Antivirus: Cine ești tu?
Virus: Zona de date!
Antivirus: Nu este un virus?
Virus: Nu Dumnezeul meu!
Antivirus: De ce interceptați întreruperile?
Virus: EU SUNT?!
Antivirus: Iată o subrutină!
Virus: Aceasta nu este o subrutină. Acesta este un citat din Lao Tzu în limba originală într-o codificare alternativă...
Antivirus: Pentru ce executabil-Fișiere cauți?
Virus:Ce se întâmplă dacă proprietarul întreabă: „Unde sunt ai mei executabil-fisare?" Iar eu la el – aici sunt ei!
Antivirus: Mi se pare că încă ești un virus...
Virus: Ei bine, vă mărturisesc, doar să nu spuneți nimănui! De fapt sunt... vaccin antiviral!
Antivirus: De ce ai nevoie de un vaccin antiviral dacă mă ai pe mine?
Virus: De unde știu? Întreabă proprietarul.
Antivirus:Și dacă eu, pentru orice eventualitate, tot te lovesc?
Virus:Și dacă eu sunt tu?...
Antivirus: Nu va funcționa! Am controlul!
Virus:Ți-ai numărat suma de control de mult timp?
Antivirus:Și ce legătură are testul meu cu el... oh!!!
Virus: Este la fel...
Să vedem cine a blocat Windows din nou și cere să trimită SMS la un număr plătit. Dar nu a ajuns niciodată pe ecranul de bun venit al sistemului de operare. Imediat după verificarea POST-ului (Power-On Self-Test, pentru cei interesați), pe același ecran negru, cu litere multicolore, am fost informat că „Ați fost amendat pentru că vizionați pornografie infantilă... Trimiteți un SMS în valoare de 600 de ruble. unui abonat MTS cu așa sau cutare număr, altfel -...”, și diverse amenințări cu privire la eliminarea tuturor datelor personale și parolelor de pe site-urile porno. Încerc să introduc un număr arbitrar pe tastatură cu metoda orb cu zece degete, apăsați Enter, iar Misha strigă deja că acum toate jucăriile vor fi îndepărtate de la el. Dar nimic nu a explodat, nici pe mașinile parcate în curte, alarma nu a sunat. Dar a apărut prima întrebare: sistemul de operare a început deja să funcționeze sau virusul s-a înregistrat în sectorul de boot al hard disk-ului? Sa verificam. Repornesc, apes F8 de mai multe ori, dar din nou apare aceeași poză pe ecran în locul ofertei de a selecta modul sigur. Deci, până la urmă, virusul se află în MBR (Master Boot Record, continuăm prelegerea).
Este necesar un disc de pornire. Virusul din sectorul zero al hard disk-ului capătă control după ce BIOS-ul (Basic Input / Output System, ei bine, sunt ca Wikipedia astăzi!) Verifică ordinea de pornire stabilită de pe dispozitivele detectate. Aceasta înseamnă că un virus nu poate fi dezactivat de la pornirea de pe un CD, decât dacă este înregistrat în BIOS-ul propriu-zis, ceea ce este o mare raritate în ultima vreme. Scot discul cu ERD Commander, pornesc de pe el și apăs imediat butonul care corectează erorile din MBR. Discul nu mai este necesar. Windows pornește, abonatul MTS nu cere bani.
Să trecem la o inspecție de rutină. Process Explorer, în loc de managerul de activități standard, ar trebui să ne arate tuturor rezidenților locali cu datele pașapoartelor și adresele de înregistrare. La prima vedere, nimic de prisos. Dar sub suspiciunea unei priviri antrenate, două procese svchost.exe lansate de sub explorer.exe cu o linie de comandă ciudată: „-k netsvcs” cad. În primul rând, svchost trebuie lansat de sub services.exe, iar în al doilea rând, numele procesului în sine trebuie să fie indicat și pe linia de comandă, adică. „svchost.exe -k netsvc”. Scriitorii de virusuri s-au dovedit a nu fi atenți la detalii, au uitat să-și pună mantia de invizibilitate peste cap.
