Čitati o simptomima koji ukazuju na prisutnost virusa na vašem računalu. Kako računalo, antivirusni program ili preglednik reagiraju na viruse. Malware ili virusi mogu baciti vaše računalo u kaos. Oni mogu onemogućiti vaš antivirusni program i učiniti vaše računalo ranjivim na drugi zlonamjerni softver, ometati normalno funkcioniranje računala ili oštetiti datoteke operativnog sustava.
Ransomware virusi šifriraju korisničke podatke na takav način da ih je gotovo nemoguće dešifrirati ili vratiti. Virusi mogu dobiti pristup bilo kojim podacima, bilo da se radi o osobnim datotekama, bankovnim podacima ili korisničkim lozinkama, a također mogu stvoriti duplicirane račune.
Što učiniti da zaštitite sebe i svoje računalo od virusa? Za početak morate instalirati antivirusni program. Također ne škodi naučiti kako sigurno koristiti računalo. Čest razlog zaraze računala virusima ili drugim zlonamjernim programima je nedovoljna informatička pismenost korisnika, koju bi također trebalo poboljšati.
Nove vrste virusa i zlonamjernog softvera pojavljuju se stalno, tako da ih svaki antivirusni program ne može uvijek otkriti, barem dok se ne unesu u bazu virusnih definicija. Takvi svježi virusi mogu ući u sustav i proći kroz sve mjere zaštite softvera.
Ako ste slučajno preuzeli sumnjivu datoteku koja sadrži virus ili ste kliknuli na privitak e-pošte, vaš sustav može biti zaražen virusima kao što su: trojanski, Rootkit, Crv, Stražnja vrata, Junkware ili Malware. Stoga, prije nego što kliknete na nepoznatu datoteku ili poveznicu, bolje je dvaput razmisliti i provjeriti ima li antivirusni program instaliran na vašem računalu najnovije antivirusne potpise.
Dakle, kako možete znati je li vaše računalo zaraženo virusima? Evo nekoliko očitih znakova koji pokazuju da vaše računalo ima viruse ili drugi zlonamjerni softver:
A sad detaljnije:
Ovo su samo najčešći načini utvrđivanja prisutnosti virusa, malwarea ili ransomwarea na računalu i njihovih simptoma. A koliko brzo se korisnik može nositi s takvim programima na svom računalu ovisi o sigurnosti njegovih podataka i datoteka.
2. Spor rad sustava
Ako niste pokretali programe koji zahtijevaju velike resurse, a sustav radi sporo, to je također razlog za provjeru. Prije nego što to učinite, savjetujemo vam da sami uklonite nepotrebne programe iz izbornika za pokretanje. U pravilu, ovaj problem ukazuje na prisutnost trojanaca u sustavu.
3. Datoteke nestaju
Ako iznenada ne pronađete datoteke koje su vam važne i prekomjernu aktivnost na tvrdom disku kada je sustav u stanju mirovanja, postoji svaki razlog da ozbiljno pogledate stanje prijenosnog računala. Provjerite ima li virusa instaliranim skenerom i pokušajte koristiti dodatne antivirusne alate.
4. Neobičnosti u radu Windowsa
Ako vam se tijekom učitavanja na zaslonu pojavljuju razni dijaloški okviri, razmislite i o tome postoje li virusi u sustavu.
5. Sumnjive poruke
Ako sustav odbija otvoriti bilo koju datoteku ili program koji je prije normalno radio, svakako biste trebali provjerite prijenosno računalo na viruse, ili se čak obratite servisnom centru za elektroniku.
6. Problemi s primjenom
Različite aplikacije mogu potpuno otkazati ili raditi vrlo loše kada su zaražene virusima. Nemojte ignorirati ovaj problem.
7. Previše aktivnosti na mreži
Ako ruter stalno treperi kada ne koristite internet ili preglednik ne reagira adekvatno na vaše radnje, hitno morate očistiti sustav od neželjenih programa i virusa.
8. Nestabilan rad e-pošte
Nestajanje e-pošte, neželjene pošte i drugi problemi također bi trebali zastati.
9. IP crna lista
Ako na bilo kojem resursu naiđete na takvu poruku, hitno se pobrinite za stanje svog prijenosnog računala.
10. Neočekivano gašenje antivirusnog programa
Ovdje je sve očito. Proizvoljno onemogućavanje antivirusnog programa moguće je samo pod utjecajem zlonamjernog softvera.
Kako spriječiti infekciju virusom?
Savjeti za sprječavanje virusne infekcije jednostavni su, ali ne bi škodilo ponoviti ih:
Koristite antivirusni program i redovito ga ažurirajte;
Nemojte preuzimati sumnjive datoteke niti posjećivati stranice sa sumnjivim sadržajem;
Provjerite ima li na USB disku virusa.
