Lexoni në lidhje me simptomat që tregojnë praninë e një virusi në kompjuterin tuaj. Si reagon një kompjuter, program antivirus ose shfletues ndaj viruseve. Malware ose viruset mund ta hedhin kompjuterin tuaj në kaos. Ata mund të çaktivizojnë programin tuaj antivirus dhe ta bëjnë kompjuterin tuaj të prekshëm ndaj programeve të tjera me qëllim të keq, të ndërhyjnë në funksionimin normal të kompjuterit ose të korruptojnë skedarët e sistemit operativ.
Viruset ransomware enkriptojnë të dhënat e përdoruesit në atë mënyrë që është pothuajse e pamundur të deshifrohen ose rikuperohen ato. Viruset mund të kenë akses në çdo të dhënë, qofshin skedarë personalë, të dhëna bankare ose fjalëkalime të përdoruesve, si dhe të krijojnë llogari të kopjuara.
Çfarë duhet të bëni për të mbrojtur veten dhe kompjuterin tuaj nga viruset? Ju duhet të filloni duke instaluar një program antivirus. Gjithashtu nuk dëmton të mësosh se si të përdorësh një PC në mënyrë të sigurt. Një arsye e zakonshme për infektimin e një kompjuteri me viruse ose malware të tjerë është mungesa e njohurive kompjuterike të përdoruesit, e cila gjithashtu duhet të përmirësohet.
Llojet e reja të viruseve dhe malware shfaqen gjatë gjithë kohës, kështu që ato mund të mos zbulohen gjithmonë nga çdo program antivirus, të paktën derisa të futen në bazën e të dhënave të nënshkrimit të virusit. Viruse të tilla të freskëta mund të hyjnë në sistem dhe të kalojnë nëpër të gjitha masat e mbrojtjes së softuerit.
Nëse keni shkarkuar aksidentalisht një skedar të dyshimtë që përmban një virus ose keni klikuar në një bashkëngjitje emaili, sistemi juaj mund të jetë i infektuar me viruse të tilla si: Trojan, Rootkit, Krimbi, Backdoor, Junkware ose Malware. Prandaj, përpara se të klikoni në një skedar ose lidhje të panjohur, është më mirë të mendoni dy herë dhe të siguroheni që programi antivirus i instaluar në kompjuterin tuaj të ketë nënshkrimet më të fundit antivirus.
Pra, si mund ta dalloni nëse kompjuteri juaj është i infektuar me viruse? Këtu janë disa shenja të dukshme që tregojnë se kompjuteri juaj ka viruse ose malware të tjerë:
Dhe tani në detaje:
Këto janë vetëm mënyrat më të zakonshme për të përcaktuar praninë e viruseve, malware ose ransomware në një kompjuter dhe simptomat e tyre. Dhe sa shpejt përdoruesi mund të merret me programe të tilla në kompjuterin e tij varet nga siguria e të dhënave dhe skedarëve të tij.
2. Funksionimi i ngadaltë i sistemit
Nëse nuk keni ekzekutuar ndonjë program me burim intensiv dhe sistemi po funksionon ngadalë, kjo është gjithashtu një arsye për të kontrolluar. Përpara se ta bëni këtë, ju këshillojmë që të hiqni vetë programet e panevojshme nga menyja e fillimit. Si rregull, ky problem tregon praninë e trojanëve në sistem.
3. Skedarët zhduken
Nëse papritmas nuk gjeni skedarë që janë të rëndësishëm për ju dhe aktivitet të tepruar në hard disk kur sistemi është i papunë, ka çdo arsye për të marrë një vështrim serioz në gjendjen e laptopit. Kontrolloni për viruse me një skaner të instaluar dhe provoni të përdorni shërbime shtesë antivirus.
4. Çuditë në funksionimin e Windows
Nëse shihni kuti të ndryshme dialogu shfaqen në ekranin tuaj kur ngarkoni, duhet të mendoni gjithashtu nëse ka viruse në sistem.
5. Mesazhe të dyshimta
Nëse sistemi refuzon të hapë ndonjë skedar ose program që më parë funksiononte normalisht, duhet patjetër kontrolloni laptopin tuaj për viruse, apo edhe kontaktoni një qendër shërbimi elektronik.
6. Probleme me aplikimin
Aplikacione të ndryshme mund të dështojnë plotësisht ose të funksionojnë shumë keq kur infektohen me viruse. Mos e injoroni këtë problem.
7. Shumë aktivitet në rrjet
Nëse ruteri pulson vazhdimisht kur nuk jeni duke përdorur internetin, ose shfletuesi nuk i përgjigjet në mënyrë adekuate veprimeve tuaja, ju duhet urgjentisht të pastroni sistemin nga programet dhe viruset e padëshiruara.
8. Performanca e paqëndrueshme e emailit
Zhdukja e emaileve, mesazhet e padëshiruara dhe problemet e tjera duhet t'ju bëjnë gjithashtu pauzë.
9. Lista e zezë IP
Nëse hasni në një mesazh të tillë në ndonjë burim, kujdesuni urgjentisht për gjendjen e laptopit tuaj.
10. Mbyllje e papritur e antivirusit
Gjithçka është e qartë këtu. Çaktivizimi arbitrar i antivirusit është i mundur vetëm nën ndikimin e malware.
Si të parandaloni infeksionin me virus?
Këshillat për parandalimin e infektimit me virus janë të thjeshta, por nuk do të dëmtonte t'i përsërisnit:
Përdorni një antivirus dhe përditësoni atë rregullisht;
Mos shkarkoni skedarë të dyshimtë ose mos vizitoni faqet me përmbajtje të dyshimtë;
Kontrolloni USB-në tuaj për viruse.
