Пока что я не знаю никого, кто бы прямо или косвенно не пострадал от действий компьютерных вирусов. Антивирусные компании много хотят за свои продукты, которые так и не обеспечивают надлежащей защиты. Спрашивается, зачем вообще тогда покупать антивирусное ПО? Все что создано человеком может быть уничтожено, это относится как к антивирусам, так и к вирусам. Человека обмануть намного сложнее, чем программу. Поэтому эта статья посвящена описанию методики обнаружения и деактивации вирусного программного обеспечения без антивирусного продукта. Запомните есть только одна вещь, ценность которую невозможно обойти/сломать/обмануть - это Знание, собственное понимание процесса. Сегодня я расскажу на реальных примерах как обнаружить и поймать у себя на компьютере Интернет-червей и шпионское ПО. Конечно есть еще много видов, но я взял самые распространенные и решил написать про то, что было у меня на практике, дабы не сказать чего лишнего. Если повезет в поиске расскажу про макро-вирусы, бэкдоры и руткиты. Итак перед тем как приступись, отмечу, в данной статье рассматриваю только операционную систему семейства NT, подключенную к интернету. У меня самого стоит Win2000 SP4, вирусы ловлю на WinXP PE. Итак перейдем к беглому, а затем и детальному анализу системы на предмет червей и шпионов. Беглым осмотром мы просто обнаружаем наличие программы и локализуем ее, детальный анализ уже идет на уровне файла и процессов. Там я расскажу о прекрасной программе PETools, впрочем всему свое время.
[Анализ системы]
Логично, что для того чтобы обнаружить и обезвредить вредоносную программу необходимо существование таковой программы. Профилактика остается
профилактикой, о ней поговорим позже, однако надо первым делом определить есть ли на компьютере вообще вирусы. Для каждого типа вредоносных программ соответственно есть свои симптомы, которые иногда видны
невооруженным глазом, иногда незаметны вовсе. Давайте посмотрим, какие вообще бывают симптомы заражения. Поскольку мы ведем речь о компьютере, подключенном к глобальной сети, то первым симптомом является
чрезмерно быстрый расход, как правило, исходящего трафика, это обуславливается тем, что очень многие интернет-черви выполняют функции DDoS-
машин или просто ботов. Как известно, при DDoS атаке величина
исходящего трафика равна максимальной величине трафика за единицу времени. Конечно, на гигабитном канале это может быть и не так заметно если проводится DdoS атака шириной с диалап соединение, но как правило
бросается в глаза заторможенность системы при открытии интернет ресурсов (Еще хотелось бы отметить, что речь пойдет о вирусах, которые хоть как то скрывают себя системе, ведь не надо объяснять ничего если
у вас в папке Автозагрузка лежит файл kfgsklgf.exe который ловится фаерволлом и т.д.). следующее по списку, это невозможность зайти на многие сайты антивирусных компаний, сбои в работе платных программ
типа CRC-error, это уже обусловлено тем, что достаточно многие коммерческие протекторы поддерживают функцию проверки четности или же целости исполняемого файла (и не только протекторы, но и сами разработчики
защит), что сделано для защиты программы от взлома. Не будем говорить об эффективности данного метода против крякеров и реверсеров, однако сигнализацией к вирусному заражению это может сработать идеально.
Плата начинающих вирмейкеров за не убиваемые процессы, то что при выключении или перезагрузке компьютера идет длительное завершение какого нибудь-процесса, или же вообще компьютер зависает при завершении
работы. Думаю про процессы говорить не надо, а так же про папку автозагрузка, если там есть что-то непонятное или новое, то, возможно, это вирус, однако про это попозже. Частая перезагрузка компьютера,
вылет из интеренета, завершение антивирусных программ, недоступность сервера обновления системы microsoft, недоступность сайтов антивирусных компаний, ошибки при обновлении антивируса, ошибки вызванные
изменением структуры платных программ, сообщение windows, что исполняемые файлы повреждены, появление неизвестных файлов в корневом каталоге, это лишь краткий перечень симптомов зараженной машины. Помимо
прямых вредоносных программ существует так называемое шпионской программное обеспечение, это всевозможные кейлоггеры, дамперы электронных ключей, нежелательные "помощники" к браузеру. Честно говоря, по
методу обнаружения их можно разделить на два противоположных лагеря. Допустим кейлоггер, присоединенный динамической библиотекой к оболочке операционной системы обнаружить на лету крайне сложно, и наоборот,
невесть откуда взявшийся помощник (плагин, строка поиска и т.д.) к internet Explorer"у (как правило) бросается в глаза сразу же. Итак, я думаю, настало время оставить эту пессимистическую ноту и перейти
к реалистичной практике обнаружения и деактивации вредоносного программного обеспечения.