Do sada ne poznajem nikoga tko nije izravno ili neizravno patio od djelovanja računalnih virusa. Antivirusne tvrtke žele puno za svoje proizvode, koji nikada ne pružaju odgovarajuću zaštitu. Pitanje je zašto uopće kupovati antivirusni softver? Sve što je stvorio čovjek može biti uništeno, to se odnosi i na antiviruse i na viruse. Puno je teže prevariti osobu nego program. Stoga je ovaj članak posvećen opisu tehnike otkrivanja i deaktiviranja virusnog softvera bez antivirusnog proizvoda. Upamtite, postoji samo jedna stvar koja se ne može zaobići/slomiti/prevariti - to je Znanje, vaše vlastito razumijevanje procesa. Danas ću vam reći, koristeći stvarne primjere, kako otkriti i uhvatiti internetske crve i špijunski softver na vašem računalu. Naravno, postoji mnogo više vrsta, ali ja sam uzeo one najčešće i odlučio napisati ono što sam imao u praksi, kako ne bih rekao ništa nepotrebno. Ako budete imali sreće u potrazi, ispričat ću vam o makro virusima, backdoorima i rootkitovima. Dakle, prije nego što počnemo, primijetit ću da u ovom članku razmatram samo operativni sustav iz obitelji NT koji je povezan s Internetom. I sam imam Win2000 SP4, hvatam viruse na WinXP PE. Pa prijeđimo na brzu, a potom detaljnu analizu sustava za crve i špijune. Brzim pregledom jednostavno detektiramo prisutnost programa i lokaliziramo ga, već je u tijeku detaljna analiza na razini datoteke i procesa. Tamo ću govoriti o prekrasnom programu PETools, ali sve ima svoje vrijeme.
[Analiza sustava]
Logično je da je za detekciju i neutralizaciju zlonamjernog programa nužno postojanje takvog programa. Prevencija ostaje prevencija, o tome ćemo kasnije, ali prvo što trebate učiniti je utvrditi ima li virusa na vašem računalu. Svaka vrsta malwarea ima svoje simptome koji su ponekad vidljivi golim okom, ponekad potpuno nevidljivi. Pogledajmo koji su opći simptomi infekcije. Budući da govorimo o računalu spojenom na globalnu mrežu, prvi simptom je pretjerano brzo trošenje, u pravilu, odlaznog prometa, to je zbog činjenice da mnogi internetski crvi obavljaju DDoS funkcije.
strojevi ili samo botovi. Kao što znate, tijekom DDoS napada količina odlaznog prometa jednaka je maksimalnoj količini prometa po jedinici vremena. Naravno, na gigabitnom kanalu to možda neće biti toliko vidljivo ako se DDoS napad provodi širinom dial-up veze, ali u pravilu je tromost sustava pri otvaranju internetskih resursa upečatljiva (također bih želio napomenuti da ćemo govoriti o virusima koji se barem na neki način skrivaju sustavu, jer ne morate ništa objašnjavati ako u mapi Startup imate datoteku kfgsklgf.exe koju hvata vatrozid itd.). Sljedeći na popisu je nemogućnost pristupa mnogim stranicama antivirusnih tvrtki, kvarovi u radu plaćenih programa kao što je CRC-greška, to je već zbog činjenice da dosta komercijalnih zaštitnika podržava funkciju provjere pariteta ili integriteta izvršne datoteke (i ne samo zaštitnici, već i sami programeri sigurnosti), što je učinjeno kako bi se program zaštitio od hakiranja. Nećemo govoriti o učinkovitosti ove metode protiv krekera i reverzera, ali može savršeno djelovati kao alarm za virusnu infekciju. Cijena koju tvorci virusa početnici plaćaju za procese koji se ne mogu zaustaviti jest da se neki proces nakon gašenja ili ponovnog pokretanja računala prekine na dulje vrijeme ili se računalo čak zamrzne pri gašenju. Mislim da nema potrebe govoriti o procesima, a također io mapi za pokretanje, ako je tamo nešto nerazumljivo ili novo, možda je to virus, ali o tome kasnije. Česta ponovna pokretanja računala, prekid veze s internetom, prekid rada antivirusnih programa, nedostupnost Microsoftovog servera za ažuriranje sustava, nedostupnost web stranica antivirusnih tvrtki, greške prilikom ažuriranja antivirusa, greške uzrokovane promjenama u strukturi programa koji se plaćaju, poruka sustava Windows da izvršne datoteke su oštećeni, pojava nepoznatih datoteka u korijenskom direktoriju, Ovo je samo kratki popis simptoma zaraženog stroja. Osim izravnog zlonamjernog softvera, postoji takozvani spyware, to su sve vrste keyloggera, elektronskih ključeva i neželjenih "pomagača" za preglednik. Iskreno govoreći, na temelju metode detekcije mogu se podijeliti u dva suprotstavljena tabora. Recimo da je keylogger koji je dinamičkom bibliotekom priključen na ljusku operativnog sustava izuzetno teško otkriti u hodu, i obrnuto, pomoćnika (dodatak, traka za pretraživanje, itd.) koji je došao niotkuda (dodatak, traka za pretraživanje, itd.) ) u Internet Explorer (u pravilu) odmah upada u oči. Dakle, mislim da je vrijeme da ostavimo ovu pesimističnu bilješku i prijeđemo na realistične prakse otkrivanja i deaktivacije zlonamjernog softvera.