Deri tani nuk njoh njeri që të mos ketë vuajtur drejtpërdrejt apo tërthorazi nga veprimet e viruseve kompjuterike. Kompanitë antivirus duan shumë për produktet e tyre, të cilat kurrë nuk ofrojnë mbrojtje adekuate. Pyetja është, pse të blini fare softuer antivirus? Çdo gjë që është krijuar nga njeriu mund të shkatërrohet, kjo vlen si për antiviruset ashtu edhe për viruset. Është shumë më e vështirë të mashtrosh një person sesa një program. Prandaj, ky artikull i kushtohet përshkrimit të një teknike për zbulimin dhe çaktivizimin e softuerit të virusit pa një produkt antivirus. Mbani mend, ka vetëm një gjë që nuk mund të anashkalohet / thyhet / mashtrohet - kjo është Njohuria, kuptimi juaj i procesit. Sot do t'ju tregoj, duke përdorur shembuj të vërtetë, se si të zbuloni dhe kapni krimbat e internetit dhe spyware në kompjuterin tuaj. Sigurisht, ka shumë lloje të tjera, por mora ato më të zakonshmet dhe vendosa të shkruaj për atë që kisha në praktikë, në mënyrë që të mos them asgjë të panevojshme. Nëse jeni me fat në kërkimin tuaj, do t'ju tregoj për makro viruset, backdoors dhe rootkits. Pra, para se të fillojmë, do të vërej se në këtë artikull po shqyrtoj vetëm një sistem operativ të familjes NT të lidhur me internetin. Unë vetë kam Win2000 SP4, kap viruse në WinXP PE. Pra, le të kalojmë në një analizë të shpejtë dhe më pas të detajuar të sistemit për krimbat dhe spiunët. Me një inspektim të shpejtë, ne thjesht zbulojmë praninë e një programi dhe e lokalizojmë atë; një analizë e detajuar tashmë është duke u zhvilluar në nivel skedari dhe procesi. Aty do të flas për programin e mrekullueshëm PETools, por gjithçka ka kohën e vet.
[Analiza e Sistemit]
Është logjike që për të zbuluar dhe neutralizuar një program me qëllim të keq, ekzistenca e një programi të tillë është e nevojshme. Parandalimi mbetet parandalim, ne do të flasim për të më vonë, por gjëja e parë që duhet të bëni është të përcaktoni nëse ka ndonjë virus në kompjuterin tuaj. Çdo lloj malware ka simptomat e veta, të cilat ndonjëherë janë të dukshme me sy të lirë, ndonjëherë krejtësisht të padukshme. Le të shohim se cilat janë simptomat e përgjithshme të infeksionit. Meqenëse po flasim për një kompjuter të lidhur me një rrjet global, simptoma e parë është një konsum tepër i shpejtë i, si rregull, trafikut në dalje, kjo për faktin se shumë krimba të internetit kryejnë funksione DDoS.
makinerive ose thjesht bots. Siç e dini, gjatë një sulmi DDoS, sasia e trafikut në dalje është e barabartë me sasinë maksimale të trafikut për njësi të kohës. Sigurisht, në një kanal gigabit kjo mund të mos jetë aq e dukshme nëse një sulm DDoS kryhet në gjerësinë e një lidhjeje dial-up, por si rregull, ngadalësia e sistemit gjatë hapjes së burimeve të Internetit është e habitshme (dua të vërej gjithashtu se do të flasim për viruse që të paktën fshihen disi në sistem, sepse nuk keni nevojë të shpjegoni asgjë nëse keni skedarin kfgsklgf.exe në dosjen tuaj Startup, i cili kapet nga muri i zjarrit, etj.). Tjetra në listë është pamundësia për të hyrë në shumë faqe të kompanive antivirus, dështime në funksionimin e programeve të paguara si gabimi CRC, kjo tashmë për faktin se mjaft mbrojtës tregtarë mbështesin funksionin e kontrollit të barazisë ose integritetit të skedarit të ekzekutueshëm (dhe jo vetëm mbrojtës, por edhe vetë zhvilluesit e sigurisë), gjë që bëhet për të mbrojtur programin nga hakerimi. Ne nuk do të flasim për efektivitetin e kësaj metode kundër krisurave dhe kundërvënieve, por mund të funksionojë në mënyrë të përsosur si një alarm për infeksionin viral. Çmimi që paguajnë virusprodhuesit fillestarë për proceset që nuk mund të shkatërrohen është se kur kompjuteri fiket ose rindizet, një proces përfundon për një kohë të gjatë, ose kompjuteri madje ngrin kur fiket. Unë mendoj se nuk ka nevojë të flasim për proceset, dhe gjithashtu për dosjen e fillimit, nëse ka diçka të pakuptueshme ose të re atje, atëherë ndoshta është një virus, por më shumë për këtë më vonë. Rindezja e shpeshtë e kompjuterit, shkëputja nga interneti, ndërprerja e programeve antivirus, mungesa e serverit të përditësimit të sistemit Microsoft, mungesa e faqeve të internetit të kompanive antivirus, gabimet gjatë përditësimit të antivirusit, gabimet e shkaktuara nga ndryshimet në strukturën e programeve me pagesë, mesazhi i Windows që skedarët e ekzekutueshëm janë të dëmtuara, shfaqja e skedarëve të panjohur në direktorinë rrënjë, Kjo është vetëm një listë e shkurtër e simptomave të një makinerie të infektuar. Përveç malware të drejtpërdrejtë, ekziston i ashtuquajturi spyware, këto janë të gjitha llojet e keyloggers, dumpers elektronike të çelësave dhe "ndihmës" të padëshiruar për shfletuesin. Për të qenë i sinqertë, bazuar në metodën e zbulimit, ato mund të ndahen në dy kampe kundërshtare. Le të themi se një keylogger i bashkangjitur nga një bibliotekë dinamike në guaskën e sistemit operativ është jashtëzakonisht i vështirë për t'u zbuluar në fluturim, dhe anasjelltas, një asistent (plugin, shiriti i kërkimit, etj.) që erdhi nga askund (plugin, shiriti i kërkimit, etj.). ) te Internet Explorer (si rregull) bie menjëherë në sy. Pra, mendoj se është koha për të lënë këtë shënim pesimist dhe për të kaluar në praktikat reale të zbulimit dhe çaktivizimit të malware.