Pentru a grăbi procesul de exorcizare a demonilor, m-am gândit că pot să-l întreb pe domnul Googling ce acțiuni distructive au aprins deja virușii din MBR, aflând astfel numele, parolele, cheile de registry. Lansez Chrome și nu pot deschide nicio pagină. Există acces la Internet, fișierul c: \ windows \ system32 \ drivers \ etc \ hosts este curat, google.com dă ping din consolă cu succes. Internet Explorer și Opera se blochează la decolare cu o eroare necunoscută. FireFox nu este instalat. Ei bine, poate un virus viclean a găsit fișierele executabile ale browserelor și le-a înlocuit cu ceva, sau doar o bibliotecă aruncată în tatăl lor. Instalez FireFox de pe o unitate flash, ar trebui să fie ca o mireasă în noaptea nunții. Dar Ognelis pur este tuns de aceeași nenorocire. Este necesar să ne uităm la procesul de încărcare, degeaba am scris un program special pentru asta! Lansez Process Launch Watcher în numele administratorului, găsesc binarul opera.exe, îl deschid. Browserul a pornit. Nu a mai rămas nimic în jurnal, sunt necesare toate bibliotecile, nimeni nu este atașat. Încerc să descarc eu Opera din nou - același caz. Și dacă în numele Administratorului? Și așa - se dovedește. Deja interesant! Dar sensul nu este clar.
Începem să-i căutăm pe vinovați. Scot rădăcina unității de sistem. Nimic ciudat, cu excepția a doi tătici cu nume nedorite în 16 caractere aleatorii. În interior sunt câteva fișiere cu extensia .dat și un set de coduri hexazecimale de neînțeles. am ucis. Dar ei au înviat instantaneu. Wow! Pasăre Phoenix dreaptă în timp real! În Process Explorer, șterg cele două copii ale svchost.exe care nu mi-au plăcut înainte, din nou șterg aceste foldere - silence. Dar tot așa este, au dat clic pe dragonul care suflă foc pe nas și nu mai mult. Trebuie să căutăm unde are un loc neprotejat în carapace pentru a lansa o încărcare din tunul țarului. Mă rostogolesc în linia de foc AVZ. Jurnalul conține un driver de neînțeles 2870456drv.sys, aflat în C: \ Windows \ system32 \ drivere. Un fișier fără nume - „.exe” la adresa C: \ Users \ este ascuns la pornire.<Пользователь>\ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ .exe și lângă el 4nIcwkcvSVc.exe. Și, în plus, AVZ a blestemat cu tărie că driverul menționat mai sus a interceptat până la 52 de funcții ale nucleului Windows, care sunt responsabile pentru conexiunile la rețea, controlul proceselor, manipularea fișierelor și a registrului, precum și unele informaționale. Nu voi da o listă completă, nu este nevoie. De asemenea, scanerul a zguduit despre citirea directă a sppcomapi.dll, dar aceasta este probabil o consecință a activității unui activator Windows, de exemplu, cum ar fi> al meu :) După repornirea și executarea unui alt jurnal standard, driverul a fost redenumit 11296972.sys . Cu toate acestea, nu mai existau rapoarte despre interceptarea funcțiilor sale.
Am introdus toți contravenienții în scriptul pentru AVZ, i-am executat. Virusul din MBR s-a dovedit a fi un ransomware lacom obișnuit, un driver cu un aspect și un nume de familie în continuă schimbare, prin interceptarea funcțiilor de sistem ale sistemului de operare, a încercat să înșele utilizatorul, disimulând inutil numele proceselor sale sub svchost. executabil. Și browserele se încarcă acum normal chiar și fără ajutorul Administratorului. Victoria a fost în ajunul Zilei Victoriei, iar cina festivă nu a fost niciodată oferită.
Tăcere. Computerul nu funcționează. Proprietarii îi aruncă periodic o privire tristă și oftă. Boy Misha, în vârstă de zece ani, informează că trebuie să plătească bani unui abonat MTS pentru a-și porni computerul. Din nefericire. Dar tot încerc să o fac gratuit. Apăs pe butonul de pornire cu gândul că eu însumi nu aș refuza o cină delicioasă, dar, probabil, voi face totul repede din nou, așa că abia au timp să se hrănească.
