Čitaj o simptomima koji ukazuju na prisustvo virusa na vašem računaru. Kako računar, antivirusni program ili pretraživač reaguju na viruse. Zlonamjerni softver ili virusi mogu dovesti vaš računar u haos. Oni mogu onemogućiti vaš antivirusni program i učiniti vaš računar ranjivim na drugi zlonamjerni softver, ometati normalno funkcionisanje računara ili oštetiti datoteke operativnog sistema.
Ransomware virusi šifriraju korisničke podatke na takav način da ih je gotovo nemoguće dešifrirati ili oporaviti. Virusi mogu dobiti pristup svim podacima, bilo da se radi o ličnim datotekama, bankarskim podacima ili korisničkim lozinkama, a također mogu stvoriti duple račune.
Šta trebate učiniti da zaštitite sebe i svoj računar od virusa? Morate započeti instaliranjem antivirusnog programa. Takođe ne škodi naučiti kako bezbedno koristiti računar. Čest razlog zaraze računara virusima ili drugim zlonamernim softverom je nedostatak kompjuterske pismenosti korisnika, što bi takođe trebalo poboljšati.
Novi tipovi virusa i zlonamjernog softvera se stalno pojavljuju, tako da ih svaki antivirusni program možda neće uvijek otkriti, barem dok se ne unesu u bazu virusnih definicija. Takvi svježi virusi mogu ući u sistem i proći kroz sve mjere zaštite softvera.
Ako ste slučajno preuzeli sumnjivu datoteku koja sadrži virus ili ste kliknuli na prilog e-pošte, vaš sistem može biti zaražen virusima kao što su: Trojanac, Rootkit, Crv, Stražnja vrata, Junkware ili Malware. Stoga, prije nego što kliknete na nepoznatu datoteku ili link, bolje je dvaput razmisliti i uvjeriti se da antivirusni program instaliran na vašem računalu ima najnovije antivirusne potpise.
Dakle, kako možete znati da li je vaš računar zaražen virusima? Evo nekoliko očiglednih znakova koji ukazuju na to da vaš računar ima viruse ili drugi zlonamjerni softver:
A sada detaljno:
Ovo su samo najčešći načini za utvrđivanje prisutnosti virusa, zlonamjernog softvera ili ransomware-a na računalu i njihovih simptoma. A koliko brzo korisnik može da se bavi takvim programima na svom računaru zavisi od sigurnosti njegovih podataka i datoteka.
2. Sporo rad sistema
Ako niste pokrenuli nijedan program koji zahtijeva puno resursa, a sistem radi sporo, ovo je također razlog za provjeru. Prije nego što to učinite, savjetujemo vam da sami uklonite nepotrebne programe iz izbornika za pokretanje. Po pravilu, ovaj problem ukazuje na prisustvo trojanaca u sistemu.
3. Fajlovi nestaju
Ako odjednom ne pronađete datoteke koje su vam važne i prekomjernu aktivnost na tvrdom disku kada je sistem u stanju mirovanja, postoji svaki razlog da ozbiljno pogledate stanje laptopa. Provjerite ima li virusa pomoću instaliranog skenera i pokušajte koristiti dodatne antivirusne uslužne programe.
4. Neobičnosti u radu Windows-a
Ako vidite da se na ekranu prilikom učitavanja pojavljuju različiti dijaloški okviri, trebali biste razmisliti i o tome da li u sistemu postoje virusi.
5. Sumnjive poruke
Ako sistem odbije otvoriti bilo koje datoteke ili programe koji su prethodno radili normalno, svakako biste trebali provjerite svoj laptop na viruse, ili čak kontaktirajte servisni centar za elektroniku.
6. Problemi sa aplikacijom
Različite aplikacije mogu potpuno propasti ili raditi vrlo loše kada su zaražene virusima. Nemojte zanemariti ovaj problem.
7. Previše mrežne aktivnosti
Ako ruter stalno treperi kada ne koristite internet ili preglednik ne reagira adekvatno na vaše radnje, hitno morate očistiti sistem od neželjenih programa i virusa.
8. Nestabilne performanse e-pošte
Nestanak e-pošte, neželjenih poruka i drugih problema također bi trebalo da vas pauziraju.
9. IP crna lista
Ako naiđete na takvu poruku na bilo kojem resursu, hitno se pobrinite za stanje vašeg laptopa.
10. Neočekivano gašenje antivirusnog programa
Ovde je sve očigledno. Samovoljno onemogućavanje antivirusa moguće je samo pod utjecajem zlonamjernog softvera.
Kako spriječiti infekciju virusom?
Savjeti za sprječavanje infekcije virusom su jednostavni, ali ne bi škodilo da ih ponovite:
Koristite antivirus i redovno ga ažurirajte;
Nemojte preuzimati sumnjive datoteke ili posjećivati stranice sa sumnjivim sadržajem;
Provjerite ima li na USB disku virusa.