[Zbulimi në fluturim]
%WINDIR%\Driver Cache\driver.cab
pastaj nga dosjet e përditësimit të OS, nëse ka, më pas nga %WINDIR%\system32\dllcache\ dhe vetëm atëherë thjesht nga
%WINDIR%\system32\
Ndoshta OS do të thotë që skedarët janë të dëmtuar dhe do të kërkojë një disk me kompletin e shpërndarjes, mos u pajto! Përndryshe do të rikuperohet dhe vrima do të hapet përsëri. Pasi të keni përfunduar këtë hap, mund të filloni të lokalizoni virusin. Një program i vogël i dobishëm i quajtur TCPView ju ndihmon të shihni se cilat aplikacione përdorin lidhjen e rrjetit, por disa krimba kanë një algoritëm të mirë enkriptimi ose, më keq, lidhen me proceset ose maskohen si procese. Procesi më i zakonshëm për maskimin është padyshim shërbimi svhost.exe; ka disa procese të tilla në menaxherin e detyrave, dhe ajo që është më e mahnitshme është se mund të krijoni një program me të njëjtin emër dhe më pas është pothuajse e pamundur të dalloni se kush është OBSH. Por ka një shans dhe kjo varet nga vëmendja. Para së gjithash, shikoni në menaxherin e detyrave (ose më mirë akoma në Process Explorer) për zhvilluesin e programit. Për svhost.exe, çuditërisht, kjo është M$; natyrisht, mund të shtoni informacion të rremë në kodin e virusit, por ka disa nuanca këtu. Gjëja e parë dhe ndoshta kryesore është se një virus i shkruar mirë nuk përmban një tabelë importi ose seksione të dhënash. Prandaj, një skedar i tillë nuk ka burime dhe, për rrjedhojë, nuk mund të shkruhet në burimet e krijuesit. Ose mund të krijoni një burim, por më pas do të shfaqet një madhësi shtesë e skedarit, e cila është jashtëzakonisht e padëshirueshme për krijuesin e virusit. Unë gjithashtu duhet të them për svhost.exe, ky është një grup shërbimesh të sistemit dhe secili shërbim është një skedar ekzekutiv me parametra të caktuar. Prandaj, në Panelin e Kontrollit -> Administrata -> Shërbimet,
përmban të gjitha shërbimet e ngarkuara svhost.exe, unë ju këshilloj të numëroni numrin e shërbimeve dhe proceseve të ekzekutuara të svhost.exe, nëse nuk jeni dakord, atëherë gjithçka është tashmë e qartë (vetëm mos harroni të krahasoni numrin e RUNNING shërbime). Më shumë detaje në Shtojcën A.
Duhet gjithashtu të theksohet se është e mundur që të ketë një virus midis shërbimeve, mund të them një gjë për këtë, ekziston një listë shërbimesh në MSDN dhe shumë vende të tjera në rrjet, kështu që thjesht marrja dhe krahasimi nuk do të jetë një problem. Pas këtyre hapave, mund të merrni emrin e një skedari që mund të jetë një virus. Do të flas pak më tej se si të përcaktohet drejtpërdrejt nëse një virus është i pranishëm apo jo, por tani le të shkëputemi nga arsyetimi dhe të shohim disa pika të tjera. Siç ndoshta e dini tashmë, për funksionimin normal të sistemit operativ ju nevojiten vetëm 5 skedarë në direktorinë rrënjë, kështu që mund të fshini me siguri të gjithë skedarët e tjerë, përveç nëse sigurisht që keni arritur të instaloni programe në direktorinë rrënjë. Nga rruga, skedarët për funksionimin normal, këtu janë: ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Nuk duhet të ketë asgjë më shumë. Nëse ka dhe nuk e dini se nga ka ardhur, atëherë shkoni te kapitulli [Analiza e detajuar] Ne do të shikojmë gjithashtu lidhjen me proceset në kapitullin [Analiza e detajuar], dhe tani le të flasim për autorun. Natyrisht, virusi duhet të ngarkohet disi kur sistemi fillon, si rregull. Prandaj, shikoni çelësat e mëposhtëm të regjistrit për programe të dyshimta. (Dhe nëse tashmë keni gjetur një virus, atëherë kërkoni emrin e skedarit kudo në regjistër dhe fshini):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Njoftoni
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskSchedulerHKLM\
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
E gjithë kjo është thënë për zbulimin e krimbave të thjeshtë. Sigurisht, identifikimi i një virusi të mirë të fshehur është i vështirë. Zbulimi i këtij krimbi dhe çaktivizimi i tij më mori rreth 10 minuta kohë; sigurisht, dija ku të shikoja, kjo e thjeshtoi detyrën. Megjithatë, le të themi se është e mundur të zbulohet një derë e pasme e mirë, një keylogger, një virus i fshehtë ose thjesht një virus që përdor përgjimin e thirrjeve në funksionet API të sistemit të skedarëve (atëherë virusi rezulton të jetë vërtet i padukshëm), një virus transmetimi , në përgjithësi, ka një sërë nuancash të tjera, por krijime të tilla ka vërtet pak, pak virusbërës të vërtetë këto ditë. Është shqetësuese... Do të përpiqem të flas për to në artikujt e mëposhtëm. Tani le të kalojmë tek spyware, ose, siç i quajnë borgjezia, SpyWare. Unë do të shpjegoj përsëri duke përdorur shembuj të spiunëve që kam kapur personalisht, në mënyrë që fjalët e mia të mos duken si fantazi boshe.
