеся со знака #), а после «шапки» оставить только строку 127.0.0.1 localhost (между IP и именем табуляция) и те строки, которые вы сами когда-то вносили в данный файл. Остальные строки необходимо удалить. Установите на этот файл атрибут «только для чтения»
Если у вас на жестком диске есть файл vkontakte.exe, VK.exe, reiting.exe, plugin.exe или C:\Windows\services.exe — удалите их.
Если присутствует файл C:\WINDOWS\system32\sdra64.exe - удалить (например программой Unlocker)
В папке C:\Windows\system32\ удалить все скрытые файлы с расширением DLL размером 95774 байт. Другие скрытые dll-файлы в этой папке проверьте на virustotal.com

Касаемо реестра Windows.
Если вам не знакомо это слово - нажмите Пуск -> Выполнить -> Ввести mscоnfig -> ок -> Во вкладке "Автозагрузка" оставить галочки только на знакомых программах -> Применить -> ок -> Комп перезагрузится.
Если вы знаете что такое реестр и как с ним работать, нажимаем Пуск -> Выполнить -> Ввести regedit -> ок
HKEY_CLASSES_ROOT\exefile\shell\open\command и HKEY_CLASSES_ROOT\exefile\shell\runas\command
По умолчанию должно быть "%1" %*
HKEY_local_machine\software\microsoft\Windows NT\CurrentVersion\Winlogon
в Userinit должно быть только C:\WINDOWS\system32\userinit.exe
в shell должно быть только explorer.exe
Если в Userinit и shell было еще что-то, идем по тому пути и удаляем файл (например программой Unlocker)

Удалить всё сомнительное из Пуск->Все программы>Автозагрузка
из C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка
из C:\Documents and Settings\[пользователь]\Главное меню\Программы\Автозагрузка
из реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
из C:\Documents and Settings\[пользователь]\Local Settings\Temp проверьте файлы на virustotal.com, особенно ехе-файлы. В принципе эту папку можно очистить.
Пуск -> Все программы -> Стандартные -> Служебные -> Назначенные задания - удалить все задания.
Пуск -> Настройка -> Панель управления -> Свойства обозревателя -> Вкладка Дополнительно -> Раздел Обзор -> Убрать галку с Включить сторонние расширения обозревателя

Если после лечения вируса пропал доступ в интернет, на другом компе скачиваем программу AVZ (~5Mb). Нажать Файл - Восстановление системы - отметить пункт 14 и нажать "Выполнить отмеченные операции". Если не появится интернет, выполнить пункт 15.
Если это не помогло, нажимаем Пуск - Выполнить - вводим команды:
netsh int ip reset c:\iplog.txt В файле C:\iplog.txt вы сможите посмотреть отчет о выполнении этой команды. Инфа от майкрософта
Если не помогло, выполняем:
netsh winsock reset
netsh ip reset
Перезагрузить комп не забудьте. Просмотр состояния можно осуществить командой netsh diag gui, в открывшемся центре справки нажать "собрать информацию". Вы получите детализированный отчет.

Если у вас стоит антивирус Avira, обновите её до последней версии (желательно до русской), зайдите в её настройки, слева поставьте галочку "Экспертный режим", чуть ниже выбирите "Scanner", справа в дополнительных настройках поставьте все галочки и выберите "все файлы". Далее, под сканером "проверка", "Действия при обнаружении", "автоматически". первое действие "вылечить", второе - "карантин". Если в исключения там вы ничего не добавляли - удалите все исключения. В эвристике "высокий уровень обнаружения" и "обнаружение макровирусов". А также обязательно в "Общие" - "Дополнительные категории угроз" поставьте все галочки. Запустите полное сканирование компа. Авира вам порубит всё, радмина, кейгены и пр., что по её мнению сомнительный софт. Ничего страшного. После сканирования нужные вам файлы вы можете восстановить из карантина.
 

тут можно проверить браузер на прочность.

Результаты тестов нескольких браузеров.

Сам тест.
 

Удалось столкнутся с такой штукой, только оформленной по-другому на WinXP и Win7.
Описание: при случайном клике на всплывающее окно в интернете, появляется широкий баннер(~60-70% площади экрана монитора) розового цвета. На нем 2-3 порнографические картинки и предложение отрпавить СМС на номер, если хочу убрать этот баннер.
Сразу скажу, что на WIn7 удалить этот троян удалось только переустановкой. На WinXP удалось успешно излечить.

