Antivirus: Chi sei?
Virus: Area dati!
Antivirus: Non è un virus?
Virus: No, mio Dio!
Antivirus: Perché stai intercettando gli interrupt?
Virus: IO?!
Antivirus: Ecco la subroutine!
Virus: Questa non è una subroutine. Questa è una citazione di Lao Tzu nella lingua originale in una codifica alternativa...
Antivirus: Per che cosa exe Stai cercando dei file?
Virus:Cosa succede se il proprietario chiede: “Dove sono i miei exe-File? E gliel'ho detto – Eccoli!
Antivirus: Mi sembra che tu sia pur sempre un virus...
Virus: Ok, te lo confesserò, ma non dirlo a nessuno! Infatti, sono... un vaccino antivirale!
Antivirus: Perché abbiamo bisogno di un vaccino antivirale se ci sono io?
Virus: Come lo so? Chiedi al proprietario.
Antivirus: E se ti uccidessi, per ogni evenienza?
Virus: E se ti amo?..
Antivirus: Non funzionerà! Ho il controllo!
Virus: E tu sei tuo somma di controllo Conti da molto tempo?
Antivirus: Cosa c'entra il mio test... oh!!!
Virus:È lo stesso...
Vediamo chi ha bloccato di nuovo Windows e chiede di inviare un SMS numero a pagamento. Ma prima della schermata di benvenuto sistema operativo non è mai stato realizzato. Subito dopo aver controllato il POST (Power-On Self-Test, per chi fosse interessato), sulla stessa schermata nera in lettere multicolori mi è stato comunicato che “Sei stato multato per aver visualizzato materiale pedopornografico... Invia un SMS del valore di 600 rubli a un abbonato MTS con questo o quel numero, altrimenti -...", e varie minacce sulla cancellazione di tutti i dati personali e le password sui siti porno. Sto cercando di comporre il numero utilizzando il metodo cieco con dieci dita. numero arbitrario sulla tastiera premo Invio e Misha sta già gridando che ora tutti i suoi giocattoli verranno cancellati. Ma non è esploso nulla, e non hanno suonato nemmeno gli allarmi delle auto parcheggiate nel cortile. Ma è sorta la prima domanda: il sistema operativo ha già iniziato a funzionare o il virus è registrato nel boot settore difficile disco? Controlliamo. Riavvio, premo più volte F8, ma ancora una volta sullo schermo appare la stessa immagine invece di chiedermi di selezionare modalità sicura. Ciò significa che il virus è ancora nell'MBR (Master Boot Record, continuiamo la lezione).
Necessario disco di avvio. Virus nel settore zero disco rigido riceve il controllo dopo che il BIOS (Basic Input/Output System, beh, sono proprio come Wikipedia oggi!) controlla ordine stabilito avvio dai dispositivi rilevati. Ciò significa che l'avvio da CD non può essere disabilitato da un virus, a meno che non sia registrato nel BIOS stesso, cosa molto rara in Ultimamente. Estraggo il disco con ERD Commander, lo avvio e premo immediatamente il pulsante che corregge gli errori nell'MBR. Il disco non è più necessario. Windows si avvia, l'abbonato MTS non chiede soldi.
Passiamo all'ispezione programmata. Esplora processi invece del task manager standard ce lo dovrebbero mostrare tutti residenti locali con i dati del passaporto e gli indirizzi di registrazione. A prima vista, non c'è nulla di superfluo. Ma un occhio esperto sospetta due processi svchost.exe lanciati da explorer.exe con una strana riga di comando: "-k netsvcs". In primo luogo, svchost deve essere avviato da services.exe e, in secondo luogo, anche il nome del processo stesso deve essere indicato sulla riga di comando, ad es. "svchost.exe -k netsvc". Gli autori dei virus si sono rivelati disattenti ai dettagli e si sono dimenticati di mettersi il mantello dell'invisibilità sulla testa.