Do ta nis historinë time me spiunët më të zakonshëm. Në një revistë të mirënjohur, një programues i mirë i quajti me saktësi pleshtat e gomarit. Spiuni më i thjeshtë shpesh fshihet pas një shiriti veglash me pamje të pafajshme. Dije se nëse, nga askund, papritmas keni një buton të ri ose një shirit kërkimi në shfletuesin tuaj, konsideroni se jeni duke u vëzhguar. Është shumë qartë e dukshme që nëse faqja fillestare e shfletuesit tuaj ndryshon papritur, nuk ka asgjë për të thënë. Sigurisht, ju lutem më falni për disa pasaktësi në terma. Viruset që ndryshojnë faqet fillestare në shfletues nuk janë domosdoshmërisht spiunë, megjithatë, si rregull, është kështu dhe prandaj le t'i klasifikojmë si spiunë këtu në këtë artikull. Le të shohim një shembull nga jeta, kur erdha në punë dhe pashë një shirit kërkimi me pamje të çuditshme në shfletuesin në një kompjuter; kur pyeta se nga vinte, nuk mora kurrë asgjë. Më duhej ta kuptoja vetë. Si mund të hyjë një spiun në sistem? Ka disa metoda, siç e keni vënë re tashmë, ne po flasim për Internet Explorer, fakti është se metoda më e zakonshme që një virus të depërtojë në një sistem përmes një shfletuesi është përmes përdorimit të teknologjisë ActiveX, vetë teknologjia tashmë ka qenë përshkruar mjaftueshëm dhe nuk do të ndalem në të. Ju gjithashtu mund të zëvendësoni faqen fillestare, për shembull, me një skrip të thjeshtë Java të vendosur në faqe; me të njëjtin javascript mund të ngarkoni edhe skedarë dhe t'i ekzekutoni ato në një sistem të cenueshëm. Një nisje banale e një programi gjoja për shikimin e fotografive nga faqet me pagesë të një tendence të njohur në 98% të rasteve përmban malware. Për të ditur se ku të shikoni, do të them se ekzistojnë tre mënyra më të zakonshme se si spiunët gjenden dhe punojnë në makinën e viktimës.
E para është regjistri dhe asgjë më shumë, virusi mund të qëndrojë në fillim, ose mund të mos jetë fare i pranishëm në kompjuter, por ai ka një qëllim - të zëvendësojë faqen e fillimit të shfletuesit përmes regjistrit. Nëse një virus ose një skript vetëm një herë zëvendësoi faqen e fillimit, nuk ka pyetje, thjesht duhet të pastroni këtë çelës në regjistër, por nëse pas pastrimit, pas një kohe çelësi shfaqet përsëri, atëherë virusi po funksionon dhe akseson vazhdimisht regjistrin. Nëse keni përvojë duke punuar me korrigjues si SoftIce, mund të caktoni një pikë ndërprerjeje në hyrjen në regjistër (bpx RegSetValueA, bpx RegSetValueExA) dhe të monitoroni se cili program, përveç atyre standarde, hyn në regjistër. Më tej logjikisht. E dyta janë pikërisht përgjuesit e ngjarjeve të sistemit, të ashtuquajturat grepa. Në mënyrë tipike, grepa përdoren më shumë në keylogger dhe janë një bibliotekë që monitoron dhe, nëse është e mundur, ndryshon mesazhet e sistemit. Zakonisht ekziston tashmë vetë një program dhe një bibliotekë e bashkangjitur, kështu që duke ekzaminuar modulin kryesor të programit nuk do të merrni asgjë interesante.
Për më shumë informacion rreth kësaj dhe metodës tjetër, shihni analizën e detajuar më poshtë në kapitull.
Dhe së fundi, mënyra e tretë është të bashkëngjitni bibliotekën tuaj me programet standarde të OS, të tilla si explorer.exe dhe iexplorer.exe, me fjalë të tjera, shkrimi i shtojcave për këto programe. Këtu përsëri, ka disa mënyra, kjo është bashkëngjitja duke përdorur BHO (Gorlum shkroi për vetë metodën e bashkëngjitjes, duke përfituar nga ky rast për t'i thënë përshëndetje dhe falenderime) dhe thjesht futja e bibliotekës tuaj në skedarin e ekzekutueshëm. ndryshimi, siç e kuptoj unë, është se Objekti Ndihmës i Shfletuesit përshkruhet dhe propozohet nga vetë korporata M$, dhe përdoret si një shtojcë për shfletuesin, dhe prezantimi i bibliotekave nuk është më një prizë. në si një program i pavarur, që të kujton më shumë një virus skedari të dikurshëm.
Për trajnime të përgjithshme, unë do t'ju ofroj çelësat e regjistrit ku mund të regjistrohen mallrat nën standarde, në formën e shiritave të veglave, butonave dhe faqeve fillestare të shfletuesit.
faqja e fillimit
Parametri HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main StartPage.
HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet Explorer\Parametri Main StartPage (S-1-5-21-.... ky çelës mund të jetë i ndryshëm në makina të ndryshme)
Regjistrimi i objekteve të tilla si butonat, shiritat e veglave, etj.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Objektet ndihmëse të shfletuesit\
Këtu janë regjistruar të gjithë "ndihmësit" dhe nëse nuk keni asnjë, çelësi duhet të jetë bosh, nëse jo bosh, atëherë fshijeni atë.
Pra, nëse nuk jeni në rregull me këto çelësa dhe dëshironi ta kuptoni më tej, atëherë shikoni më tej.
[Duke kërkuar diçka më të mirë]
Meqenëse në kohën e shkrimit të këtij artikulli doja ta bëja të kuptueshëm për të gjithë, ky kapitull mund të duket i pakuptueshëm për disa njerëz, por u përpoqa të thjeshtoja gjithçka sa më mirë. Unë nuk do t'ju shpjegoj arkitekturën e skedarit PE, megjithëse do t'i referohemi asaj. Ka shumë manuale më të detajuara në internet dhe Iczelion shkroi mirë për skedarët PE. Ndoshta një ditë do ta përshkruaj edhe unë.