Что понадобится:

1) программа WinSockFix 1.2: Ее описание и ссылка: WinSockFix_1.2

2) Элементарные навыки работы в WinXP.
NB! Перед тем как начать, лучше скачайте ее предварительно с сайта и поместите на рабочий стол, потому что в процессе лечения начисто пропадет интернет.

Итак, собственно как лечить :

1) перезагружаем компьютер и при загрузке нажимаем F8.
2) появится режим SafeMode, в котором выбираем Безопасный режим загрузки Windows.
3) Когда загрузится безопасный режим, заходим в проводник(или в Мой компьютер) и ищем с помощью функции поиска файл userlib.dll
Обычно он находится в дирректории Cookies того пользователя, который подхватил трояна.
4) как только файл найдется, удалить его вручную (Shift+Del)
5) перезагружаем компьютер и заходим в нормальный режим WindowsXP
6) по идее у вас должно пропасть соединение с интернетом. Поэтому запускаем програмку WinSockFix_1.2.
7) в появившемся окне нажимаем Fix. После того как программа закончит работу, компьютер пикнет внутренним динамиком и попросит уйти на перезагрузку.
После перезагрузки должно восстановится соединение с интернетом и баннер не должен появится.

Надеюсь кому-то поможет!
 

http://www.pashahub.ru/blog/important/20-важно/1028-как-избавиться-от-баннера-требующего-отправить-sms

Уже не один год не утихают споры о том, какой антивирус лучше. Но по каким параметрам стоит оценивать антивирусы?
Приведем критерии оценки антивирусов:

1. Количество известных вирусов.
Иногда создатели антивирусов привлекают внимание к своей программе, сообщая об огромной базе вирусов. Однако эта цифра – не количество известных программе вирусов, а количество записей в базах антивируса, и прямой связи между количеством таких записей и числом вредоносных программ, которые антивирус определяет, нет. Поэтому нет прямой связи между количеством записей в базах антивируса и числом "зверей" которые антивирус определяет.
Кроме того, даже сами разработчики не знают точно, сколько вирусов определяет их антивирус, поскольку запись, добавленная для определённой модификации вируса, может определять и новые модификации, которые разработчики могли даже не видеть. Так что количество записей в базах антивируса не может служить критерием надёжности антивируса.

2. Тесты на коллекциях вирусов.
Казалось бы - всё просто. Берёте коллекцию, и сравниваете, какой антивирус находит больше. Это наиболее распространённая методика сравнения, но она вовсе не обязательно даёт правильное представление о надёжности антивируса. Почему?
2.1 Вопрос - как собиралась коллекция. Допустим у Вас стоит Касперский Антивирус, и все вирусы, которые он обнаруживает, Вы сохраняете. Теперь Вы берете несколько антивирусов и сравниваете результаты проверки своей коллекции. Понятно, что КА найдёт все вирусы, а остальные антивирусы найдут меньше. Но это вовсе не говорит о том, что КА лучше всех остальных антивирусов. Тем не менее, такие результаты всё же имеют некоторую ценность, т.к. если из результатов выбросить КА, то можно получить некоторое представление об остальных антивирусах.
2.2 Дополнительная проблема в том, что считать вирусом, а что нет. К примеру, КА с расширенными базами считает вирусом adware, spyware, hijackers и другие программы, которые не наносят серьёзного вреда, тогда как ДрВеб и некоторые другие антивирусы на сегодня такие программы не считают опасными и не определяют. Так что на коллекции, в которой половина файлов являются всякого рода adware, spyware... КА найдёт в 2 раза больше. Но это вовсе не говорит о том, что при отлове действительно опасных вирусов он тоже будет в 2 раза лучше. Некоторые другие недостатки сравнения антивирусов на коллекциях будут рассмотрены дальше. Так что тесты на коллекциях вирусов не дают полной картины, и не являются хорошим критерием надёжности антивируса.