Per accelerare il processo di esorcizzazione dei demoni, ho pensato di poter chiedere al signor Google a che tipo di azioni distruttive erano già stati esposti i virus dell'MBR, e scoprire così le apparenze, le password e le chiavi di registro. Lancio Chrome e non riesco ad aprire nessuna pagina. È presente l'accesso a Internet, il file c:\windows\system32\drivers\etc\hosts è pulito, il ping di google.com viene eseguito correttamente dalla console. Internet Explorer e Opera cadono al decollo da errore sconosciuto. FireFox non è installato. Bene, forse ha trovato un virus astuto file eseguibili browser e li ho sostituiti con qualcosa, o semplicemente con quale libreria ho inserito nella loro cartella. Installo FireFox da un'unità flash, dovrebbe essere come una sposa nella sua prima notte di nozze. Ma anche l'Ognelis puro è afflitto dallo stesso problema. Devi guardare il processo di caricamento, forse è una perdita di tempo scrivere un programma speciale per questo! Lancio il mio Process Launch Watcher come amministratore, trovo il binario opera.exe e lo apro. Il browser è stato avviato. Non c'è niente di sbagliato nel log, servono tutte le librerie, nessuna si è iscritta. Provo a caricare di nuovo Opera da solo: lo stesso problema. E se per conto dell'amministratore? Ed è così che funziona. Già interessante! Ma il significato non è chiaro.
Iniziamo a cercare i colpevoli. Guardo rapidamente attraverso la radice disco di sistema. Niente di strano tranne due papà con nomi spazzatura a 16 anni simboli casuali. All'interno si trovano alcuni file con estensione .dat e una serie di codici esadecimali incomprensibili. Ucciso. Ma sono immediatamente resuscitati. Oh! Solo un uccello fenice in tempo reale! In Process Explorer, elimino due copie di svchost.exe che non mi piacevano prima, elimino di nuovo queste cartelle: silenzio. Ma questo è lontano, hanno cliccato sul naso del drago sputafuoco e niente di più. Dobbiamo cercare dove si trova un posto non protetto nel suo guscio per poter sparare una carica dal Cannone dello Zar. Rotolo nella linea di fuoco dell'AVZ. Il registro contiene un driver incomprensibile 2870456drv.sys, situato in C:\Windows\system32\drivers. All'avvio è nascosto un file senza nome: ".exe" all'indirizzo C:\Users\<Пользователь>\AppData\Roaming\Microsoft\Windows\Menu Avvio\Programmi\Avvio\.exe e accanto ad esso 4nIcwkcvSVc.exe. Inoltre, AVZ ha fortemente maledetto il fatto che il suddetto driver abbia intercettato ben 52 funzioni Kernel di Windows responsabile di le connessioni di rete, gestione dei processi, manipolazione di file e registri, nonché alcune informazioni. Lista completa Non ne parlerò, non ce n'è bisogno. Anche lo scanner si rianima lettura diretta sppcomapi.dll, ma questa è probabilmente una conseguenza del lavoro Attivatore di Windows, ad esempio, come >mine :) Dopo il riavvio e l'esecuzione di un altro registro standard, il driver è stato rinominato in 11296972.sys. Tuttavia, non c'erano più segnalazioni di intercettazioni di funzioni.
Ho inserito tutti i violatori nello script per AVZ e l'ho eseguito. Il virus nell'MBR si è rivelato essere un normale ransomware avido, un driver con aspetto e cognome in costante cambiamento mediante intercettazione funzioni del sistema Il sistema operativo ha tentato di ingannare l'utente camuffando goffamente i nomi dei suoi processi come svchost.exe. E i browser ora si caricano normalmente anche senza l'aiuto dell'amministratore. La vittoria è alla vigilia del Giorno della Vittoria e non ci hanno ancora offerto una cena festiva.
Silenzio. Il computer non funziona. I proprietari periodicamente gli lanciano uno sguardo triste e sospirano. Un ragazzo Misha, di dieci anni, riferisce di aver bisogno di pagare dei soldi ad un abbonato MTS per accendere il proprio computer. Purtroppo. Ma proverò comunque a farlo gratuitamente. Premo il pulsante di accensione con il pensiero che io stesso non mi dispiacerebbe una cena deliziosa, ma probabilmente farò di nuovo tutto velocemente, quindi è improbabile che abbiano il tempo di darmi da mangiare.