Pra, duke filluar një analizë të detajuar, do të na duhen disa mjete, unë përdor në këtë rast dhe rekomandoj përdorimin e PETools nga NEOx dhe PEiD (Në përgjithësi mund t'ia dilni me një akull të butë, por është më mirë të keni më shumë mjete dhe më të thjeshta; për kthimin e kundërt , vërej se tani do të flasim për shikimin e tabelës së importit dhe paketimit të skedarëve, kështu që injoroni perversionin që do të shihni)
Kjo do të thotë, siç thashë tashmë, ka pasur një rast të tillë që një shirit kërkimi dhe një faqe fillestare u shfaqën në shfletues nga askund. Pasi kontrollova regjistrin, nuk gjeta asnjë ndryshim në faqen e statistikave, as nuk gjeta ndonjë regjistrim të shtojcave në shfletues. Pas një inspektimi më të afërt, doli që ky varg kërkimi (shiriti i veglave është më i thjeshtë) shfaqet në të gjitha dritaret e OS. Kjo tashmë e ndryshoi pak thelbin e çështjes. Unë supozova se dy spiunë, të pavarur nga njëri-tjetri, po e bëjnë këtë, dhe pikërisht duke futur një bibliotekë dinamike. Në të njëjtën kohë, është e nevojshme të dallojmë se nëse shiriti i veglave ishte vetëm në shfletues, do të thotë se ai ishte i ngulitur në procesin iexplorer.exe, por ne e kishim atë kudo, prandaj, ishte e nevojshme ta kontrollonim atë në explorer. exe. Fillova të kontrolloja shfletuesin. Për ta bërë këtë, nisa PETools dhe thjesht shikova se cilat biblioteka po përdorte shfletuesi. Unë pata fat në personin e një krijuesi të pakujdesshëm virusesh; në sfondin e bibliotekave të sistemit nga %SYSTEMROOT% kishte një smt.dll të caktuar me një rrugë që shkonte diku në TEMP. Rinisni në modalitetin e sigurt dhe hiqni këtë bibliotekë, dhe gjithçka është në rregull, spiuni vritet. Gjithçka që mbetet është të telefononi përsëri PETools, klikoni me të djathtën në procesin tonë dhe rindërtoni skedarin. Ky është rasti më i thjeshtë në praktikën time. Le të kalojmë te tjetra, të gjejmë dhe të vrasim shiritin e veglave. Në të njëjtën mënyrë, shikova procesin explorer.exe dhe nuk gjeta asgjë të habitshme. Nga kjo rrjedhin dy opsione: ose nuk i njoh përmendësh të gjitha bibliotekat dhe shiriti i veglave humbet mes tyre, ose nuk kam njohuri për ta gjetur. Për fat doli i pari. Por si mund të dallohet atëherë një bibliotekë e vërtetë nga një e rreme? Unë do t'ju them, dhe ju do ta kuptoni vetë. Siç e dini, prodhuesit e viruseve po ndjekin minimizimin dhe enkriptimin e kodit. Kjo do të thotë, si rregull, më shumë se një shirit veglash nuk do të jenë në formë të hapur, së pari, kodi mund të zvogëlohet, që do të thotë se është i nevojshëm, dhe së dyti, nëse dikush (zakonisht as një antivirus, por një konkurrent) e zbulon këtë. bibliotekë, atëherë kodi i pakriptuar është më i lehtë për ta për ta kuptuar. Prandaj, ne marrim PEiD dhe kryejmë një skanim masiv të bibliotekave të importuara. Bibliotekat nga Microsoft shkruhen natyrshëm në C++ vizuale dhe nuk janë të paketuara me asgjë, kështu që nëse shohim (dhe sapo pashë një seUpd.dll të dyshimtë të paketuar me UPX) një bibliotekë të paketuar ose të koduar, atëherë 99% të rasteve kjo është ajo që ne po kërkonin. Nëse ajo e kontrollon apo jo është shumë e thjeshtë, zhvendoseni në modalitetin e sigurt dhe shikoni rezultatin. Sigurisht, ju mund ta shpaketoni atë, të shikoni listën e dizajnit dhe të mendoni se çfarë bën, por le të mos hyjmë në këtë. Nëse nuk e keni gjetur bibliotekën e paketuar, atëherë është e dobishme të përdorni një redaktues burimesh si Restorator për të parë versionet e skedarëve, siç thashë tashmë, të gjitha bibliotekat nga M$ e kanë atë të shkruar atje. Kjo është ajo ku virusbërësit bëjnë gabime. Ata duhet të kenë turp të shkruajnë viruse të tilla. Së fundi, dëshiroj të vërej se biblioteka *.dll nuk mund të përfshihet domosdoshmërisht në procese. Windows OS ka një aplikacion të dobishëm të quajtur rundll32.exe dhe unë mund të ekzekutoj çdo bibliotekë duke përdorur këtë proces. Dhe në të njëjtën kohë, nuk është e nevojshme të shkruani rundll32.exe myspy.dll në fillim; mjafton ta shkruani këtë brenda skedarit të infektuar. Pastaj do të shihni vetëm tuajin (skedarët e infektuar që nuk ka gjasa të zbulohen nga një antivirus) dhe procesin rundll32.exe, dhe asgjë tjetër. Çfarë duhet bërë në raste të tilla? Këtu do të duhet të gërmojmë më thellë në strukturën e skedarit dhe OS, kështu që do ta lëmë këtë jashtë qëllimit të këtij artikulli. Për sa i përket paketimit/kriptimit të virusit, kjo vlen jo vetëm për bibliotekat, por edhe për të gjithë skedarët e sistemit. Në këtë shënim të këndshëm, dua të përfundoj pjesën kryesore të artikullit; është shkruar shumë, por kjo është vetëm 1% e të gjitha metodave të zbulimit. Metoda ime mund të mos jetë më e mira, por e përdor vetë dhe është mjaft produktive (epo, thjesht jo në kompjuterin tim). Nëse është e mundur, nëse është e mundur, unë do të shkruaj një vazhdim për makro viruset, keyloggers dhe backdoors, me pak fjalë për atë që kam kapur tashmë.
[Mirënjohje]
Dëshiroj të shpreh mirënjohjen time për të gjithë ata me të cilët komunikoj për ekzistencën time.
Dhe gjithashtu për njerëzit që ndikuan tek unë dhe disi më drejtuan në rrugën e duhur:
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0, _4k_, foster, etj.