Să vedem din nou cine ferestre blocateși solicită să trimită SMS la un număr plătit. Dar nu a ajuns niciodată pe ecranul de bun venit al sistemului de operare. Imediat după verificare POST (Puterea de autotestare, pentru cei interesați), pe același ecran negru cu litere multicolore am fost informat că „ Sunteți amendat pentru că vizionați pornografie infantilă... Trimite SMSîn valoare de 600 de ruble pentru un abonat MTS cu un astfel de număr, altfel - ... ", și diverse amenințări cu privire la ștergerea tuturor datelor și parolelor personale pe site-urile porno. Încerc să formez un număr arbitrar pe tastatură cu zece orb- metoda degetului, apasă Enter, iar Misha strigă că acum toate jucăriile vor fi șterse de la el.Dar nimic nu a explodat, nici pe mașinile parcate în curte nu a sunat alarma.Dar a apărut prima întrebare: sistemul de operare a început deja să funcționeze , sau are un virus înregistrat în sectorul de boot al hard disk-ului? apăsați din nou F8, dar din nou apare aceeași poză pe ecran în locul ofertei de a selecta modul sigur. virus stă în MBR (Master Boot Record, continuăm prelegerea).
Este necesar un disc de pornire. Virusul din sectorul zero al hard disk-ului capătă control după BIOS (Sistem de bază de intrare/ieșire, ei bine, sunt la fel ca Wikipedia astăzi!) verifică ordinea de pornire stabilită de pe dispozitivele detectate. Aceasta înseamnă că un virus nu poate fi dezactivat de la pornirea de pe un CD, decât dacă este înregistrat în BIOS-ul propriu-zis, ceea ce este o mare raritate în ultima vreme. Scot discul cu ERD Commander, pornesc de pe el și apăs imediat butonul care corectează erorile din MBR. Discul nu mai este necesar. Windows pornește, abonatul MTS nu cere bani.
Să trecem la o inspecție de rutină. Process Explorer, în loc de managerul de activități standard, ar trebui să ne arate tuturor rezidenților locali cu datele pașapoartelor și adresele de înregistrare. La prima vedere, nimic de prisos. Dar două procese cad sub suspiciunea unei priviri antrenate. svchost.exe lansat de jos explorer.exe cu o linie de comandă ciudată: " -k netsvcs ". In primul rand, svchost.exe ar trebui să fugă de dedesubt servicii.exe ca mine deja a scris despre asta, iar în al doilea rând, numele procesului în sine trebuie să fie indicat și pe linia de comandă, i.e. " svchost.exe -k netsvc „Scriitorii de virusi s-au dovedit a nu fi atenți la detalii, au uitat să ascundă mantia cortului sub mantia de invizibilitate.
Pentru a accelera procesul de alungare a demonilor, m-am gândit că l-aș putea întreba pe domnul Gugling ce acțiuni distructive au fost deja aprinse viruși de la MBR, afla in acest fel aspectul, parolele, cheile de registry. Lansez Chrome și nu pot deschide nicio pagină. Acces la internet este disponibil, dosar c: \ windows \ system32 \ drivere \ etc \ hosts - curățați, google.com din consolă ping cu succes. Internet Explorer și Opera se blochează la decolare cu o eroare necunoscută. FireFox nu este instalat. Ei bine, poate un virus viclean a găsit fișierele executabile ale browserelor și le-a înlocuit cu ceva, sau doar o bibliotecă aruncată în tatăl lor. Instalez FireFox de pe o unitate flash, ar trebui să fie ca o mireasă în noaptea nunții. Dar Ognelis pur este tuns de aceeași nenorocire. Este necesar să ne uităm la procesul de încărcare, degeaba sau ceva special program pentru asta am scris! imi lansez Procesul de lansare Watcherîn numele Administratorului, găsesc binarul opera.exe, deschide-l. Browserul a pornit. Nu a mai rămas nimic în jurnal, sunt necesare toate bibliotecile, nimeni nu este atașat. Încerc să descarc eu Opera din nou - același caz. Și dacă în numele Administratorului? Și așa - se dovedește. Deja interesant! Dar sensul nu este clar.