[Otkrivanje u hodu]
%WINDIR%\Driver Cache\driver.cab
zatim iz mapa za ažuriranje OS-a, ako postoje, zatim iz %WINDIR%\system32\dllcache\ i tek onda jednostavno iz
%WINDIR%\system32\
Možda će OS reći da su datoteke oštećene i zatražiti disk s distribucijskim kompletom, ne slažete se! Inače će se oporaviti i rupa će se ponovno otvoriti. Nakon što dovršite ovaj korak, možete početi lokalizirati virus. Zgodan mali program pod nazivom TCPView pomaže vam da vidite koje aplikacije koriste mrežnu vezu, ali neki crvi imaju dobar algoritam šifriranja ili se, još gore, spajaju na procese ili se maskiraju u procese. Najčešći proces za maskiranje je nedvojbeno servis svhost.exe, takvih procesa u upravitelju zadataka ima nekoliko, a ono što je najnevjerojatnije je da možete napraviti program s istim imenom i tada je gotovo nemoguće razlučiti tko je WHO. Ali postoji šansa i ovisi o pozornosti. Prije svega, potražite programera u upravitelju zadataka (ili još bolje u Process Exploreru). Za svhost.exe, čudno, ovo je M$; naravno, možete dodati lažne informacije virusnom kodu, ali ovdje postoji nekoliko nijansi. Prva i vjerojatno glavna stvar je da dobro napisan virus ne sadrži tablicu za uvoz ili podatkovne dijelove. Stoga takva datoteka nema resurse i stoga se ne može pisati u resurse kreatora. Ili možete stvoriti resurs, ali tada će se pojaviti dodatna veličina datoteke, što je krajnje nepoželjno za proizvođača virusa. Također moram reći o svhost.exe, ovo je skup sistemskih usluga i svaka usluga je pokrenuta datoteka s određenim parametrima. Sukladno tome, u Upravljačkoj ploči -> Administracija -> Usluge,
sadrži sve učitane usluge svhost.exe, savjetujem vam da izbrojite broj pokrenutih usluga i procesa svhost.exe, ako se ne slažete, onda je sve već jasno (samo ne zaboravite usporediti broj POKRETNIH usluge). Više detalja u Dodatku A.
Također treba napomenuti da je moguće da postoji virus među uslugama, mogu reći jednu stvar o ovome, popis usluga postoji na MSDN-u i na mnogim drugim mjestima na mreži, tako da samo uzimanje i uspoređivanje neće biti Problem. Nakon ovih koraka možete dobiti naziv datoteke koja bi mogla biti virus. Razgovarat ću još malo o tome kako izravno odrediti je li virus prisutan ili ne, ali sada se odvojimo od obrazloženja i pogledajmo još nekoliko točaka. Kao što vjerojatno već znate, za normalan rad OS-a trebate samo 5 datoteka u korijenskom direktoriju, tako da možete sigurno izbrisati sve ostale datoteke, osim ako naravno ne uspijete instalirati programe u korijenskom direktoriju. Usput, datoteke za normalan rad, evo ih: ntldr
boot.ini
datoteka stranice.sys
Bootfont.bin
NTDETECT.COM
Ne bi trebalo biti ništa više. Ako postoji, a ne znate odakle je došao, onda idite na poglavlje [Detaljna analiza]. Također ćemo pogledati pripajanje procesima u poglavlju [Detaljna analiza], a sada razgovarajmo o automatskom pokretanju. Naravno, virus se u pravilu mora nekako učitati kada se sustav pokrene. Sukladno tome, potražite sumnjive programe u sljedećim ključevima registra. (A ako ste već pronašli virus, onda potražite naziv datoteke posvuda u registru i izbrišite):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskSchedulerHKLM\
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Ovo je sve rečeno o otkrivanju jednostavnih crva. Naravno, teško je identificirati dobro skriveni virus. Za otkrivanje ovog crva i njegovo deaktiviranje trebalo mi je oko 10 minuta vremena; naravno, znao sam gdje tražiti, to je pojednostavilo zadatak. Međutim, recimo da je moguće detektirati dobar backdoor, keylogger, stealth virus ili jednostavno virus koji koristi presretanje poziva API funkcija datotečnog sustava (tada virus ispada doista nevidljiv), streaming virus , općenito, postoji niz drugih nijansi, ali takvih kreacija ima stvarno malo, malo pravih kreatora virusa ovih dana. Uznemirujuće je... Pokušat ću govoriti o njima u sljedećim člancima. Sada prijeđimo na spyware ili, kako ih buržoazija zove, SpyWare. Opet ću objasniti na primjerima špijuna koje sam osobno uhvatio, da moje riječi ne izgledaju kao prazne fantazije.