[Shtojca A]
Lista e shërbimeve të sistemit svhost.exe (WinXP)
DHCP clientvchost.exe -k netsvcs
Klienti DNS svchost.exe -k NetworkService
Përditësoni automatikisht svchost.exe -k netsvcs
Hyrja dytësore svchost.exe -k netsvcs
Menaxheri logjik i diskut svchost.exe -k netsvcs
Nisja e proceseve të serverit DCOM svchost -k DcomLaunch
Instrumentimi i menaxhimit të Windows svchost.exe -k netsvcs
Ndryshoi Klientin e Ndjekjes së Lidhjeve svchost.exe -k netsvcs
Moduli mbështetës NetBIOS mbi TCP/IP svchost.exe -k LocalService
Shfletuesi i kompjuterit svchost.exe -k netsvcs
Përcaktoni harduerin shell svchost.exe -k netsvcs
Stacioni i punës svchost.exe -k netsvcs
Serveri svchost.exe -k netsvcs
Shërbimi i Rivendosjes së Sistemit svchost.exe -k netsvcs
Windows Time Service svchost.exe -k netsvcs
Gabim në Regjistrimin e Shërbimit svchost.exe -k netsvcs
Shërbimet e kriptografisë svchost.exe -k netsvcs
Ndihmoni dhe mbështesni svchost.exe -k netsvcs
Temat svchost.exe -k netsvcs
Njoftimi i ngjarjeve të sistemit svchost.exe -k netsvcs
Thirrja e procedurës në distancë (RPC) svchost -k rpcss
Qendra e Sigurisë svchost.exe -k netsvcs
Menaxheri i lidhjes automatike të qasjes në distancë svchost.exe -k netsvcs
Protokolli HTTP SSLsvchost.exe -k HTTPFilter
Zgjatjet e shoferit WMI svchost.exe -k netsvcs
Shërbimi i ngarkimit të imazheve (WIA) svchost.exe -k imgsvc
Shërbimet e sigurimit të rrjetitvchost.exe -k netsvcs
Shërbimi i numrave serialë të mediave portative
svchost.exe -k netsvcs
Përputhshmëri me ndërrimin e shpejtë të përdoruesit
svchost.exe -k netsvcs
Storagesvchost.exe të lëvizshëm -k netsvcs
Pajisja gjenerike PnP Hostsvchost.exe -k LocalService
Menaxhimi i aplikacionitvchost.exe -k netsvcs
Historiku i Shërbimeve Inteligjente të Transferimit Vchost.exe -k netsvcs
Managersvchost.exe -k netsvcs
Lidhjet e rrjetitsvchost.exe -k netsvcs
Sistemi i ngjarjeve COM+svchost.exe -k netsvcs
Shërbimi i Zbulimit SSDP svchost.exe -k LocalService
Shërbimi i vendndodhjes në rrjet (NLA) svchost.exe -k netsvcs
Terminal Servicessvchost -k DComLaunch
Telephonysvchost.exe -k netsvcs
Windows Audiosvchost.exe -k netsvcs
Duke hyrë në pajisjet HIDsvchost.exe -k netsvcs
Drejtimi dhe aksesi në distancësvchost.exe -k netsvcs
Annunciator svchost.exe -k LocalService
Task Schedulersvchost.exe -k netsvcs
Shërbimi i mesazheve svchost.exe -k netsvcs
----------- Gjithsej gjashtë procese kur të gjitha shërbimet janë duke ekzekutuar -------
përmbajtja
Pershendetje te gjitheve!
Unë dua ta filloj këtë artikull me një të vërtetë të thjeshtë: "Nëse antivirusi nuk gjen një virus të vetëm, kjo nuk do të thotë që nuk ka asnjë në kompjuterin tuaj!"
Në fakt, mjaft shpesh ndodh fotografia e mëposhtme: kur përdorni shfletues ueb (Firefox, Chrome, Opera, etj.), shfaqen reklama të ndryshme (aty ku nuk kanë ekzistuar kurrë më parë), hapen skeda, mund të shfaqen banderola në desktop (jo përmbajtje të pakëndshme, për shembull, ata që kërkojnë të dërgojnë një mesazh SMS), kompjuteri mund të ngadalësojë dhe ngrijë, etj.
Të gjithë këta faktorë (sidomos në total) tregoni se ka softuer të padëshiruar në kompjuterin tuaj (, skriptet reklamuese, Trojans, etj.).
Për më tepër, një antivirus i rregullt, edhe pas një skanimi të plotë të kompjuterit, shpesh shkruan se gjithçka është në rregull, nuk u gjet asnjë virus. Dhe në këtë moment ka një ndjenjë se diçka nuk është në rregull këtu: kompjuteri po sillet çuditërisht, por antivirusi është joaktiv...
Në fakt, në këtë artikull dua të rekomandoj një recetë të vogël pastrimi vetëm për raste të tilla kur nuk është plotësisht e qartë se si ta ktheni kompjuterin në funksionimin normal. (kur sipas të gjitha indikacioneve kompjuteri është i infektuar me një virus, por një antivirus i zakonshëm nuk i sheh ato...).
Te ndihmosh!
Pavarësisht nga ajo që shkrova më lart, unë ende rekomandoj të keni një nga antiviruset moderne (ai do t'ju mbrojë nga qindra kërcënime të tjera). Rreth më të mirëve prej tyre në këtë artikull:
(pastrimi i Windows nga viruset klasike, shiritat e veglave, adware, etj.)
"Ndihma e parë:
- Mos dërgoni asnjë SMS siç kërkojnë disa banderola që shfaqen në desktopin tuaj. Kompjuteri juaj me shumë mundësi nuk do të "shërohet" nga ky infeksion dhe mund të humbni para...
- Instaloni një antivirus modern (lidhja me produktet më të mira është dhënë më lart). Vërej se disa lloje virusesh bllokojnë hyrjen në faqet e antivirusëve të mirënjohur (nëse është kështu, provoni të shkarkoni produkte të ngjashme nga faqe të tjera softuerësh);
- Bëni një kopje rezervë të të gjitha të dhënave të rëndësishme menjëherë, mundësisht në media të lëvizshme (për të ardhmen: këshillohet ta bëni paraprakisht);
- Nëse një virus ka bllokuar hyrjen në desktop (bllokoi të gjitha mjetet me banderolat e tij), provoni të ngarkoni Windows. Si mjet i fundit, përdorni.