Do sada ne poznajem nikoga ko nije direktno ili indirektno stradao od djelovanja kompjuterskih virusa. Antivirusne kompanije žele mnogo za svoje proizvode, koji nikada ne pružaju adekvatnu zaštitu. Pitanje je zašto uopšte kupovati antivirusni softver? Sve što je stvorio čovjek može se uništiti, to se odnosi i na antiviruse i na viruse. Mnogo je teže prevariti osobu nego program. Stoga je ovaj članak posvećen opisu tehnike za otkrivanje i deaktiviranje virusnog softvera bez antivirusnog proizvoda. Zapamtite, postoji samo jedna stvar koja se ne može zaobići/slomiti/prevariti - to je Znanje, vaše vlastito razumijevanje procesa. Danas ću vam reći, koristeći prave primjere, kako otkriti i uhvatiti internetske crve i špijunski softver na svom računaru. Naravno, postoji još mnogo tipova, ali ja sam uzeo one najčešće i odlučio da napišem šta sam imao u praksi, kako ne bih rekao ništa nepotrebno. Ako budete imali sreće u potrazi, reći ću vam o makro virusima, backdoorima i rootkitovima. Dakle, prije nego što počnemo, primijetit ću da u ovom članku razmatram samo operativni sistem NT porodice povezan na Internet. I sam imam Win2000 SP4, hvatam viruse na WinXP PE. Dakle, pređimo na brzu, a zatim detaljnu analizu sistema za crve i špijune. Brzom inspekcijom jednostavno detektujemo prisustvo programa i lokalizujemo ga; detaljna analiza je već u toku na nivou fajla i procesa. Tamo ću pričati o divnom PETools programu, ali sve ima svoje vrijeme.
[Analiza sistema]
Logično je da je za otkrivanje i neutralizaciju zlonamjernog programa neophodno postojanje takvog programa. Prevencija ostaje prevencija, o tome ćemo kasnije, ali prvo što treba da uradite je da utvrdite da li na vašem računaru ima virusa. Svaka vrsta zlonamjernog softvera ima svoje simptome, koji su ponekad vidljivi golim okom, ponekad potpuno nevidljivi. Pogledajmo koji su opći simptomi infekcije. Budući da je riječ o računaru spojenom na globalnu mrežu, prvi simptom je pretjerano brza potrošnja, po pravilu, odlaznog saobraćaja, a to je zbog činjenice da mnogi internetski crvi obavljaju DDoS funkcije.
mašine ili samo botovi. Kao što znate, tokom DDoS napada, količina odlaznog saobraćaja jednaka je maksimalnoj količini saobraćaja po jedinici vremena. Naravno, na gigabitnom kanalu to možda neće biti toliko uočljivo ako se DDoS napad vrši širinom dial-up veze, ali po pravilu je upadljiva tromost sistema pri otvaranju Internet resursa (također želim napomenuti da ćemo govoriti o virusima koji se barem nekako sakriju od sistema, jer ne morate ništa objašnjavati ako u vašem Startup folderu imate datoteku kfgsklgf.exe, koju je uhvatio firewall itd.). Sljedeći na listi je nemogućnost pristupa mnogim stranicama antivirusnih kompanija, kvarovi u radu plaćenih programa poput CRC-greške, to je već zbog činjenice da dosta komercijalnih zaštitnika podržava funkciju provjere pariteta ili integriteta izvršne datoteke (i to ne samo zaštitnika, već i samih sigurnosnih programera), što je učinjeno kako bi se program zaštitio od hakovanja. Nećemo govoriti o efikasnosti ove metode protiv krekera i reversera, ali može savršeno funkcionirati kao alarm za virusnu infekciju. Cena koju proizvođači virusa početnici plaćaju za procese koji se ne mogu ubiti je to što kada se računar isključi ili ponovo pokrene, neki proces se završi na duže vreme, ili se računar čak zamrzne kada se isključi. Mislim da nema potrebe pričati o procesima, a ni o startup folderu, ako je tu nešto nerazumljivo ili novo, onda je možda virus, ali o tome kasnije. Česta ponovno pokretanje računara, isključenje sa interneta, ukidanje antivirusnih programa, nedostupnost servera za ažuriranje Microsoft sistema, nedostupnost web-mjesta antivirusnih kompanija, greške pri ažuriranju antivirusa, greške uzrokovane promjenama u strukturi plaćenih programa, Windows poruka da su izvršne datoteke su oštećeni, pojava nepoznatih datoteka u korijenskom direktoriju, Ovo je samo kratka lista simptoma zaražene mašine. Osim direktnog zlonamjernog softvera, postoji i takozvani špijunski softver, to su sve vrste keyloggera, elektronskih ključeva i neželjenih "pomagača" za pretraživač. Iskreno govoreći, na osnovu metode detekcije, mogu se podijeliti u dva suprotstavljena tabora. Recimo da je keylogger spojen dinamičkom bibliotekom na ljusku operativnog sistema izuzetno teško otkriti u hodu, i obrnuto, pomoćnika (dodatak, traka za pretraživanje, itd.) koji je došao niotkuda (dodatak, traka za pretraživanje, itd.). ) u Internet Explorer (po pravilu) odmah upada u oči. Dakle, mislim da je vrijeme da ostavimo ovu pesimističnu notu i pređemo na realističnu praksu otkrivanja i deaktivacije zlonamjernog softvera.