Vediamo di nuovo chi è Windows bloccato e chiede di inviare un SMS ad un numero a pagamento. Ma non è mai arrivato alla schermata di benvenuto del sistema operativo. Subito dopo il controllo INVIARE (Autotest all'accensione, per chi fosse interessato), sullo stesso schermo nero in lettere multicolori mi informavano che " Sei multato per aver visto materiale pedopornografico... Inviare SMS del valore di 600 rubli per un abbonato MTS con questo o quel numero, altrimenti - ... ", e varie minacce sull'eliminazione di tutti i dati personali e le password sui siti porno. Provo a digitare ciecamente un numero arbitrario sulla tastiera usando i dieci- metodo dito, premi Invio e Misha già grida che ora tutti i suoi giocattoli verranno cancellati. Ma non è esploso nulla, anche gli allarmi non hanno cigolato sulle macchine parcheggiate nel cortile. Ma è sorta la prima domanda: il sistema operativo ha già iniziato a funzionare , oppure il virus è entrato nel settore di avvio del disco rigido? Controlliamo. Riavvio alcune volte, premo F8 una volta, ma sullo schermo appare di nuovo la stessa immagine invece di chiedermi di selezionare la modalità provvisoria. virusè seduto nell'MBR (Registro di avvio principale, continua la lezione).
È richiesto un disco di avvio. Successivamente il virus nel settore zero del disco rigido prende il controllo BIOS (Sistema di input/output di base, beh, sono proprio come Wikipedia oggi!) controlla l'ordine di avvio stabilito dai dispositivi rilevati. Ciò significa che l'avvio da CD non può essere disabilitato da un virus, a meno che non sia scritto nel BIOS stesso, cosa molto rara al giorno d'oggi. Estraggo il disco con ERD Commander, lo avvio e premo immediatamente il pulsante che corregge gli errori nell'MBR. Il disco non è più necessario. Windows si avvia, l'abbonato MTS non chiede soldi.
Passiamo all'ispezione programmata. Process Explorer, invece del task manager standard, dovrebbe mostrarci tutti i residenti locali con i dati del passaporto e gli indirizzi di registrazione. A prima vista, non c'è nulla di superfluo. Ma due processi cadono sotto il sospetto di un occhio esperto: svchost.exe, lanciato da sotto explorer.exe con una strana riga di comando: " -k netsvcs ". In primo luogo, svchost.exe deve essere lanciato da sotto services.exe come me già ha scritto a riguardo e in secondo luogo, sulla riga di comando deve essere indicato anche il nome del processo stesso, ad es. " svchost.exe -k netsvc "Gli autori del virus si sono rivelati disattenti ai dettagli e si sono dimenticati di nascondere la tenda sotto il mantello dell'invisibilità.
Per accelerare il processo di esorcizzazione dei demoni, ho pensato di poter chiedere al signor Google quali azioni distruttive sono già state rivelate virus provenienti dall'MBR, così scoprire presenze, password, chiavi anagrafiche. Lancio Chrome e non riesco ad aprire nessuna pagina. C'è accesso a Internet, file c:\windows\system32\drivers\etc\hosts - pulito, il ping di google.com viene eseguito correttamente dalla console. Internet Explorer e Opera si bloccano al decollo con un errore sconosciuto. FireFox non è installato. Bene, forse un virus astuto ha trovato i file eseguibili dei browser e li ha sostituiti con qualcosa, o semplicemente ha lasciato qualche libreria nella loro cartella. Installo FireFox da un'unità flash, dovrebbe essere come una sposa nella sua prima notte di nozze. Ma anche l'Ognelis puro è afflitto dallo stesso problema. Devi guardare il processo di caricamento, è necessario uno speciale programma L'ho scritto per questo! Sto lanciando il mio Osservatore avvio processo per conto dell'amministratore trovo il binario opera.exe e lo apro. Il browser è stato avviato. Non c'è niente di sbagliato nel log, servono tutte le librerie, nessuna si è iscritta. Provo a caricare di nuovo Opera da solo: lo stesso problema. E se per conto dell'amministratore? Ed è così che funziona. Già interessante! Ma il significato non è chiaro.