HAPI 1: kontrollimi i sistemit duke përdorur një antivirus në internet
Shumë zhvillues të programeve të famshme antivirus kanë lëshuar kohët e fundit versionet online të produkteve të tyre. Parimi i punës me ta është mjaft i thjeshtë: duke shkarkuar një skedar "relativisht" të vogël dhe duke e drejtuar atë, ai automatikisht do të kontrollojë sistemin tuaj për viruse.
Për më tepër, produkte të tilla nuk bien ndesh me antivirusin e instaluar në sistem, funksionojnë në të gjitha versionet moderne të Windows, nuk kërkojnë instalim dhe ato gjithmonë kanë një bazë të dhënash të azhurnuar antivirus.
Pamja e mëposhtme e ekranit tregon procesin e kontrollit të një PC duke përdorur ESET Online Scanner (lidhja me softuerin -)
Pamja e mëposhtme e ekranit tregon punën e mjetit shërues nga F-Secure -
Gjithashtu i njohur në vendin tonë është Dr.Web CureIt! (lidhje direkte: ). Skedari i shkarkimit, megjithatë, është pak më i madh se dy të parët (rreth 200 MB).
Në përgjithësi, pavarësisht se çfarë produkti zgjidhni, unë rekomandoj të përdorni plotësisht sistemin tuaj me të. Shpesh, është e mundur të gjesh dhjetëra kërcënime që antivirusi i instaluar ka humbur...
HAPI 2: Hiqni shtesat e reklamave duke përdorur AdwCleaner
Mund të them që kohët e fundit nuk janë viruset klasikë ata që janë shumë më të zakonshëm, por adware dhe trojans. Përfshirja në aplikacionet më të njohura (shfletuesit, për shembull) Ata shpesh ndërhyjnë në punën normale, thjesht duke shpërqendruar me ndërhyrje, apo edhe duke bllokuar opsionet e nevojshme.
Gjë është se ato janë një lloj "të ngulitur" në shfletues (për shembull, nën maskën e një shtojce ose një lloj shtese), ndonjëherë ata shtojnë linjat e nevojshme në shkurtoren e shfletuesit, ndryshojnë skedarin, etj.
Për fat të mirë, ka programe për të pastruar Windows nga këto skripta me qëllim të keq, dhe unë do të rekomandoj një prej tyre më poshtë. Ai funksionon paralelisht me antivirusin tuaj (d.m.th. nuk ka nevojë ta fshini) dhe mund të heqë qafe pjesën e luanit të problemeve.
Pas nisjes së AdwCleaner, për të filluar skanimin e kompjuterit tuaj, ju duhet vetëm të shtypni një buton " Skanoje tani" (ose "Skano", në varësi të përkthimit). Shikoni pamjen e ekranit më poshtë.
AdwCleaner: dritarja kryesore (butoni për të filluar skanimin "Scan Now")
Koha për të kontrolluar Windows në një kompjuter "mesatar" sipas standardeve të sotme do të jetë vetëm 3-5 minuta. (ose edhe më shpejt). I gjithë softueri potencialisht i padëshiruar i gjetur gjatë skanimit do të hiqet dhe izolohet automatikisht (d.m.th. përdoruesi nuk ka nevojë të dijë absolutisht asgjë, kjo është arsyeja pse më pëlqen).
Shënim!
Pasi të kontrolloni kompjuterin tuaj, do të ndodhë riniset automatikisht. Pas nisjes së Windows, do t'ju ofrohet një raport testimi i Windows.
HAPI 3: Skanoni me Malwarebytes Anti-Malware
M alwarebytes Anti-Malware
Malwarebytes Anti-Malware / Logo
Një tjetër program i shkëlqyer për të luftuar viruset, krimbat, trojanët, spyware, etj. Malwarebytes Anti-Malware plotëson disi aftësitë e programit të mëparshëm - ai zbaton një algoritëm të veçantë "kameleoni", i cili e lejon atë të funksionojë edhe kur virusi bllokon nisjen e çdo programi tjetër antivirus!
Karakteristikat e programit:
- - skanimi i të gjithë disqeve në sistem;
- - përditësimi i bazës së të dhënave në baza ditore (për të luftuar edhe viruset e reja);
- - analiza heuristike (ju lejon të zbuloni një numër të madh skedarësh me qëllim të keq që nuk janë ende në bazën e të dhënave);
- - të gjithë skedarët e izoluar janë në karantinë (nëse programi bën një gabim, ju mund të rivendosni ndonjë prej tyre);
- - lista e përjashtimeve të skedarëve (të cilat nuk kanë nevojë të skanohen);
- - falë teknologjisë Chameleon, programi mund të fillojë edhe kur të gjitha programet e ngjashme janë të bllokuara nga një virus;
- - Mbështetje për gjuhën ruse;
- - Mbështetje për të gjithë Windows OS të njohur: Vista, 7, 8, 10.
Për të filluar skanimin e sistemit tuaj Windows, ekzekutoni Malwarebytes Anti-Malware, hapni seksionin "Scan" (ose "Scan") dhe klikoni butonin në fund të ekranit - "Scan Now" (ose "Filloni të kontrolloni" nëse keni një version rus, shihni pamjen e ekranit më poshtë).
Nga rruga, nga përvoja ime mund të them se Malwarebytes Anti-Malware bën një punë të shkëlqyeshme. Pas skanimit dhe pastrimit të tij, shumica e programeve të padëshiruara do të neutralizohen dhe hiqen. Në përgjithësi, ju rekomandoj ta shikoni!
HAPI 4: Rivendosni cilësimet e sistemit
Pasi kompjuteri juaj (laptopi) të jetë skanuar (dhe neutralizuar) nga shërbimet e mëparshme, unë rekomandoj ta përdorni me një program tjetër interesant dhe të dobishëm - AVZ. Unë e kam rekomanduar vazhdimisht në faqet e blogut, por tani do të rekomandoj tre hapa që duhet të ndërmerren në të për të eliminuar problemet (nëse mbeten akoma) ...