[Otkrivanje u hodu]
%WINDIR%\Driver Cache\driver.cab
zatim iz fascikli za ažuriranje OS-a, ako ih ima, zatim iz %WINDIR%\system32\dllcache\ i tek onda jednostavno iz
%WINDIR%\system32\
Možda će OS reći da su datoteke oštećene i zatražiti disk s distributivnim kompletom, ne slažete se! U suprotnom će se oporaviti i rupa će se ponovo otvoriti. Nakon što završite ovaj korak, možete početi lokalizirati virus. Zgodan mali program koji se zove TCPView pomaže vam da vidite koje aplikacije koriste mrežnu vezu, ali neki crvi imaju dobar algoritam šifriranja ili, što je još gore, vezuju se za procese ili se maskiraju u procese. Najčešći proces za maskiranje je nesumnjivo servis svhost.exe; u upravitelju zadataka postoji nekoliko takvih procesa, a ono što je najčudnije je da možete kreirati program sa istim imenom i tada je gotovo nemoguće razlikovati ko je SZO. Ali šansa postoji i zavisi od pažnje. Prije svega, potražite programera u upravitelju zadataka (ili još bolje u Process Exploreru). Za svhost.exe, začudo, ovo je M$; naravno, možete dodati lažne informacije u kod virusa, ali ovdje postoji nekoliko nijansi. Prva i vjerovatno glavna stvar je da dobro napisan virus ne sadrži tablicu za uvoz ili dijelove podataka. Dakle, takva datoteka nema resurse, pa se stoga ne može upisati u izvore kreatora. Ili možete kreirati resurs, ali tada će se pojaviti dodatna veličina datoteke, što je krajnje nepoželjno za proizvođača virusa. Takođe moram da kažem za svhost.exe, ovo je skup sistemskih usluga i svaka usluga je pokrenuta datoteka sa određenim parametrima. U skladu s tim, u Control Panel -> Administration -> Services,
sadrži sve učitane svhost.exe servise, savjetujem vam da prebrojite broj pokrenutih servisa i procesa svhost.exe, ako se ne slažete, onda je sve već jasno (samo nemojte zaboraviti uporediti broj RUNNING usluge). Više detalja u Dodatku A.
Također treba napomenuti da je moguće da postoji virus među servisima, mogu reći jedno o ovome, postoji lista servisa na MSDN-u i mnogim drugim mjestima na mreži, tako da samo uzimanje i upoređivanje neće biti problem. Nakon ovih koraka, možete dobiti naziv datoteke koja bi mogla biti virus. Govorit ću malo dalje o tome kako direktno odrediti da li je virus prisutan ili ne, ali sada se odmaknimo od rasuđivanja i pogledajmo još nekoliko točaka. Kao što verovatno već znate, za normalan rad OS-a potrebno vam je samo 5 fajlova u root direktorijumu, tako da možete bezbedno da obrišete sve ostale fajlove, osim ako naravno ne uspete da instalirate programe u root direktorijumu. Usput, fajlovi za normalan rad, evo ih: ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Ne bi trebalo biti ništa više. Ako postoji i ne znate odakle je došao, onda idite na poglavlje [Detaljna analiza] Također ćemo pogledati priključivanje na procese u poglavlju [Detaljna analiza], a sada razgovarajmo o automatskom pokretanju. Naravno, virus se po pravilu mora nekako učitati kada se sistem pokrene. U skladu s tim, pogledajte sljedeće ključeve registratora za sumnjive programe. (A ako ste već pronašli virus, potražite naziv datoteke svuda u registru i izbrišite):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pokreni HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskSchedulerHKLM\
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Ovo je sve rečeno o otkrivanju jednostavnih crva. Naravno, teško je identificirati dobar skriveni virus. Otkrivanje ovog crva i njegovo deaktiviranje oduzelo mi je oko 10 minuta vremena; naravno, znao sam gdje da tražim, ovo je pojednostavilo zadatak. Međutim, recimo da je moguće otkriti dobar backdoor, keylogger, stealth virus ili jednostavno virus koji koristi presretanje poziva API funkcijama datotečnog sistema (tada se virus ispostavi da je zaista nevidljiv), virus koji se prenosi , generalno, postoji niz drugih nijansi, ali takvih kreacija danas je zaista malo, malo pravih kreatora virusa. Uznemirujuće je... Pokušat ću govoriti o njima u sljedećim člancima. Sada pređimo na špijunski softver ili, kako ih buržoazija naziva, špijunski softver. Ponovo ću objasniti na primjerima špijuna koje sam lično uhvatio, kako moje riječi ne bi izgledale kao prazna fantazija.