Počet ću svoju priču s najobičnijim špijunima. U jednom poznatom časopisu jedan ih je dobar programer ispravno nazvao magarećim buhama. Najjednostavniji špijun vrlo se često skriva iza alatne trake nevinog izgleda. Znajte da ako vam se, niotkuda, odjednom pojavi novi gumb ili traka za pretraživanje u vašem pregledniku, smatrajte da vas netko promatra. Vrlo je jasno vidljivo da ako se početna stranica vašeg preglednika iznenada promijeni, nema se što reći. Naravno, molim vas da mi oprostite zbog nekih netočnosti u terminima. Virusi koji mijenjaju početne stranice u pregledniku nisu nužno špijuni, no u pravilu je to slučaj i stoga ih ovdje u ovom članku klasificirajte kao špijune. Pogledajmo primjer iz života, kada sam došao na posao i vidio traku za pretraživanje čudnog izgleda u pregledniku na jednom računalu, kada sam pitao odakle dolazi, nisam dobio ništa. Morao sam to sam shvatiti. Kako špijun može ući u sustav? Postoji nekoliko metoda, kao što ste već primijetili, govorimo o Internet Exploreru, činjenica je da je najčešći način prodiranja virusa u sustav kroz preglednik korištenje ActiveX tehnologije, sama tehnologija je već poznata dovoljno opisano i na njemu se neću zadržavati. Također možete zamijeniti početnu stranicu, na primjer, jednostavnom Java skriptom koja se nalazi na stranici; s istim javascriptom možete čak i učitati datoteke i izvršiti ih na ranjivom sustavu. Banalno pokretanje programa navodno za gledanje slika s plaćenih stranica poznatog trenda u 98% slučajeva sadrži zlonamjerni softver. Kako bih znao gdje tražiti, reći ću da postoje tri najčešća načina na koje se špijuni pronalaze i rade na žrtvinom stroju.
Prvi je registar i ništa više, virus može sjediti u pokretanju ili uopće ne mora biti prisutan na računalu, ali ima jedan cilj - zamijeniti početnu stranicu preglednika kroz registar. Ako je virus ili skripta samo jednom zamijenio početnu stranicu, nema pitanja, trebate samo obrisati ovaj ključ u registru, ali ako se nakon čišćenja nakon nekog vremena ključ ponovno pojavi, tada je virus pokrenut i stalno pristupa registar. Ako imate iskustva u radu s debuggerima kao što je SoftIce, možete postaviti prijelomnu točku na pristup registru (bpx RegSetValueA, bpx RegSetValueExA) i pratiti koji program, osim standardnih, pristupa registru. Dalje logično. Drugi su upravo presretači sistemskih događaja, takozvani hookovi. Tipično, kuke se više koriste u keyloggerima i predstavljaju biblioteku koja prati i, ako je moguće, mijenja poruke sustava. Obično već postoji sam program i knjižnica koja mu je priložena, tako da ispitivanjem glavnog modula programa nećete dobiti ništa zanimljivo.
Za više informacija o ovoj i sljedećoj metodi pogledajte detaljnu analizu u nastavku poglavlja.
I na kraju, treći način je priložiti svoju biblioteku standardnim OS programima, kao što su explorer.exe i iexplorer.exe, drugim riječima pisanje dodataka za te programe. Ovdje opet postoji nekoliko načina, ovo je prilaganje pomoću BHO (Gorlum je pisao o samoj metodi privitka, koristeći ovu priliku da ga pozdravim i pohvalim ga) i jednostavno ugrađivanje vaše biblioteke u izvršnu datoteku. razlika je, koliko ja razumijem, u tome što je Browser Helper Object opisala i predložila sama M$ korporacija i koristi se kao dodatak za preglednik, a uvođenje biblioteka više nije toliko dodatak- kao samostalan program, koji više podsjeća na datotečni virus iz prošlosti.
Za opću obuku, dat ću vam ključeve registra gdje se mogu registrirati nekvalitetni proizvodi, u obliku alatnih traka, gumba i početnih stranica preglednika.
Početna stranica
Parametar HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main StartPage.
Parametar HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet Explorer\Main StartPage (S-1-5-21-.... ovaj ključ može biti drugačiji na različitim računalima)
Registriranje objekata kao što su gumbi, alatne trake itd.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
Ovdje su registrirani svi "pomagači", a ako ih nemate, ključ bi trebao biti prazan, ako nije prazan, onda ga obrišite.
Dakle, ako vam ne odgovaraju ove tipke, a želite to dalje shvatiti, onda potražite dalje.
[Tražim nešto bolje]
Budući da sam u trenutku pisanja ovog članka želio da bude razumljiv svima, ovo poglavlje će se nekome možda činiti nerazumljivim, ali sam pokušao sve pojednostaviti što sam više mogao. Neću vam objašnjavati arhitekturu PE datoteke, iako ćemo se pozvati na nju. Na internetu ima puno detaljnijih priručnika, a Iczelion je dobro napisao o PE datotekama, možda ću i ja to jednog dana opisati.