Iniziamo a cercare i colpevoli. Guardo rapidamente la radice del disco di sistema. Niente di strano, tranne due cartelle con nomi spazzatura di 16 caratteri casuali. All'interno si trovano alcuni file con estensione .dat e una serie di codici esadecimali incomprensibili. Ucciso. Ma sono immediatamente resuscitati. Oh! Solo un uccello fenice in tempo reale! In Process Explorer elimino due copie che non mi piacevano prima svchost.exe, Sto cancellando di nuovo questi papà: silenzio. Ma questo è lontano, hanno cliccato sul naso del drago sputafuoco e niente di più. Dobbiamo cercare dove si trova un posto non protetto nel suo guscio per poter sparare una carica dal Cannone dello Zar. Rotolo nella linea di fuoco dell'AVZ. Nel registro è presente un driver sconosciuto 2870456drv.sys seduto dentro C:\Windows\system32\drivers. C'è un file senza nome in agguato all'avvio - " .exe" dall'indirizzo C:\Utenti\<Пользователь>\AppData\Roaming\Microsoft\Windows\Menu Avvio\Programmi\Avvio\.exe e accanto a lui c'è qualcuno 4nIcwkcvSVc.exe. Inoltre AVZ si è fortemente lamentata del fatto che il suddetto driver ha intercettato ben 52 funzioni del kernel di Windows, responsabili delle connessioni di rete, della gestione dei processi, della manipolazione dei file e del registro, nonché di alcune informazioni. Non fornirò un elenco completo, non ce n’è bisogno. Lo scanner si è anche rianimato riguardo alla lettura diretta sppcomapi.dll, ma questa è probabilmente una conseguenza del lavoro Attivatore di Windows, ad esempio, come Mio. Dopo aver riavviato ed eseguito un altro standard Scritta AVZ si è scoperto che il driver è stato rinominato in 11296972.sys. Tuttavia, non c'erano più segnalazioni di intercettazioni di funzioni.
Ho inserito tutti i violatori nello script per AVZ e l'ho eseguito. Virus nell'MBR si è rivelato un normale ransomware avido, un driver dall'aspetto e dal cognome in continua evoluzione che intercettando le funzioni di sistema del sistema operativo ha cercato di ingannare l'utente, mascherando goffamente i nomi dei suoi processi sotto svchost.exe. E i browser ora si caricano normalmente anche senza l'aiuto dell'amministratore. La vittoria è alla vigilia del Giorno della Vittoria e non ci hanno ancora offerto una cena festiva.
Descrizione del problema: Subito dopo aver acceso il computer, inizia la procedura di verifica INVIARE (Accensione Test di autoverifica
). Procedura INVIARE legge il record di avvio principale dal disco rigido ( MBR - Registro di avvio principale) e lo scrive in RAM computer. casa registro di avvio contiene un programma di avvio e una tabella delle partizioni che descrive tutto sezioni di duro disco. I virus di avvio, quando infetti, sostituiscono il record di avvio principale, dopodiché il computer si avvia come al solito, ma il virus è già in memoria e può controllare il funzionamento di tutti i programmi e driver. Successivamente, ogni volta che il computer si avvia, il virus prende il controllo e si posiziona nella memoria.
Soluzioni al problema: Se l'antivirus non riesce a rimuovere il virus da MBR settore, quindi per risolvere il problema è possibile utilizzare utilizzando Windows, vale a dire, ripristino del sistema. È possibile utilizzare Ripristino configurazione di sistema per sovrascrivere il Master Boot Record partizione di avvio, e quindi rimuovere il virus. Per funzionare avrai bisogno di un disco di avvio di Windows.
Per avviare il ripristino del sistema, è necessario avviare il computer da un disco di avvio. Per eseguire l'avvio da un disco di avvio è necessario accendere il computer e premere il pulsante Elimina per accedere Impostazioni del BIOS, Installa l'avvio da CD-ROM. Inserisci il disco di avvio con l'installazione Pacchetto Windows e riavviare il computer. Quando Programma di installazione di Windows caricherà i suoi file nella RAM del PC, apparirà la finestra di dialogo Installazione di Windows, contenente un menu di selezione dal quale è necessario selezionare *Per ripristinare Windows utilizzando la Console di ripristino, fare clic su .
È necessario premere un tasto R. Verrà caricata la Console di ripristino. Se sul PC è installato un sistema operativo ed è (per impostazione predefinita) installato su disco C:,
quindi apparirà il seguente messaggio:
In quale copia di Windows devo registrarmi?
È necessario entrare 1 , premere accedere e inserisci la password dell'amministratore. Viene visualizzato il prompt del sistema, immettere fixmbr.
Viene visualizzato un messaggio:
**AVVERTIMENTO**
Questo computer ha un Master Boot Record non standard o non valido. L'utilizzo di FIXMBR potrebbe danneggiare la tabella delle partizioni esistente. Ciò comporterà la perdita dell'accesso a tutte le sezioni attuale dura disco.
L'altro giorno mi sono imbattuto in un nuovo virus in contumacia (dove li trovi, per Dio?), che chiede di trasferire circa 25 dollari su un determinato portafoglio Webmoney per pagare una multa per aver visualizzato, copiato e riprodotto video per adulti.