Počeću svoju priču sa najčešćim špijunima. U jednom poznatom časopisu jedan dobar programer ih je ispravno nazvao magarećim buvama. Najjednostavniji špijun se vrlo često krije iza alatne trake nevinog izgleda. Znajte da ako, niotkuda, imate novo dugme ili traku za pretragu u vašem pretraživaču, smatrajte da ste posmatrani. Vrlo je jasno vidljivo da ako se početna stranica vašeg pretraživača iznenada promijeni, nema šta da se kaže. Naravno, oprostite mi na nekoj netačnosti u terminima. Virusi koji mijenjaju početne stranice u pretraživaču nisu nužno špijuni, međutim, u pravilu je to slučaj i zato ih ovdje u ovom članku klasifikujemo kao špijune. Pogledajmo jedan primjer iz života, kada sam došao na posao i u pretraživaču na jednom računaru vidio traku za pretragu čudnog izgleda; kada sam pitao odakle dolazi, nikad nisam dobio ništa. Morao sam to sam shvatiti. Kako špijun može ući u sistem? Postoji nekoliko metoda, kao što ste već primijetili, riječ je o Internet Exploreru, činjenica je da je najčešći način da virus prodre u sistem kroz pretraživač korištenjem ActiveX tehnologije, sama tehnologija je već korištena. dovoljno opisano i neću se zadržavati na tome. Također možete zamijeniti početnu stranicu, na primjer, jednostavnom Java skriptom koja se nalazi na stranici; sa istim javascriptom možete čak učitati datoteke i izvršiti ih na ranjivom sistemu. Banalno pokretanje programa navodno za gledanje slika sa plaćenih stranica poznatog trenda u 98% slučajeva sadrži zlonamjerni softver. Kako bih znao gdje tražiti, reći ću da postoje tri najčešća načina kako se špijuni lociraju i rade na žrtvinoj mašini.
Prvi je registar i ništa više, virus može sjediti pri pokretanju, ili možda uopće nije prisutan na računalu, ali ima jedan cilj - zamijeniti početnu stranicu pretraživača kroz registar. Ako je virus ili skripta samo jednom zamijenila početnu stranicu, nema pitanja, samo trebate izbrisati ovaj ključ u registru, ali ako se nakon čišćenja, nakon nekog vremena ključ ponovo pojavi, virus je pokrenut i stalno pristupa registar. Ako imate iskustva u radu sa debagerima kao što je SoftIce, možete postaviti tačku prekida pristupa registru (bpx RegSetValueA, bpx RegSetValueExA) i pratiti koji program, osim standardnih, pristupa registru. Dalje logično. Drugi su upravo sistemski presretači događaja, takozvani hookovi. Tipično, kuke se više koriste u keyloggerima i predstavljaju biblioteku koja nadgleda i, ako je moguće, mijenja sistemske poruke. Obično već postoji sam program i biblioteka uz njega, tako da pregledom glavnog modula programa nećete dobiti ništa zanimljivo.
Za više informacija o ovoj i sljedećoj metodi, pogledajte detaljnu analizu u nastavku u poglavlju.
I na kraju, treći način je da svoju biblioteku povežete sa standardnim OS programima, kao što su explorer.exe i iexplorer.exe, drugim riječima, pisanje dodataka za ove programe. Ovdje opet, postoji nekoliko načina, ovo je prilaganje korištenjem BHO (Gorlum je pisao o samoj metodi privitka, koristeći ovu priliku da mu se pozdravi i pohvali) i jednostavno ugrađivanje vaše biblioteke u izvršnu datoteku. razlika je, koliko sam ja shvatio, u tome što je Browser Helper Object opisan i predložen od strane same M$ korporacije, i koristi se kao dodatak za pretraživač, a uvođenje biblioteka više nije toliko dodatak - kao samostalni program, koji više podsjeća na virus datoteka iz prošlosti.
Za opštu obuku, daću vam ključeve registra gde se može registrovati roba ispod standarda, u obliku traka sa alatkama, dugmadi i početnih stranica pretraživača.
početna stranica
Parametar HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main StartPage.
Parametar HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet Explorer\Main StartPage (S-1-5-21-.... ovaj ključ može biti različit na različitim mašinama)
Registrovanje objekata kao što su dugmad, trake sa alatkama itd.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
Ovdje se registruju svi "pomoćnici", a ako ih nemate, ključ bi trebao biti prazan, ako nije prazan, onda ga obrišite.
Dakle, ako vam ne odgovaraju ovi ključevi, a želite to dalje shvatiti, potražite dalje.
[Tražim nešto bolje]
S obzirom da sam u vrijeme pisanja ovog članka želio da bude razumljiv svima, ovo poglavlje će se nekom možda učiniti nerazumljivim, ali sam se trudio da sve pojednostavim koliko sam mogao. Neću vam objašnjavati arhitekturu PE datoteke, iako ćemo se pozivati na nju. Postoji mnogo detaljnijih priručnika na internetu, a Iczelion je dobro napisao o PE fajlovima. Možda ću jednog dana i ja to opisati.