Dakle, za početak detaljne analize, trebat će nam neki alati, ja ih koristim u ovom slučaju i preporučujem korištenje PETools by NEOx i PEiD (Općenito možete proći s jednim Soft Iceom, ali bolje je imati više alata i jednostavnije; za reverzere , napominjem da ćemo sada govoriti o pregledu tablice uvoza i pakiranju datoteka, stoga zanemarite perverziju koju ćete vidjeti)
To znači, kao što sam već rekao, bio je takav slučaj da su se traka za pretraživanje i početna stranica pojavile u pregledniku niotkuda. Nakon provjere registra, nisam pronašao nikakve promjene na stat stranici, niti sam pronašao bilo kakvu registraciju dodataka u pregledniku. Nakon detaljnijeg pregleda, pokazalo se da se ovaj niz za pretraživanje (alatna traka je jednostavnija) pojavljuje u svim prozorima OS-a. Ovo je već malo promijenilo bit stvari. Pretpostavljao sam da to rade dva špijuna neovisna jedan o drugom i to upravo uvođenjem dinamičke knjižnice. Pritom je potrebno razlikovati da ako je alatna traka bila samo u pregledniku, to znači da je bila ugrađena u proces iexplorer.exe, no mi smo je imali posvuda, stoga ju je bilo potrebno provjeriti u exploreru. egz. Počeo sam provjeravati preglednik. Da bih to učinio, pokrenuo sam PETools i samo pogledao koje biblioteke preglednik koristi. Imao sam sreće u osobi neopreznog kreatora virusa; na pozadini sistemskih biblioteka iz %SYSTEMROOT% postojao je određeni smt.dll sa stazom koja ide negdje u TEMP. Ponovno pokrenite sustav u sigurnom načinu rada i uklonite ovu biblioteku, i sve je u redu, špijun je ubijen. Sve što preostaje je ponovno pozvati PETools, desnom tipkom miša kliknuti na naš proces i ponovno izgraditi datoteku. Ovo je najjednostavniji slučaj u mojoj praksi. Prijeđimo na sljedeći, pronađite i ukinite alatnu traku. Na isti način, pogledao sam proces explorer.exe i nisam našao ništa zapanjujuće. Iz ovoga slijede dvije mogućnosti: ili ne znam sve biblioteke napamet, pa je alatna traka izgubljena među njima, ili nemam znanja da je pronađem. Srećom prvi je izašao. Ali kako onda razlikovati pravu knjižnicu od lažne? Reći ću vam, pa ćete sami shvatiti. Kao što znate, proizvođači virusa jure za minimizacijom koda i enkripcijom. To jest, u pravilu, više od jedne alatne trake neće biti u otvorenom obliku, prvo, kod se može smanjiti, što znači da je potrebno, i drugo, ako netko (obično čak ni antivirusni program, već konkurent) otkrije ovo biblioteku, onda im je lakše razumjeti nešifrirani kod. Stoga uzimamo PEiD i izvodimo masovno skeniranje uvezenih biblioteka. Microsoftove biblioteke prirodno su napisane u Visual C++ i nisu zapakirane s ničim, pa ako vidimo (a upravo sam vidio sumnjivi seUpd.dll zapakiran s UPX-om) zapakiranu ili šifriranu biblioteku, onda je 99% vremena ovo ono što tražili. Provjerava li ona to ili ne, vrlo je jednostavno, pomaknite ga u sigurnom načinu rada i pogledajte rezultat. Naravno, možete ga raspakirati, pogledati popis dizajna i razmisliti o tome što radi, ali nemojmo ulaziti u to. Ako niste pronašli zapakiranu biblioteku, onda je korisno koristiti uređivač resursa kao što je Restorator da pogledate verzije datoteka, kao što sam već rekao, sve biblioteke iz M$-a imaju to zapisano tamo. Ovdje proizvođači virusa griješe. Trebalo bi ih biti sram što uopće pišu takve viruse. Na kraju, želio bih napomenuti da *.dll biblioteka ne može nužno biti ugrađena u procese. Windows OS ima korisnu aplikaciju koja se zove rundll32.exe i pomoću ovog procesa mogu pokrenuti bilo koju biblioteku. I pritom, nije potrebno pisati rundll32.exe myspy.dll u pokretanju, dovoljno je to napisati unutar zaražene datoteke. Tada ćete vidjeti samo svoje vlastite (zaražene datoteke koje vjerojatno neće otkriti antivirusni program) i rundll32.exe proces, i ništa više. Što učiniti u takvim slučajevima? Ovdje ćemo morati dublje istražiti strukturu datoteke i OS-a, pa ćemo to ostaviti izvan okvira ovog članka. Što se tiče pakiranja/šifriranja virusa, to se ne odnosi samo na biblioteke, već i na sve sistemske datoteke. Na ovoj ugodnoj noti želim završiti glavni dio članka; puno je napisano, ali ovo je samo 1% svih metoda otkrivanja. Moja metoda možda nije najbolja, ali sam je koristim i prilično je produktivna (dobro, samo ne na mom računalu). Ako bude moguće, ako bude moguće, napisat ću nastavak o makro virusima, keyloggerima i backdoorima, ukratko o onome što sam već uhvatio.
[Zahvale]
Želio bih izraziti svoju zahvalnost svima s kojima komuniciram što postoje.
I ljudima koji su utjecali na mene i nekako me usmjerili na pravi put:
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0, _4k_, foster, itd.