AVZ, meqë ra fjala, ju lejon të rivendosni disa cilësime të sistemit Windows, qasje në dispeçerët dhe pika të tjera (të cilat mund të dëmtohen nga viruset gjatë infektimit).
Një VZ
Ky mjet antivirus është krijuar për të hequr një gamë të tërë malware (disa prej të cilëve, meqë ra fjala, nuk mund të shihen ose zbulohen nga një antivirus i rregullt). Për shembull, të tilla si:
- programe trojane;
- Shtesat dhe shiritat e veglave në një shfletues uebi;
- Modulet SpyWare dhe AdWare;
- Modulet BackDoor;
- Krimbat e rrjetit etj.
Çfarë tjetër është magjepsëse në lidhje me të: për të filluar dhe skanuar sistemin Windows, thjesht duhet të shkarkoni arkivin ZIP me programin, ta nxirrni dhe ta ekzekutoni (d.m.th., nuk keni nevojë ta instaloni, konfiguroni, etj.). Do të kaloj tre hapat më poshtë në artikull që ju rekomandoj të bëni në të...
Si të skanoni kompjuterin tuaj për një virus në AVZ
Pas fillimit të programit, zgjidhni diskun e sistemit (të paktën atë, mundësisht të gjithë). Zakonisht shënohet gjithmonë me një ikonë karakteristike.
Pas kësaj, në anën e djathtë të ekranit, klikoni butonin "Start" për të filluar skanimin (nga rruga, mbi butonin "Start" mund të zgjidhni menjëherë se çfarë të bëni me malware, për shembull, fshij ).
Fillimi i kontrollit në AVZ | E klikueshme
Si rregull, kontrollimi i diskut të sistemit Windows për viruse është mjaft i shpejtë (5-10 minuta). Nga rruga, unë rekomandoj që të fikni përkohësisht antivirusin tuaj kryesor përpara një skanimi të tillë (kjo do ta përshpejtojë disi skanimin).
Si të mbyllni vrimat në cilësimet në Windows
(që mund të çojë në infeksion PC)
Nuk është sekret që Windows ka disa cilësime që nuk plotësojnë kërkesat optimale të sigurisë. Për shembull, ndër të tjera, nisja automatike e disqeve të futura dhe disqeve flash. Dhe, sigurisht, disa lloje virusesh përfitojnë nga kjo...
Për të përjashtuar cilësime të tilla dhe për të mbyllur vrima të tilla, në AVZ thjesht hapni menunë "Magjistari i skedarëve/zgjidhja e problemeve" (shih pamjen e ekranit më poshtë).
Pas skanimit, do t'ju ofrohet një raport me ato parametra që dëshironi të ndryshoni. Unë rekomandoj të kontrolloni të gjitha linjat dhe të klikoni "Saktë" (nga rruga, AVZ optimizon në mënyrë të pavarur ato parametra që, sipas mendimit të tij, nuk plotësojnë sigurinë - kështu që nuk ka punë manuale!) .
Si të rivendosni cilësimet e sistemit në Windows
(të cilat janë modifikuar nga malware)
Pasi kompjuteri juaj është infektuar me viruse, adware, etj., shumë parametra dhe cilësime të sistemit në Windows ndryshojnë. Për shembull, mund të keni bllokuar shikimin e disa sajteve, mund t'ju ndalohet hapja e redaktorit të regjistrit, cilësimet e Internet Explorer janë ndryshuar, etj.
Për t'i kthyer të gjitha këto në normalitet, programi AVZ ka një skedë të veçantë për rivendosjen e të gjithë parametrave më bazë. Për ta hapur, klikoni: "Rivendosja e skedarit / sistemit" (si në pamjen e ekranit më poshtë).
Më pas, do të shihni një listë të asaj që mund të restaurohet: thjesht shënoni kutitë që ju nevojiten (nga rruga, ju mund të shënoni gjithçka) dhe shtypni butonin " Kryen operacione të shënuara".
Si rregull, pasi të ketë përfunduar restaurimi, kompjuteri fillon të funksionojë normalisht.
Nëse sa më sipër nuk ju ndihmon, kushtojini vëmendje disa këshillave të tjera në hapin 5...
1. Skanoni sistemin në modalitetin e sigurt
Në disa raste, pastrimi i kompjuterit tuaj nga viruset pa modalitetin e sigurt është jorealiste! Fakti është se në modalitetin e sigurt, Windows ngarkon grupin minimal të softuerit, pa të cilin funksionimi i tij është i pamundur (d.m.th., shumë softuer të padëshiruar thjesht nuk funksionojnë në këtë mënyrë!).
Kështu, shumë nga ato që nuk mund të hiqen në modalitetin normal mund të hiqen lehtësisht në modalitetin e sigurt.
Nëse nuk mund të përdorni shërbimet që rekomandova më lart, provoni t'i ekzekutoni ato në Safe Mode. Ka shumë mundësi që jo vetëm të hapen, por edhe të gjejnë gjithçka që u “fshihet”...
Për të hyrë në modalitetin e sigurt- kur nisni kompjuterin, shtypni butonin disa herë F8- në menynë përkatëse që shfaqet, zgjidhni këtë modalitet.
Udhëzime! Si të hyni në modalitetin e sigurt || Windows 7÷10 -
2. Rivendosja e sistemit
Nëse keni një pikë rikuperimi që është krijuar përpara se viruset dhe programet reklamuese të infektojnë kompjuterin tuaj, është e mundur që rikthimi në të do ta rregullojë situatën...
Te ndihmosh!
Për të mos përsëritur veten këtu, ju rekomandoj të lexoni artikullin tim mbi rikuperimin e sistemit:
3. Riinstaloni Windows
Në përgjithësi, nuk jam mbështetës i riinstalimit të sistemit për çdo "teshtitje". Por në disa raste, është shumë më e lehtë dhe më e shpejtë të riinstaloni sistemin sesa të vuani nga malware.
Udhëzime! Instalimi i Windows 10 nga një USB flash drive (të gjitha hapat hap pas hapi) -
Kjo përfundon artikullin.