Dakle, za početak detaljne analize, trebat će nam neki alati koje koristim u ovom slučaju i preporučujem korištenje PETools od NEOx-a i PEiD-a (uglavnom možete proći sa jednim Soft Ice-om, ali bolje je imati više alata i jednostavnijih; za reversere , napominjem da ćemo sada razgovarati o pregledu tabele uvoza i pakovanja datoteka, tako da zanemarite perverziju koju ćete uskoro vidjeti)
To znači, kao što sam već rekao, došlo je do takvog slučaja da se u pretraživaču niotkuda pojavila traka za pretraživanje i početna stranica. Nakon provjere registra, nisam pronašao nikakve promjene na stranici sa statistikom, niti sam našao registraciju dodataka u pretraživaču. Nakon detaljnijeg pregleda, pokazalo se da se ovaj niz za pretragu (traka sa alatkama je jednostavnija) pojavljuje u svim prozorima OS-a. Ovo je već malo promijenilo suštinu stvari. Pretpostavio sam da to rade dva špijuna, nezavisni jedan od drugog, i to upravo uvođenjem dinamičke biblioteke. Istovremeno, potrebno je razlikovati da ako je traka sa alatkama bila samo u pretraživaču, to znači da je ugrađena u proces iexplorer.exe, ali smo je imali svuda, stoga je bilo potrebno provjeriti u exploreru. exe. Počeo sam da provjeravam pretraživač. Da bih to uradio, pokrenuo sam PETools i samo pogledao koje biblioteke koristi pretraživač. Imao sam sreće u liku neopreznog kreatora virusa; u pozadini sistemskih biblioteka iz %SYSTEMROOT% postojao je određeni smt.dll sa putanjom koja ide negdje u TEMP. Restartuj u sigurnom modu i ukloni ovu biblioteku i sve je u redu, špijun je ubijen. Ostaje samo da ponovo pozovemo PETools, kliknemo desnim tasterom miša na naš proces i ponovo napravimo fajl. Ovo je najjednostavniji slučaj u mojoj praksi. Pređimo na sljedeću, pronađite i ubijte alatnu traku. Na isti način, pogledao sam proces explorer.exe i nisam našao ništa upečatljivo. Iz ovoga proizilaze dvije opcije: ili ne znam sve biblioteke napamet, a alatna traka je izgubljena među njima, ili nemam znanja da je pronađem. Srećom, prvi je izašao. Ali kako onda razlikovati pravu biblioteku od lažne? Reći ću vam, i sami ćete razumeti. Kao što znate, proizvođači virusa jure minimiziranje koda i enkripciju. Odnosno, u pravilu više od jedne alatne trake neće biti u otvorenom obliku, prvo, kod se može smanjiti, što znači da je neophodno, a drugo, ako neko (obično čak ni antivirus, već konkurent) to otkrije biblioteci, onda im je nešifrirani kod lakši za razumijevanje. Stoga uzimamo PEiD i vršimo masovno skeniranje uvezenih biblioteka. Microsoftove biblioteke su prirodno napisane u vizuelnom C++ i nisu upakovane ničim, pa ako vidimo (a upravo sam video sumnjivu seUpd.dll upakovanu sa UPX-om) upakovanu ili šifrovanu biblioteku, onda je u 99% slučajeva to ono što tražili. Bez obzira da li će to provjeriti ili ne, vrlo je jednostavno, premjestite ga u siguran način rada i vidite rezultat. Naravno, možete ga raspakovati, pogledati listu dizajna i razmisliti šta radi, ali da ne ulazimo u to. Ako niste pronašli upakovanu biblioteku, onda je korisno koristiti uređivač resursa kao što je Restorator da pogledate verzije datoteka, kao što sam već rekao, sve biblioteke iz M$ imaju to napisano tamo. Ovdje kreatori virusa prave greške. Trebalo bi da ih je sramota da uopšte pišu takve viruse. Na kraju, želio bih napomenuti da *.dll biblioteka ne može nužno biti ugrađena u procese. Windows OS ima korisnu aplikaciju koja se zove rundll32.exe, i mogu pokrenuti bilo koju biblioteku koristeći ovaj proces. A u isto vrijeme, nije potrebno pisati rundll32.exe myspy.dll u pokretanju, dovoljno je to napisati unutar zaražene datoteke. Tada ćete vidjeti samo svoje (zaražene datoteke za koje je malo vjerovatno da će ih antivirus otkriti) i rundll32.exe proces, i ništa drugo. Šta učiniti u takvim slučajevima? Ovdje ćemo morati dublje proći u strukturu datoteke i OS-a, tako da ćemo ovo ostaviti izvan okvira ovog članka. Što se tiče pakovanja/šifriranja virusa, ovo se ne odnosi samo na biblioteke, već i na sve sistemske datoteke. Na ovoj ugodnoj noti želim završiti glavni dio članka; dosta je toga napisano, ali ovo je samo 1% svih metoda detekcije. Moja metoda možda nije najbolja, ali je sama koristim i prilično je produktivna (pa, samo ne na mom računalu). Ako je moguće, ako je moguće, pisaću nastavak o makro virusima, keyloggerima i backdoorima, ukratko o onome što sam već uhvatio.
[Zahvalnice]
Želio bih da izrazim svoju zahvalnost svima sa kojima komuniciram što postojim.
I ljudima koji su uticali na mene i nekako me uputili na pravi put:
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0, _4k_, hranitelj, itd.