[Обнаружение на лету]
%WINDIR%\Driver Cache\driver.cab
затем из папок обновления ОС, если таковые
имеются, после этого из %WINDIR%\system32\dllcache\ и уже потом просто из
%WINDIR%\system32\
Возможно, ОС скажет, что файлы повреждены и попросит диск с дистрибутивом, не соглашайтесь! А не то он восстановится
и опять будет открыта дыра. Когда вы проделаете этот шаг можно приступать к локализации вируса. Посмотреть какие приложения используют сетевое подключение, помогает маленькая удобная программа TCPView,
однако некоторые черви имеют хороший алгоритм шифрации или хуже того, прикрепляются к процессам либо маскируются под процессы. Самый распространенный процесс для маскировки - это, несомненно, служба svhost.exe,
в диспетчере задач таких процессов несколько, а что самое поразительное, можно создать программу с таким же именем и тогда отличить, кто есть кто практически невозможно. Но шанс есть и зависит от внимательности.
Первым делом посмотрите в диспетчере задач (а лучше в программе Process Explorer) разработчика программ. У svhost.exe это как не странно M$, конечно можно добавить подложную информацию и в код вируса, однако
тут есть пара нюансов. Первый и наверное главный состоит в том, что хорошо написанный вирус не содержит не таблицы импорта, не секций данных. Поэтому ресурсов у такого файла нет, а, следовательно, записать
в ресурсы создателя нельзя. Либо можно создать ресурс, однако тогда появится лишний объем файла, что крайне нежелательно вирмейкеру. Еще надо сказать про svhost.exe, это набор системных служб и каждая служба
- это запущенный файл с определенными параметрами. Соответственно в Панели управления -> Администрирование -> Службы,
содержатся все загружаемые службы svhost.exe, советую подсчитать количество
работающих служб и процессов svhost.exe, если не сходиться, то уже все понятно (только не забудьте сравнивать количество РАБОТАЮЩИХ служб). Подробнее в приложении А.
Надо так же отметить, что возможно
и среди служб есть вирус, на это могу сказать одно, список служб есть и на MSDN и еще много где в сети, так что просто взять и сравнить проблемы не составит. После таких вот действий вы сможете получить
имя файла, который возможно является вирусом. О том, как определять непосредственно вирус или нет, я расскажу чуть дальше, а сейчас оторвемся от рассуждений и посмотрим еще несколько моментов. Как вы, наверное,
уже знаете, для нормальной работы ОС необходимо всего 5 файлов в корневом каталоге, поэтому все остальные файлы вы можете смело удалять, если конечно вы не умудряетесь ставить программы в корневой каталог.
Кстати файлы для нормальной работы, вот они: ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Больше ничего быть не должно. Если есть и вы не знаете, откуда оно там появилось то переходите
к главе [Детальный анализ].Приаттачивание к процессам мы так же рассмотрим в главе [детальный анализ], а сейчас поговорим про автозапуск. Естественно вирус должен как-то загружаться при старте системы,
как правило. Соответственно смотрим следующие ключи реестра на предмет подозрительных программ. (А если вы уже нашли вирус, то ищите имя файла везде в реестре и удаляйте):
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskSchedulerHKLM\
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Это все было сказано про детектирование простых червей. Конечно, вычислить хороший скрытый вирус сложно. Обнаружение этого червя и его деативация заняли у меня около 10 минут времени, конечно, я знал,
где искать, это упростило задачу. Однако допустим на обнаружение хорошего бэкдора, кейлоггера, стелс-вируса, или же просто вируса, в котором используется перехват вызовов API-функций файловой системы (тогда
вирус получается действительно невидимым), потокового вируса, в общем, есть еще ряд нюансов, однако таких творений действительно мало, мало настоящих вирмейкеров в наши дни. Огорчает... Постараюсь рассказать
о них в следующих статьях. теперь перейдем к шпионским программам, или, как их называют буржуи SpyWare. Объяснять буду опять же на примерах шпионов, которых я ловил сам лично, чтобы мои слова не казались
пустой фантазией.