Con “in contumacia” intendo che io stesso non ho rimosso il virus, quindi potrei sbagliarmi. Lo screenshot è stato inviato tramite mms e, a quanto pare, il virus viene caricato prima dell'avvio di Windows.
Oltre a rimuovere il virus, oggi impareremo anche come ripristinarlo settore di avvio Windows XP e 7.
Prima di tutto dobbiamo scoprire quando viene scaricato il virus. Questo è abbastanza facile da determinare: è necessario controllare la reazione del PC combinazioni standard chiavi:
- Windows+L: cambia utente
- Ctrl+Alt+Canc o Ctrl+Shift+Esc - gestione attività
Se premendo Ctrl+Alt+Canc si riavvia il PC o non succede nulla, allora possiamo dire che il virus è stato caricato prima dell'avvio del sistema ed è in Settore MBR(stivale Settore finestre). Esistono due opzioni per risolvere questo problema:
Ripristino del settore di avvio di Windows.
A proposito, ripristinano i danni in modo simile Caricatore di avvio di Windows quando vedi questo messaggio sullo schermo: lettura del disco si è verificato un errore, premere ctrl+alt+canc per riavviare oppure NTLDR mancante.
Avremo bisogno di un disco con Windows, preferibilmente lo stesso (o lo stesso) già installato sul PC. Nel Bios lo impostiamo per l'avvio da disco e aspettiamo che si avvii Installazioni di Windows. Ulteriori azioni dipendono dal sistema:
Con Windows XP.
Quando viene visualizzato il messaggio "Benvenuti nella procedura guidata di installazione" ( parte di testo boot) premere il pulsante R (o F10) per avviare la console di ripristino. apparirà linea consolle, se disponi di una password da amministratore, inseriscila, quindi inserisci i comandi:
- fixboot c: (se il sistema è sull'unità C)
Si carica nuovamente nella console e inserisci questi comandi:
- fixmbr c:
- fixmbr
Tiriamo fuori il disco e proviamo a caricarlo come al solito. Se il sistema si avvia correttamente, iniziamo a installare tutti i tipi di antivirus e a cercare file dannoso, poiché dopo un riavvio il virus potrebbe ricomparire. Non riavviamo il computer finché non lo troviamo.
Se gli antivirus non lo trovano, prova a cercare File di Windows(F3) per data (di sospetta infezione), compresi quelli nascosti e file di sistema con maschera *.EXE o *.BAT. Non posso ancora dire esattamente dove sia perché non l’ho mai incontrato.
Se il virus viene scaricato di nuovo, eseguiamo entrambi i passaggi precedenti, inoltre inseriamo questi comandi:
- bootcfg/ricostruisci
Su Windows 7.
Inserisci il disco e avvia da esso.
Quando si esegue l'avvio dal disco, selezionare "Ripristino configurazione di sistema" ("Ripara il computer"). Successivamente, seleziona il nostro sistema (Windows 7 sull'unità C:). Nella finestra "Opzioni di ripristino del sistema", seleziona " Riga di comando"("Prompt dei comandi"). Nella console scriviamo:
- bcdedit /export C:\BCD_Backup
- avvio del CD
- attributo bcd -s -h -r
- ren c:\boot\bcd bcd.old
- bootrec /RebuildBcd
Questo ricostruirà e riparerà boot Zona finestre 7. Riavviare senza il disco. La ricerca di un virus è simile all'opzione con Windows XP.
Se un virus blocca qualsiasi azione in Windows
Se il virus è caricato sul sistema stesso e non puoi fare altro che riavviare il PC, puoi provare questo metodo di sblocco:
- Premi Ctrl+Maiusc+Esc (Ctrl+Alt+Canc) finché il task manager non inizia a lampeggiare.
- Senza rilasciare i tasti, cercare il processo antivirus e fare clic su "Termina operazione".
- Successivamente, fai clic su " nuovo compito" e digita "regedit" (editor del registro)
- Vai alla sezione HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
- Controlliamo due parametri “Shell” e “Userinit”.
- Il valore del parametro Shell dovrebbe essere "Explorer.exe".
- Il valore Userinit è "C:\WINDOWS\system32\userinit.exe" (è richiesta una virgola alla fine).
- Riavviare il PC.
- Assicurati di controllare la presenza di virus nel tuo computer antivirus installato o utilità.
- In caso di insuccesso, prova questo metodo in modalità provvisoria.
Le utilità gratuite sono adatte per la scansione.