[Dodatak A]
Lista sistemskih usluga svhost.exe (WinXP)
DHCP clientvchost.exe -k netsvcs
DNS klijent svchost.exe -k NetworkService
Automatski ažurirajte svchost.exe -k netsvcs
Sekundarna prijava svchost.exe -k netsvcs
Upravitelj logičkog diska svchost.exe -k netsvcs
Pokretanje DCOM servera obrađuje svchost -k DcomLaunch
Instrumentacija upravljanja Windowsom svchost.exe -k netsvcs
Promijenjen klijent za praćenje veza svchost.exe -k netsvcs
NetBIOS modul podrške preko TCP/IP svchost.exe -k LocalService
Preglednik računara svchost.exe -k netsvcs
Odredite hardver ljuske svchost.exe -k netsvcs
Radna stanica svchost.exe -k netsvcs
Server svchost.exe -k netsvcs
Usluga vraćanja sistema svchost.exe -k netsvcs
Windows Time Service svchost.exe -k netsvcs
Usluga evidentiranja grešaka svchost.exe -k netsvcs
Usluge kriptografije svchost.exe -k netsvcs
Pomoć i podrška svchost.exe -k netsvcs
Teme svchost.exe -k netsvcs
Obavijest o sistemskom događaju svchost.exe -k netsvcs
Poziv udaljene procedure (RPC) svchost -k rpcss
Centar sigurnosti svchost.exe -k netsvcs
Upravitelj automatske veze za daljinski pristup svchost.exe -k netsvcs
HTTP protokol SSLsvchost.exe -k HTTPFilter
Ekstenzije WMI drajvera svchost.exe -k netsvcs
Usluga otpremanja slike (WIA)svchost.exe -k imgsvc
Usluge pružanja mrežnih uslugavchost.exe -k netsvcs
Usluga serijskog broja prijenosnih medija
svchost.exe -k netsvcs
Kompatibilnost brze promjene korisnika
svchost.exe -k netsvcs
Removable storagesvchost.exe -k netsvcs
Generički PnP uređaj Hostsvchost.exe -k LocalService
Application managementsvchost.exe -k netsvcs
Pozadinski Intelligent Transfer Servicesvchost.exe -k netsvcs
Remote Access Connection Managersvchost.exe -k netsvcs
Mrežne vezesvchost.exe -k netsvcs
Sistem događaja COM+svchost.exe -k netsvcs
SSDP Discovery Service svchost.exe -k LocalService
Usluga mrežne lokacije (NLA)svchost.exe -k netsvcs
Terminal Servicessvchost -k DComLaunch
Telephonysvchost.exe -k netsvcs
Windows Audiosvchost.exe -k netsvcs
Pristup HID devicesvchost.exe -k netsvcs
Usmjeravanje i udaljeni pristupsvchost.exe -k netsvcs
Annunciator svchost.exe -k LocalService
Task Schedulersvchost.exe -k netsvcs
Usluga razmjene poruka svchost.exe -k netsvcs
----------- Ukupno šest procesa kada su sve usluge pokrenute -------
Sadržaj
Pozdrav svima!
Želim da počnem ovaj članak jednom jednostavnom istinom: „Ako antivirus ne pronađe nijedan virus, to ne znači da ga nema na vašem računaru!“
Zapravo, vrlo često se dešava sljedeća slika: kada koristite web preglednike (Firefox, Chrome, Opera, itd.) - pojavljuju se razne reklame (gdje nikada ranije nisu postojale), otvaraju se kartice, mogu se pojaviti baneri na radnoj površini (ne neugodan sadržaj, na primjer, oni koji traže slanje SMS poruke), računar može usporiti i zamrznuti se itd.
Svi ovi faktori (posebno u zbiru) označava da na vašem računaru postoji neželjeni softver (, reklamne skripte, trojanci, itd.).
Štoviše, običan antivirus, čak i nakon potpunog skeniranja računala, često piše da je sve u redu, virusi nisu pronađeni. I u ovom trenutku postoji osjećaj da ovdje nešto nije u redu: računar se čudno ponaša, ali antivirus je neaktivan...
Zapravo, u ovom članku želim preporučiti mali recept za čišćenje samo za takve slučajeve kada nije sasvim jasno kako vratiti računar u normalan rad (kada je po svim pokazateljima kompjuter zaražen virusom, a običan antivirus ih ne vidi...).
Pomoći!
Uprkos onome što sam gore napisao, ipak preporučujem da imate jedan od modernih antivirusa (on će vas zaštititi od stotina drugih prijetnji). O najboljima od njih u ovom članku:
(čišćenje Windowsa od klasičnih virusa, alatnih traka, adwarea, itd.)
"Prva pomoć:
- Nemojte slati nikakav SMS jer neki baneri koji se pojavljuju na vašem desktopu zahtijevaju. Vaš računar najvjerovatnije neće biti "izliječen" od ove infekcije i možete izgubiti novac...
- Instalirajte moderan antivirus (link do najboljih proizvoda je dat iznad). Napominjem da neke vrste virusa blokiraju pristup web lokacijama poznatih antivirusa (ako je to slučaj, pokušajte preuzeti slične proizvode sa drugih softverskih stranica);
- Odmah napravite rezervnu kopiju svih važnih podataka, po mogućnosti na prenosivom mediju (za budućnost: preporučljivo je to učiniti unaprijed);
- Ako je virus blokirao pristup radnoj površini (blokirao je sve alate svojim banerima), pokušajte da učitate Windows. U krajnjem slučaju, koristite .
KORAK 1: provjera sistema pomoću online antivirusa
Mnogi programeri poznatih antivirusnih programa nedavno su objavili online verzije svojih proizvoda. Princip rada s njima je prilično jednostavan: preuzimanjem "relativno" male datoteke i pokretanjem, ona će automatski provjeriti vaš sistem na viruse.