Începem să-i căutăm pe vinovați. Scot rădăcina unității de sistem. Nimic ciudat, cu excepția a doi tătici cu nume nedorite în 16 caractere aleatorii. În interior sunt câteva fișiere cu extensia .dat și un set de coduri hexazecimale de neînțeles. am ucis. Dar ei au înviat instantaneu. Wow! Pasăre Phoenix dreaptă în timp real! În Process Explorer, șterg două copii care nu mi-au plăcut înainte svchost.exe, îi șterg din nou pe acești tătici - tăcere. Dar tot așa este, au dat clic pe dragonul care suflă foc pe nas și nu mai mult. Trebuie să căutăm unde are un loc neprotejat în carapace pentru a lansa o încărcare din tunul țarului. Mă rostogolesc în linia de foc AVZ. Un șofer de neînțeles este prezent în jurnal 2870456drv.sys stând înăuntru C: \ Windows \ system32 \ drivere... Un fișier fără nume este ascuns la pornire - " .executabil" după adresa C: \ Utilizatori \<Пользователь>\ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \ .exe iar lângă el un anume 4nIcwkcvSVc.exe... Și, în plus, AVZ a blestemat cu tărie că driverul menționat mai sus a interceptat până la 52 de funcții ale nucleului Windows, care sunt responsabile pentru conexiunile la rețea, controlul proceselor, manipularea fișierelor și a registrului, precum și unele informaționale. Nu voi da o listă completă, nu este nevoie. De asemenea, scanerul a tresărit din cauza citirii directe sppcomapi.dll, dar aceasta este probabil o consecință a lucrării Activator Windows precum Ale mele... După repornirea și executarea unui alt script standard AVZ, s-a dovedit că driverul a fost redenumit în 11296972.sys... Cu toate acestea, nu mai existau rapoarte despre interceptarea funcțiilor sale.
Am introdus toți contravenienții în scriptul pentru AVZ, i-am executat. Virus în MBR s-a dovedit a fi un extorsionist obișnuit lacom, un șofer cu un aspect și un nume în continuă schimbare, prin interceptarea funcțiilor de sistem ale sistemului de operare, a încercat să înșele utilizatorul, disimulând inutil numele proceselor sale sub svchost.exe... Și browserele se încarcă acum normal chiar și fără ajutorul Administratorului. Victoria a fost în ajunul Zilei Victoriei, iar cina festivă nu a fost niciodată oferită.
Descrierea problemei: Procedura de verificare începe imediat după pornirea alimentării computerului. POST (Puterea de autotestare). Procedură POST citește înregistrarea principală de boot ( MBR - Master Boot Record) și îl scrie în memoria RAM a computerului. Master Boot Record conține programul de pornire și tabelul de partiții, care descrie toate partițiile de pe hard disk. Virușii de boot, atunci când sunt infectați, înlocuiesc Master Boot Record, după care computerul pornește ca de obicei, dar virusul este deja în memorie și poate controla funcționarea tuturor programelor și driverelor. După aceea, de fiecare dată când computerul pornește, virusul câștigă controlul și rămâne în memorie.
Solutii la problema: Dacă antivirusul nu poate elimina virusul din MBR sector, apoi pentru a rezolva problema, puteți utiliza instrumentele Windows, și anume, recuperarea sistemului. Restaurarea sistemului poate fi folosită pentru a suprascrie MBR-ul partiției de boot pentru a elimina virusul. Pentru a funcționa, aveți nevoie de un disc Windows bootabil.
Pentru a porni System Restore, trebuie să porniți computerul de pe un disc bootabil. Pentru a porni de pe discul de pornire, trebuie să porniți computerul și să apăsați butonul Ștergere pentru a intra în setările BIOS, Setați să pornească de pe CD-ROM "a. Introduceți discul de pornire cu pachetul de instalare Windows și reporniți computerul. Când programul de instalare Windows își încarcă fișierele în memoria RAM a computerului, o casetă de dialog Windows Setup care conține un meniu de selecție din care să selectați * Pentru a restaura Windows utilizând Consola de recuperare, apăsați.
Trebuie să apăsați tasta R... Consola de recuperare se va încărca. Dacă există un sistem de operare instalat pe computer și acesta este (în mod implicit) instalat pe disc C:,
atunci va apărea următorul mesaj:
La ce copie de Windows ar trebui să vă conectați?
Trebuie să intri 1 , presa introduceși introduceți parola de administrator. Apare o solicitare de sistem, introduceți fixmbr.
Va apărea un mesaj:
**AVERTIZARE**
Acest computer conține o înregistrare principală de pornire non-standard sau invalidă. Folosirea FIXMBR poate deteriora tabelul de partiții existent. Acest lucru va duce la pierderea accesului la toate partițiile hard disk-ului curent.
Zilele trecute am făcut cunoștință în lipsă cu un nou virus (unde îi găsești, Doamne?), care cere să transferăm aproximativ 25 de dolari într-un anumit portofel în Webmoney pentru a plăti o amendă pentru vizualizarea, copierea și replicarea unui adult. video.
Prin „în absență” înțeleg că eu însumi nu am șters virusul, așa că aș putea greși. Captura de ecran a fost trimisă prin mms și, se pare, virusul este încărcat înainte de pornirea Windows.