[Dodatak A]
Popis sistemskih usluga svhost.exe (WinXP)
DHCP clientvchost.exe -k netsvcs
DNS klijent svchost.exe -k NetworkService
Automatski ažuriraj svchost.exe -k netsvcs
Sekundarna prijava svchost.exe -k netsvcs
Upravitelj logičkih diskova svchost.exe -k netsvcs
Pokretanje DCOM poslužitelja obrađuje svchost -k DcomLaunch
Windows Management Instrumentation svchost.exe -k netsvcs
Promijenjen klijent za praćenje veze svchost.exe -k netsvcs
Modul podrške za NetBIOS preko TCP/IP svchost.exe -k LocalService
Računalni preglednik svchost.exe -k netsvcs
Odredite hardver ljuske svchost.exe -k netsvcs
Radna stanica svchost.exe -k netsvcs
Poslužitelj svchost.exe -k netsvcs
Usluga vraćanja sustava svchost.exe -k netsvcs
Windows Time Service svchost.exe -k netsvcs
Usluga evidentiranja pogrešaka svchost.exe -k netsvcs
Kriptografske usluge svchost.exe -k netsvcs
Pomoć i podrška svchost.exe -k netsvcs
Teme svchost.exe -k netsvcs
Obavijest o događaju u sustavu svchost.exe -k netsvcs
Poziv udaljene procedure (RPC) svchost -k rpcss
Sigurnosni centar svchost.exe -k netsvcs
Upravitelj auto veze s udaljenim pristupom svchost.exe -k netsvcs
HTTP protokol SSLsvchost.exe -k HTTPFilter
Proširenja upravljačkog programa WMI svchost.exe -k netsvcs
Usluga prijenosa slika (WIA)svchost.exe -k imgsvc
Usluge pružanja mreževchost.exe -k netsvcs
Usluga serijskih brojeva prijenosnih medija
svchost.exe -k netsvcs
Kompatibilnost s brzim mijenjanjem korisnika
svchost.exe -k netsvcs
Removable storagesvchost.exe -k netsvcs
Generički PnP uređaj Hostsvchost.exe -k LocalService
Application managementsvchost.exe -k netsvcs
Pozadinske usluge inteligentnog prijenosavchost.exe -k netsvcs
Upravljači vezama za daljinski pristupvchost.exe -k netsvcs
Mrežne vezesvchost.exe -k netsvcs
Sustav događaja COM+svchost.exe -k netsvcs
SSDP Discovery Service svchost.exe -k LocalService
Usluga mrežne lokacije (NLA)svchost.exe -k netsvcs
Terminal Servicessvchost -k DComLaunch
Telephonysvchost.exe -k netsvcs
Windows Audiosvchost.exe -k netsvcs
Pristup HID uređajimasvchost.exe -k netsvcs
Usmjeravanje i udaljeni pristupsvchost.exe -k netsvcs
Najavljivač svchost.exe -k LocalService
Planeri zadatakavchost.exe -k netsvcs
Usluga slanja poruka svchost.exe -k netsvcs
----------- Ukupno šest procesa kada su sve usluge pokrenute -------
Sadržaj
Pozdrav svima!
Želim započeti ovaj članak s jednom jednostavnom istinom: "Ako antivirus ne pronađe niti jedan virus, to ne znači da ga nema na vašem računalu!"
Zapravo, vrlo često se događa sljedeća slika: kada koristite web preglednike (Firefox, Chrome, Opera, itd.) - pojavljuju se razne reklame (gdje ih prije nije bilo), otvaraju se kartice, mogu se pojaviti banneri na radnoj površini (nije neugodan sadržaj, na primjer, oni koji traže slanje SMS poruke), računalo se može usporiti i zamrznuti, itd.
Svi ovi faktori (posebno ukupno) pokazuju da se na vašem računalu nalazi neželjeni softver (, reklamne skripte, trojanci, itd.).
Štoviše, obični antivirusni program, čak i nakon potpunog skeniranja računala, često piše da je sve u redu, virusi nisu pronađeni. I u ovom trenutku postoji osjećaj da ovdje nešto nije u redu: računalo se čudno ponaša, ali antivirus je neaktivan...
Zapravo, u ovom članku želim preporučiti mali recept za čišćenje samo za takve slučajeve kada nije sasvim jasno kako vratiti računalo u normalan rad (kada je po svim pokazateljima računalo zaraženo virusom, ali ih obični antivirus ne vidi...).
Pomoći!
Unatoč onome što sam gore napisao, ipak preporučam imati jedan od modernih antivirusnih programa (zaštitit će vas od stotina drugih prijetnji). O najboljima od njih u ovom članku:
(čišćenje Windowsa od klasičnih virusa, alatnih traka, adwarea itd.)
"Prva pomoć:
- Ne šaljite SMS-ove jer to zahtijevaju neki banneri koji iskaču na radnoj površini. Vaše računalo najvjerojatnije neće biti “izliječeno” od ove infekcije, a mogli biste izgubiti novac...
- Instalirajte moderni antivirus (link na najbolje proizvode nalazi se gore). Napominjem da neke vrste virusa blokiraju pristup stranicama poznatih antivirusa (ako je to slučaj, pokušajte preuzeti slične proizvode s drugih softverskih stranica);
- Odmah napravite sigurnosnu kopiju svih važnih podataka, po mogućnosti na prijenosnom mediju (za budućnost: preporučljivo je to učiniti unaprijed);
- Ako je virus blokirao pristup radnoj površini (blokirao sve alate sa svojim natpisima), pokušajte učitati Windows. U krajnjem slučaju, koristite .
KORAK 1: provjera sustava pomoću online antivirusa
Mnogi programeri poznatih antivirusnih programa nedavno su objavili online verzije svojih proizvoda. Princip rada s njima je prilično jednostavan: preuzimanjem "relativno" male datoteke i njezinim pokretanjem automatski će provjeriti vaš sustav na viruse.