Štoviše, takvi proizvodi nisu u sukobu s instaliranim antivirusnim programom u sistemu, rade u svim modernim verzijama Windowsa, ne zahtijevaju instalaciju i uvijek imaju ažurnu antivirusnu bazu podataka.
Snimak ekrana ispod prikazuje proces provjere računara pomoću ESET Online Scanner-a (veza na softver -)
Sljedeći snimak ekrana prikazuje rad uslužnog programa za liječenje iz F-Secure -
Popularan i kod nas je Dr.Web CureIt! (direktan link: ). Datoteka za preuzimanje je, međutim, nešto veća od prva dva (oko 200 MB).
Općenito, bez obzira koji proizvod odaberete, preporučujem da potpuno pokrenete svoj sistem s njim. Često je moguće pronaći desetine prijetnji koje je instalirani antivirus propustio...
KORAK 2: Uklonite dodatke za oglase koristeći AdwCleaner
Mogu reći da u posljednje vrijeme nisu mnogo češći klasični virusi, već adware i trojanci. Ugrađivanje u najpopularnije aplikacije (pretraživači, na primjer)Često ometaju normalan rad, jednostavno odvlače pažnju nametljivošću ili čak blokiraju potrebne opcije.
Stvar je u tome što su oni na neki način „ugrađeni“ u pretraživač (na primjer, pod krinkom dodatka ili neke vrste dodatka), ponekad dodaju potrebne linije u prečicu pretraživača, mijenjaju datoteku itd.
Srećom, postoje programi za čišćenje Windowsa od ovih zlonamjernih skripti, a ja ću preporučiti jedan od njih u nastavku. Radi paralelno sa vašim antivirusom (tj. nema potrebe za brisanjem) i može riješiti lavovski dio problema.
Nakon pokretanja AdwCleaner-a, da biste započeli skeniranje vašeg računara, trebate samo pritisnuti jedno dugme " Skeniranje sada" (ili "Skeniraj", ovisno o prijevodu). Pogledajte snimak ekrana ispod.
AdwCleaner: glavni prozor (dugme za početak skeniranja "Skeniraj sada")
Vrijeme za provjeru Windows-a na “prosječnom” računaru po današnjim standardima bit će samo 3-5 minuta. (ili čak i brže). Sav potencijalno neželjeni softver pronađen tokom skeniranja automatski će biti uklonjen i izoliran (tj. korisnik ne mora znati apsolutno ništa, zbog čega mi se zapravo sviđa).
Bilješka!
Nakon provjere vašeg računara, hoće automatski ponovo pokrenut. Nakon pokretanja operativnog sistema Windows, dobićete izveštaj o testiranju operativnog sistema Windows.
KORAK 3: Skenirajte pomoću Malwarebytes Anti-Malware
M alwarebytes Anti-Malware
Malwarebytes Anti-Malware / Logo
Još jedan odličan program za borbu protiv virusa, crva, trojanaca, špijunskog softvera itd. Malwarebytes Anti-Malware donekle nadopunjuje mogućnosti prethodnog programa - implementira poseban algoritam "kameleon", koji mu omogućava da radi čak i kada virus blokira pokretanje bilo kojeg drugog antivirusnog programa!
Karakteristike programa:
- - skeniranje svih diskova u sistemu;
- - ažuriranje baze podataka na dnevnoj bazi (za suzbijanje čak i novonastalih virusa);
- - heuristička analiza (omogućava vam da otkrijete veliki broj zlonamjernih datoteka koje još nisu u bazi podataka);
- - sve izolirane datoteke su u karantinu (ako program napravi grešku, možete vratiti bilo koju od njih);
- - lista izuzetaka datoteka (koje ne treba skenirati);
- - zahvaljujući Chameleon tehnologiji, program se može pokrenuti čak i kada su svi slični programi blokirani virusom;
- - podrška ruskom jeziku;
- - podrška za sve popularne Windows OS: Vista, 7, 8, 10.
Da započnete skeniranje vašeg Windows sistema, pokrenite Malwarebytes Anti-Malware, otvorite odjeljak "Skeniraj" (ili "Skeniraj") i kliknite na dugme na dnu ekrana - "Skeniraj sada" (ili “Počnite provjeravati” ako imate rusku verziju, pogledajte snimak ekrana ispod).
Inače, iz vlastitog iskustva mogu reći da Malwarebytes Anti-Malware radi odličan posao. Nakon skeniranja i čišćenja, većina neželjenog softvera će biti neutralizirana i uklonjena. Generalno, preporučujem da ga pogledate!
KORAK 4: Vratite sistemske postavke
Nakon što su vaš računar (laptop) skenirali (i neutralisali) prethodni uslužni programi, preporučujem da ga pokrenete sa još jednim zanimljivim i korisnim programom - AVZ. Više puta sam ga preporučio na stranicama bloga, ali sada ću preporučiti tri koraka koje je potrebno poduzeti u njemu kako biste otklonili probleme (ako i dalje ostanu) ...
AVZ vam, inače, omogućava da vratite neke postavke Windows sistema, pristup dispečerima i druge tačke (koje bi virusi mogli oštetiti tokom infekcije).