3. Частота обновления вирусных баз программы.
Следует обращать внимание на частоту обновления вирусной базы программы, т. е. происходит ли это раз в неделю, раз в день и т.д. От этого зависит скорость реакции на появившиеся новые вирусы. Безусловно, антивирус с высокой скоростью реакции будет намного более надёжен. Надо отметить, что почти наверняка это будет широко распространённый, популярный антивирус, а не малоизвестный или недавно появившийся программный продукт. На деле же антивирусы с высокой скоростью реакции намного более надёжны.
Несколько слов о том, о чём вряд ли кто задумывался. Как пополняются базы антивирусов, или откуда разработчики антивирусов узнают о новых вирусах? Какое-то количество вирусов разработчики могут находить сами, гуляя по всяким "злачным местам". Однако большую роль в деле обнаружения новых вирусов играют системные администраторы различных фирм и продвинутые пользователи, которые обнаруживают вручную подозрительные файлы и присылают их на анализ вирусным аналитикам. Поэтому широко распространённый, популярный антивирус почти наверняка будет лучше малоизвестного или недавно появившегося антивируса.
 

4. Поддержка всевозможных паковщиков и крипторов.
Многие путают паковщики и архиваторы. Это совершенно разные вещи. Если не вдаваться в детали, то можно сказать что паковщики и крипторы берут исходный исполняемый файл, кодируют его определённым методом и вставляют в него процедуру раскодирования. Файл при этом остаётся исполняемым, и для его запуска не требуется никакой программы. При запуске файла сначала запускается процедура распаковки, и после этого управление передаётся исходному коду. Для пользователя нет никакой разницы между оригинальным и шифрованным файлом. А вот для антивируса есть. С точки зрения антивируса, которому важен код файла, а не результат исполнения, шифрованный файл в корне отличается от оригинального. Т.е. берём вирус, который известен антивирусу, и пакуем его каким-нибудь пакером. В результате функциональность вируса сохраняется (при запуске он сделает то же самое, что и оригинальный). Но если антивирус не знает пакера, то для него файл теперь стал чистым. Стоит отметить, что паковка и шифрование вирусов - очень распространённый приём, применяемый для предотвращения их обнаружения антивирусами. По этому чем больше паковщиков и шифровщиков поддерживает антивирус, тем он надёжнее. С другой стороны, чем больше пакеров и крипторов знает антивирус, как правило, тем медленнее он работает.
 

5. Эмулятор.
О наличии эмулятора у антивирусов, скорее всего, мало кто слышал. Что же это такое? Хорошие антивирусы имеют возможность эмулировать запуск программы. Т.е. отслеживается, что же реально делает программа. Обычно выполняется не вся программа, а только начальная её часть. Таким образом, антивирус может обнаруживать программы, зашифрованные неизвестными крипторами, пакерами, а так же противостоять другим методам, которые используются вирусописателями. Понятно, что чем более совершенный эмулятор у антивируса, тем антивирус надёжнее.
 

6. Эвристический анализ.
Многие о нём слышали, но нет уверенности, что все понимают, что это такое. Для начала стоит понять, как вообще антивирус работает. А делает он это просто. Для каждого вируса находится уникальный для него кусок кода, так называемая сигнатура. Этот кусок кода хранится в базе антивируса, и если такой кусок кода найден в файле, то файл определяется как соответствующий вирус. Понятно, что для того, чтобы сигнатура появилась в базе антивируса, сначала этот вирус должен попасть на анализ вирусным аналитикам фирмы. Т.е. защита всегда появляется только через какое-то время после появления вируса.
Эвристический анализ работает по-другому. Он анализирует содержимое файла и ищет не сигнатуру, а последовательности операций, типичные для вирусов. Таким образом, можно обнаружить вирусы, которые никогда не попадали аналитикам, и сигнатуры которых не присутствуют в базах антивируса. Конечно, чем более совершенный алгоритм эвристического анализа использует антивирус, тем он надёжнее. Однако на сегодня эвристические анализаторы всех существующих антивирусов малоэффективны и позволяют находить не более нескольких процентов неизвестных вирусов. К тому же, чем чувствительней эвристик антивируса, тем чаще будут ложные срабатывания. Хотя в последней версии ложных срабатываний стало поменьше.
 