Štoviše, takvi proizvodi nisu u sukobu s instaliranim antivirusnim programom u sustavu, rade u svim modernim verzijama sustava Windows, ne zahtijevaju instalaciju i uvijek imaju ažurnu antivirusnu bazu podataka.
Snimka zaslona u nastavku prikazuje postupak provjere računala pomoću ESET Online Scannera (veza na softver -)
Sljedeća snimka zaslona prikazuje rad uslužnog programa za iscjeljivanje tvrtke F-Secure -
Također popularan u našoj zemlji je Dr.Web CureIt! (izravna poveznica: ). Datoteka za preuzimanje ipak je nešto veća od prve dvije (oko 200 MB).
Općenito, bez obzira koji proizvod odabrali, preporučujem da u potpunosti pokrenete svoj sustav s njim. Često je moguće pronaći desetke prijetnji koje je instalirani antivirus propustio...
KORAK 2: Uklonite dodatke za oglase pomoću AdwCleanera
Mogu reći da u zadnje vrijeme nisu mnogo češći klasični virusi, već adware i trojanci. Ugradnja u najpopularnije aplikacije (preglednici, na primjer)Često ometaju normalan rad, jednostavno ometaju nametljivošću ili čak blokiraju potrebne opcije.
Stvar je u tome što su oni na neki način "ugrađeni" u preglednik (na primjer, pod krinkom dodatka ili neke vrste dodatka), ponekad dodaju potrebne retke prečacu preglednika, promijene datoteku itd.
Srećom, postoje programi za čišćenje Windowsa od ovih zlonamjernih skripti, a ja ću vam preporučiti jedan od njih u nastavku. Radi paralelno s vašim antivirusom (tj. nema potrebe za brisanjem) i može se riješiti lavljeg dijela problema.
Nakon pokretanja AdwCleanera, da biste započeli skeniranje računala, trebate samo pritisnuti jedan gumb " Skeniraj sada" (ili "Skeniraj", ovisno o prijevodu). Pogledajte snimak zaslona u nastavku.
AdwCleaner: glavni prozor (gumb za početak skeniranja "Skeniraj sada")
Vrijeme za provjeru sustava Windows na "prosječnom" računalu prema današnjim standardima bit će samo 3-5 minuta. (ili čak brže). Sav potencijalno neželjeni softver pronađen tijekom skeniranja bit će automatski uklonjen i izoliran (tj. korisnik ne mora znati apsolutno ništa, što mi se zapravo sviđa).
Bilješka!
Nakon provjere vašeg računala, hoće automatski ponovno pokrenuti. Nakon pokretanja sustava Windows dobit ćete izvješće o testiranju sustava Windows.
KORAK 3: Skenirajte s Malwarebytes Anti-Malware
M alwarebytes Anti-Malware
Malwarebytes Anti-Malware / Logotip
Još jedan odličan program za borbu protiv virusa, crva, trojanaca, spywarea itd. Malwarebytes Anti-Malware donekle nadopunjuje mogućnosti prethodnog programa - implementira poseban algoritam "kameleon", koji mu omogućuje da radi čak i kada virus blokira pokretanje bilo kojeg drugog antivirusnog programa!
Značajke programa:
- - skeniranje svih diskova u sustavu;
- - ažuriranje baze podataka na dnevnoj bazi (za suzbijanje čak i novonastalih virusa);
- - heuristička analiza (omogućuje otkrivanje velikog broja zlonamjernih datoteka koje još nisu u bazi podataka);
- - sve izolirane datoteke su u karanteni (ako program napravi pogrešku, možete vratiti bilo koju od njih);
- - popis iznimaka datoteka (koje nije potrebno skenirati);
- - zahvaljujući tehnologiji Chameleon, program se može pokrenuti čak i kada su svi slični programi blokirani virusom;
- - Podrška za ruski jezik;
- - podrška za sve popularne Windows OS: Vista, 7, 8, 10.
Za početak skeniranja vašeg Windows sustava pokrenite Malwarebytes Anti-Malware, otvorite odjeljak "Skeniraj" (ili "Skeniraj") i kliknite gumb na dnu ekrana - "Skeniraj sada" (ili “Počni provjeravati” ako imate rusku verziju, pogledajte snimak zaslona u nastavku).
Usput, iz vlastitog iskustva mogu reći da Malwarebytes Anti-Malware radi izvrstan posao. Nakon skeniranja i čišćenja većina neželjenog softvera bit će neutralizirana i uklonjena. Općenito, preporučujem da ga pogledate!
4. KORAK: Vratite postavke sustava
Nakon što je vaše računalo (prijenosno računalo) skenirano (i neutralizirano) prethodnim uslužnim programima, preporučujem da ga pokrenete s još jednim zanimljivim i korisnim programom - AVZ. Više puta sam ga preporučio na stranicama bloga, ali sada ću preporučiti tri koraka koja je potrebno poduzeti u njemu kako bi se problemi uklonili (ako još ostanu) ...
Usput, AVZ vam omogućuje vraćanje nekih postavki sustava Windows, pristup dispečerima i drugim točkama (koje bi virusi mogli oštetiti tijekom infekcije).