A VZ
Ovaj antivirusni uslužni program je dizajniran da ukloni čitav niz zlonamjernih programa (od kojih neki, usput rečeno, ne mogu biti vidljivi ili otkriveni običnim antivirusnim programom). Na primjer, kao što su:
- Trojanski programi;
- Dodaci i alatne trake u web pregledniku;
- SpyWare i AdWare moduli;
- BackDoor moduli;
- Mrežni crvi, itd.
Ono što je još fascinantno u vezi s tim: da biste započeli i skenirali Windows sistem, samo trebate preuzeti ZIP arhivu sa programom, raspakirati je i pokrenuti (tj. ne morate instalirati, konfigurirati itd.). Proći ću kroz tri koraka u nastavku u članku koje vam preporučujem da uradite u njemu...
Kako skenirati računar na virus u AVZ-u
Nakon pokretanja programa, odaberite sistemski pogon (barem njega, po mogućnosti sve). Obično je uvijek označen karakterističnom ikonom.
Nakon toga, na desnoj strani ekrana, kliknite na dugme "Start" da biste započeli skeniranje (usput, iznad dugmeta "Start" možete odmah izabrati šta da radite sa zlonamernim softverom, na primer, izbrisati ).
Početak provjere u AVZ | Može se kliknuti
U pravilu, provjera Windows sistemskog diska na viruse je prilično brza (5-10 minuta). Usput, preporučujem da prije takvog skeniranja privremeno isključite glavni antivirus (to će donekle ubrzati skeniranje).
Kako zatvoriti rupe u postavkama u Windowsu
(što može dovesti do infekcije računara)
Nije tajna da Windows ima neke postavke koje ne zadovoljavaju optimalne sigurnosne zahtjeve. Na primjer, između ostalog, automatsko pokretanje umetnutih diskova i fleš diskova. I, naravno, neke vrste virusa to iskorištavaju...
Da biste isključili takva podešavanja i zatvorili takve rupe, u AVZ-u samo otvorite meni "Čarobnjak za datoteke/rješavanje problema" (pogledajte snimak ekrana ispod).
Nakon skeniranja, dobićete izveštaj sa onim parametrima koje želite da promenite. Preporučujem da provjerite sve linije i kliknete na "Ispravi" (usput, AVZ samostalno optimizira one parametre koji, po njegovom mišljenju, ne zadovoljavaju sigurnosne - dakle bez ručnog rada!) .
Kako vratiti sistemske postavke u Windows
(koje su modificirane zlonamjernim softverom)
Nakon što je vaš računar zaražen virusima, adverom itd., mnogi parametri i sistemske postavke u Windows-u se mijenjaju. Na primjer, možda su vam neke web stranice blokirane za gledanje, može vam biti zabranjeno otvaranje uređivača registra, postavke Internet Explorera su promijenjene itd.
Da bi se sve ovo vratilo u normalu, AVZ uslužni program ima posebnu karticu za vraćanje svih najosnovnijih parametara. Da ga otvorite, kliknite na: "File/System Restore" (kao na slici ispod).
Zatim ćete vidjeti listu onoga što se može vratiti: samo označite polja koja su vam potrebna (usput, možete sve označiti) i pritisnite dugme " Izvršite označene operacije".
Po pravilu, nakon završetka restauracije, računar počinje normalno raditi.
Ako gore navedeno ne pomogne, obratite pažnju na još nekoliko savjeta u koraku 5...
1. Skenirajte sistem u sigurnom načinu rada
U nekim slučajevima čišćenje računara od virusa bez sigurnog načina rada je nerealno! Činjenica je da u sigurnom načinu rada Windows učitava vrlo minimalan set softvera, bez kojeg je njegov rad nemoguć (tj. mnogo neželjenog softvera jednostavno ne radi u ovom načinu rada!).
Dakle, mnogo od onoga što se ne može ukloniti u normalnom načinu može se lako ukloniti u sigurnom načinu rada.
Ako ne možete pokrenuti uslužne programe koje sam gore preporučio, pokušajte ih pokrenuti u sigurnom načinu rada. Sasvim je moguće da ne samo da se otvore, već i da pronađu sve što se od njih „skriva“...
Za ulazak u siguran način rada- kada pokrećete računar, pritisnite dugme nekoliko puta F8- u odgovarajućem meniju koji se pojavi izaberite ovaj režim.
Instrukcije! Kako ući u siguran način rada || Windows 7÷10 -
2. Oporavak sistema
Ako imate tačku vraćanja koja je kreirana prije nego što su virusi i adware zarazili vaš računar, moguće je da će vraćanje na nju popraviti situaciju...
Pomoći!
Kako se ovdje ne bih ponavljao, preporučujem da pročitate moj članak o oporavku sistema:
3. Ponovo instalirajte Windows
Generalno, nisam pristalica ponovnog instaliranja sistema za svako “kijanje”. Ali u nekim slučajevima, mnogo je lakše i brže ponovo instalirati sistem nego patiti od malvera.
Instrukcije! Instalacija Windows 10 sa USB fleš diska (svi koraci korak po korak) -
Ovim je članak završen.