7. Корректное лечение вирусов.
Возможно, не все знают, но далеко не всегда антивирусы умеют корректно лечить вирусы. Допустим, завёлся у Вас какой-нибудь безобидный вирус (т.е. антивирус его не обнаружил до заражения, что происходит нередко), который не делает ничего, кроме того, что добавляет себя ко всем исполняемым файлам. В какой-то момент антивирус начал его обнаруживать, и, конечно, Вы хотите все файлы вылечить, т.е. вернуть в исходное состояние. Не очень хороший антивирус может восстановить файлы неправильно, в результате чего часть или все программы перестанут работать, и вреда от такого лечения будет намного больше, чем от самого вируса.
 

8. Работа на зараженной системе.
Если с обнаружением неактивных вирусов всё более-менее просто, то с обнаружением и удалением активных (работающих) всё намного сложнее.
8.1. Начнём с того, что часть вирусов скрывают своё присутствие в системе. Например, руткиты. Далеко не все антивирусы способны обнаружить их. Часть антивирусов их просто не видят и не обнаружат их, даже если они находятся в их базах. Для обнаружения таких вирусов используются специальные технологии, такие, как прямая работа с диском (у КАВ), или особая технология сканирования памяти (у ДрВеб).
8.2. Другая часть вирусов при запуске пытаются завершить процессы антивирусов, или даже удалить антивирусы с диска. Антивирус должен уметь противостоять таким попыткам.
8.3. Удалить с диска файл активного вируса - дело непростое, поскольку система не позволяет удалять файлы, которые используются в данный момент. Может, это странно, но далеко не все антивирусы умеют удалять такие файлы. Как следствие, не очень хороший антивирус может обнаружить вирус, но ничего с ним сделать не сможет. Кроме всего прочего, он будет регулярно доставать Вас сообщениями о том, что найден вирус, и это будет дополнительно мешать работе. Техника удаления используемых системой файлов очень проста, но ещё совсем недавно далеко не все антивирусы её использовали. Возможно, и сейчас некоторые антивирусы этого не умеют.
 

9. Оперативность реакции вирусных аналитиков на присланные подозрительные файлы.
Часто Вы можете обнаружить на диске или в автозагрузке непонятные файлы. Большинство пользователей сами не в состоянии понять, представляют ли эти файлы опасность или являются частью установленных программ. Решением проблемы может быть отправка таких файлов на анализ вирусным аналитикам антивирусной фирмы. Вирусные аналитики разных компаний реагируют по-разному.
 

10. Отсутствие ложных срабатываний.
Хороший антивирус должен почти не иметь ложных срабатываний. Нередко антивирус настраивается на автоматическое удаление вирусов. Не очень хороший антивирус, базы которого не тестируются или недостаточно тестируются перед выпуском, в какой-то момент может удалить важные файлы, что может повлечь прекращение работы программ или крах системы.
11. Стабильность работы и отсутствие конфликтов с другими программами.
Поскольку хороший антивирус глубоко интегрируется в систему, наличие ошибок в антивирусе может привести к краху системы. Также хорошие антивирусы для того, чтобы успешно бороться с вирусами, перехватывают многие системные функции. Это может привести к конфликтам с другими программами. К сожалению, не бывает программ без ошибок, и часто антивирус, наиболее успешно борющийся с вирусами благодаря глубокой интеграции в систему, вызывает и наибольшее число всевозможных конфликтов. Так что "безконфликтность" антивируса не обязательно говорит о том, что он качественный. Вполне вероятно, что он просто работает, так сказать, "на поверхности", и не сможет справиться со сложными вирусами (в случае, если по какой-то причине они будут запущены).
 

12. Загрузка системы.
Конечно, работающий монитор антивируса берёт часть ресурсов компьютера. Часто антивирусы оцениваются по принципу "тормозит - не тормозит". Конечно, каждый сам выбирает, что для него важнее. Просто не стоит забывать, что обычно антивирус, дающий наибольшую защиту, "тормозит" сильнее, а антивирус, который "не тормозит", скорее всего, даёт менее надёжную защиту. Удобство работы всегда обратно пропорционально уровню безопасности, и это справедливо не только по поводу антивирусов.

Какому же антивирусу отдать свое предпочтение читайте в следующей статье=)

 

http://www.avail.nrain.ru/index.php?option=com_content&view=article&id=1005:antivir&catid=911:uncat&Itemid=175