Начну я свой рассказ с самых распространенных шпионов. В одном небезызвестном журнале один хороший программист правильно назвал их блохами ослика. Простейший шпион очень часто скрывается
за невинным на вид тулбаром. Знайте, что если у вас, вдруг, откуда не возьмись, появилась новая кнопка или же строка поиска в браузере то считайте, что за вами следят. Уж очень отчетливо видно, если у вас
вдруг изменилась стартовая страница браузера, тут уж и говорить нечего. Конечно, прошу простить меня за некоторую некорректность в терминах. Вирусы, меняющие стартовые страницы в браузере вовсе не обязательно
будут шпионами, однако, как правило, это так и поэтому позвольте здесь в этой статье отнести их к шпионам. рассмотрим пример из жизни, когда я пришел на работу и увидел на одном компьютере странного вида
строку поиска в браузере, на мой вопрос откуда она взялась я так ничего и не получил. пришлось разбираться самому. Как вообще может пролезть шпион в систему? Есть несколько методов, как вы уже заметили
речь идет про Internet Explorer, дело в том, что самый распространенный метод проникновения вируса в систему через браузер - это именно посредством использование технологии ActiveX, саму технологию уже
достаточно описали и зацикливаться я на ее рассмотрении не буду. Так же заменить стартовую страницу, к примеру, можно простым Java-скриптом, расположенным на странице, тем же javascript можно даже закачивать
файлы и выполнять их на уязвимой системе. Банальный запуск программы якобы для просмотра картинок с платных сайтов известного направления в 98% случаев содержат вредоносное ПО. Для того чтобы знать, где
искать скажу, что существует три наиболее распространенных способа, как шпионы располагаются и работают на машине жертвы.
Первый - это реестр и ничего более, вирус может сидеть в автозагрузке, а может
и вообще не присутствовать на компьютере, но цель у него одна - это заменить через реестр стартовую страницу браузера. В случае если вирус или же скрипт всего лишь однажды заменил стартовую страницу, вопросов
нет, всего лишь надо очистить этот ключ в реесре, если же после очищения, через некоторое время ключ снова появляется, то вирус запущен и постоянно производит обращение к реестру. Если вы имеете опыт работы
с отладчиками типа SoftIce то можете поставить точку останова на доступ к реестру (bpx RegSetValueA, bpx RegSetValueExA) и проследить, какая программа, кроме стандартных, производит обращении к реестру.
Дальше по логике уже. Второй - это именно перехватчики системных событий, так назваемые хуки. Как правило, хуки используются больше в кейлоггерах, и представляют собой библиотеку, которая отслеживает и
по возможности изменяет системные сообщения. Обычно есть уже сама программа и прикрепленная к ней библиотека, поэтому исследуя главный модуль программы вы ничего интересного не получите.
Подробнее об
этом и следующем способе смотрите ниже в главе детальный анализ.
И, наконец, третий способ это прикрепление своей библиотеки к стандартным программам ОС, таким как explorer.exe и iexplorer.exe, проще говоря написание плагинов к этим программам. Тут опять же есть пара способов, это прикрепление с помощью BHO (об самом способе прикрепления писал Gorlum, пользуясь случаем привет ему и почет) и просто внедрение своей библиотеки в исполняемый файл. разница, какой понимаю ее я в том что Browser Helper Object описано и предложено самой корпорацией M$, и используется как плагин к браузеру, а внедрение библиотек - это уже не столько плагин, сколько как самодостаточная программа, больше напоминающая файловый вирус прошлых лет.
Предоставлю вам для общего обучения ключи реестра, куда могут прописаться недоброкачественные товары, в виде тулбаров, кнопок и стартовых страниц браузера.