A VZ
Ovaj antivirusni uslužni program dizajniran je za uklanjanje čitavog niza zlonamjernog softvera (od kojih se neki, usput rečeno, ne mogu vidjeti ili otkriti uobičajenim antivirusnim programom). Na primjer, kao što su:
- Trojanski programi;
- Dodaci i alatne trake u web pregledniku;
- SpyWare i AdWare moduli;
- BackDoor moduli;
- Mrežni crvi, itd.
Što je još zadivljujuće u vezi s njim: da biste započeli i skenirali Windows sustav, samo trebate preuzeti ZIP arhivu s programom, raspakirati ga i pokrenuti (tj. ne morate instalirati, konfigurirati itd.). Proći ću kroz tri koraka u nastavku u članku koje vam preporučujem da učinite u njemu...
Kako skenirati računalo na virus u AVZ-u
Nakon pokretanja programa odaberite pogon sustava (barem njega, po mogućnosti sve). Obično je uvijek označen karakterističnom ikonom.
Nakon toga, na desnoj strani ekrana kliknite gumb "Start" za početak skeniranja (usput, iznad gumba "Start" možete odmah odabrati što učiniti sa zlonamjernim softverom, na primjer, izbrisati ).
Početak provjere u AVZ | Može se kliknuti
U pravilu, provjera diska sustava Windows na viruse je prilično brza (5-10 minuta). Usput, preporučam da prije takvog skeniranja privremeno isključite glavni antivirusni program (ovo će donekle ubrzati skeniranje).
Kako zatvoriti rupe u postavkama u sustavu Windows
(što može dovesti do infekcije računala)
Nije tajna da Windows ima neke postavke koje ne zadovoljavaju optimalne sigurnosne zahtjeve. Na primjer, između ostalog, automatsko pokretanje umetnutih diskova i flash pogona. I, naravno, neke vrste virusa to iskorištavaju...
Da biste isključili takve postavke i zatvorili takve rupe, u AVZ-u samo otvorite izbornik "Datoteka/Čarobnjak za rješavanje problema" (pogledajte snimak zaslona u nastavku).
Nakon skeniranja dobit ćete izvješće s onim parametrima koje želite promijeniti. Preporučujem da provjerite sve retke i kliknete "Ispravi" (usput, AVZ samostalno optimizira one parametre koji, po njegovom mišljenju, ne zadovoljavaju sigurnost - dakle, nema ručnog rada!) .
Kako vratiti postavke sustava u Windows
(koje je izmijenio zlonamjerni softver)
Nakon što je vaše računalo zaraženo virusima, adwareom itd., mnogi parametri i postavke sustava u Windowsima se mijenjaju. Na primjer, možda su vam neke stranice blokirane za gledanje, možda vam je zabranjeno otvaranje uređivača registra, postavke Internet Explorera su promijenjene itd.
Kako bi se sve ovo vratilo u normalu, uslužni program AVZ ima posebnu karticu za vraćanje svih najosnovnijih parametara. Da biste ga otvorili, kliknite: "Vraćanje datoteke/sustava" (kao na slici ispod).
Zatim ćete vidjeti popis onoga što se može vratiti: samo označite okvire koje trebate (usput, sve možete označiti) i pritisnite gumb " Izvršite označene operacije".
U pravilu, nakon završetka obnove, računalo počinje raditi normalno.
Ako gore navedeno ne pomogne, obratite pozornost na još nekoliko savjeta u koraku 5...
1. Skenirajte sustav u sigurnom načinu rada
U nekim je slučajevima čišćenje računala od virusa bez sigurnog načina rada nerealno! Činjenica je da u sigurnom načinu rada Windows učitava minimalni skup softvera bez kojeg je njegov rad nemoguć (tj. mnogo neželjenog softvera jednostavno ne radi u ovom načinu!).
Dakle, velik dio onoga što se ne može ukloniti u normalnom načinu rada može se lako ukloniti u sigurnom načinu rada.
Ako ne možete pokrenuti uslužne programe koje sam gore preporučio, pokušajte ih pokrenuti u sigurnom načinu rada. Sasvim je moguće da će se ne samo otvoriti, već i pronaći sve što se od njih “krije”...
Za ulazak u siguran način rada- prilikom pokretanja računala pritisnite tipku nekoliko puta F8- u odgovarajućem izborniku koji se pojavi odaberite ovaj način rada.
Upute! Kako ući u siguran način || Windows 7÷10 -
2. Vraćanje sustava
Ako imate točku vraćanja koja je stvorena prije nego što su virusi i adware zarazili vaše računalo, moguće je da će vraćanje na nju popraviti situaciju...
Pomoći!
Kako se ne bih ponavljao, preporučujem da pročitate moj članak o oporavku sustava:
3. Ponovno instalirajte Windows
Općenito, nisam pristalica reinstalacije sustava za svaki "kihanje". Ali u nekim je slučajevima mnogo lakše i brže ponovno instalirati sustav nego patiti od zlonamjernog softvera.
Upute! Instalacija sustava Windows 10 s USB flash pogona (svi koraci korak po korak) -
Ovim se završava članak.