Pe lângă eliminarea virusului, astăzi vom învăța pe parcurs să restabilim sectorul de boot al Windows XP și 7.
În primul rând, trebuie să știm când se încarcă virusul. Determinarea acestui lucru este destul de simplă - trebuie să verificați reacția computerului la combinațiile standard de taste:
- Windows + L - schimbați utilizatorul
- Ctrl + Alt + Del sau Ctrl + Shift + Esc - Manager de activități
Dacă apăsând Ctrl + Alt + Del PC-ul repornește sau nu se întâmplă nimic, atunci putem spune că virusul este încărcat înainte ca sistemul să pornească și se află în sectorul MBR (sectorul de boot Windows). Există două opțiuni pentru a rezolva această problemă:
Recuperarea sectorului de boot Windows.
Apropo, bootloader-ul Windows deteriorat este restaurat într-un mod similar când vedeți următorul mesaj pe ecran: A apărut o eroare de citire a discului apăsați ctrl + alt + del pentru a reporni sau NTLDR lipseste.
Avem nevoie de un disc cu Windows, de preferat cel (sau același) care este deja instalat pe PC. În Bios, setați pornirea de pe disc și așteptați ca instalarea Windows să înceapă. Alte acțiuni depind de sistem:
Cu Windows XP.
Când apare inscripția „Bine ați venit la asistentul de instalare” (partea text a descărcării), apăsați butonul R (sau F10) pentru a porni consola de recuperare. Va apărea o linie de consolă, dacă există o parolă de administrator, introduceți-o, apoi introduceți comenzile:
- fixboot c: (dacă sistemul este pe unitatea C)
Este încărcat din nou în consolă și introducem aceste comenzi:
- fixmbr c:
- fixmbr
Scoatem discul și încercăm să-l încărcăm ca de obicei. Dacă sistemul a pornit cu succes, începem să instalăm toate tipurile de antivirus și să căutăm un fișier rău intenționat, deoarece după o repornire virusul poate reapărea. Nu repornim computerul până nu îl găsim.
Dacă antivirusurile nu îl găsesc, încercați să căutați fișiere Windows (F3) după dată (infecție suspectată), inclusiv fișiere ascunse și de sistem cu masca * .EXE sau * .BAT. Până acum, nu pot spune exact unde se află, din moment ce nu l-a întâlnit.
Dacă virusul este încărcat din nou, facem ambii pași anteriori, plus introducem și aceste comenzi:
- bootcfg / reconstruire
Cu Windows 7.
Introduceți discul și porniți de pe el.
Când porniți de pe disc, selectați „Reparați computerul”. Apoi, ne selectăm sistemul (Windows 7 pe unitatea C :). În fereastra „Opțiuni de recuperare a sistemului”, selectați „Prompt de comandă”. In consola scriem:
- bcdedit / export C: \ BCD_Backup
- cd boot
- atrib bcd -s -h -r
- ren c: \ boot \ bcd bcd.old
- bootrec / RebuildBcd
Aceasta va reconstrui și restabili zona de pornire a Windows 7. Reporniți fără disc. Căutarea unui virus este similară cu opțiunea din Windows XP.
Dacă un virus blochează orice acțiune în Windows
Dacă virusul este încărcat în sistemul propriu-zis și nu puteți face nimic decât să reporniți computerul, atunci puteți încerca această metodă de deblocare:
- Țineți apăsat Ctrl + Shift + Esc (Ctrl + Alt + Del) până când managerul de activități începe să clipească.
- Fără a elibera cheile, căutăm procesul de virus și facem clic pe „Încheierea sarcinii”.
- Apoi faceți clic pe „sarcină nouă” și introduceți „regedit” (editor de registry)
- Accesați secțiunea HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows NT / CurrentVersion / Winlogon
- Verificăm doi parametri „Shell” și „Userinit”.
- Parametrul Shell trebuie să fie „Explorer.exe”.
- Valoarea Userinit este „C: \ WINDOWS \ system32 \ userinit.exe,” (este necesară o virgulă la sfârșit).
- Reporniți computerul.
- Asigurați-vă că verificați computerul pentru viruși cu antivirusul sau utilitarul instalat.
- Dacă nu reușiți, faceți acest lucru în modul sigur.
Utilitarele gratuite sunt potrivite pentru scanare.