Стартовая страница
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main параметр StartPage.
HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet
Explorer\Main параметр StartPage (S-1-5-21-.... этот ключ может быть разный на разных машинах)
Регистрирование объектов типа кнопок, тулбаров и т.д.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Explorer\Browser Helper Objects\
Вот тут регистрируется все "помошники" и если у вас таковых нет то ключ должен быть пуст, если не пуст, то удаляйте.
Итак, если у вас не все в порядке
с этими ключами, и вы хотите разобраться дальше, то смотрим дальше.
[Ищем получше]
Поскольку к моменту написания данной статью я хотел сделать ее понятной всем, то эта глава может и показаться
некоторым людям непонятной, но я старался упростить все как мог. Я не буду объяснять вас архитектуру PE-файла, хотя мы будем к ней обращатся. Подробнее есть множество мануалов в сети, а про PE-файлы хорошо
было написано Iczelion"ом. Может быть, когда ни будь, да опишу тоже.
Итак, приступая к детальному анализу нам потребуются некоторые инструменты, я использую в этом случае и советую использовать PETools
by NEOx и PEiD (Можно вообще обойтись одним Soft Ice"ом, но лучше побольше инструментов да попроще, для реверсеров отмечу, что сейчас пойдет речь о просмотре таблицы импорта и упакованности файла, поэтому
пропустите мимо ушей то извращение, которое вы сейчас увдите)
Значит, как я уже говорил, был такой случай, что в браузере появилась непонятно откуда строка поиска и стартовая страница. Проверив реестр,
я не нашел изменения статовой страницы, а так же не нашел регистрации плагинов в браузере. При детальном осмотре оказалась, что данная строка поиска (тулбар проще) появляется во всех окнах ОС. Это уже немного
меняло суть дела. Я предположил, что занимаются этим два независимых друг от друга шпиона и именно методом внедрения динамической библиотеки. При этом надо различать, что если тулбар был бы только в браузере,
значит, внедрился он в процесс iexplorer.exe, но у нас был он везде, следовательно, проверять надо было в explorer.exe. Я начал проерять браузер. Для этого я запустил PETools и просто посмотрел, какие библиотеки
использует браузер. Мне подвернулась удача в лице нерадивого вирмейкера, на фоне системных библиотек из %SYSTEMROOT% красовалась некая smt.dll с путем, уходящем, куда то в TEMP. Перезагрузка в безопасном
режиме и удаление этой библиотеки, и все в норме, шпион убит. Осталось только опять вызвать PETools, кликнуть правой кнопкой мыши на нашем процессе и произвести пересборку файла. Это самый простой случай
в моей практике. Перейдем к следующему, находим и убиваем тулбар. Тем же образом я посмотрел процесс explorer.exe и ничего бросающегося в глаза, не нашел. Из этого следует два варианта, либо я не знаю наизусть
всех библиотек, и тулбар затерялся среди них, либо мне не дано по знаниям его обнаружить. К счастью вышло первое. Но как же тогда отличить настоящую библиотеку от подложной. я скажу, а вы уже поймете сами.
Как известно вирмейкеры гонятся за минимализацией и зашифрованостью кода. То есть не один тулбар как правило не будет лежать в открытом виде, во-первых код можно уменьшить, а значит нужно, и во-вторых если
кто нибудь (чаще даже не антивирус, а конкурент) обнаружит данную библиотеку то ему незашифрованный код легче понять. Поэтому берем PEiD и производим массовое сканирование импортируемых библиотек. Библиотеки
от microsoft естественно написаны на visual C++ и ничем не упакованы, поэтому если мы видим (а я как раз увидел подозрительную seUpd.dll упакованную UPX) упакованную или зашифрованную библиотеку то 99%
это, то, что мы искали. Проверит она это или нет очень просто, переместите в безопасном режиме ее и посмотрите результат. Конечно, можно было бы распаковать, посмотреть дизасм листинг и подумать, что же
она делает, но не бдем в то углубляться. Если вы не нашли все-таки упакованную библиотеку, то полезно редактором ресурсов типа Restorator посмотреть версии файла, как я уже говорил у всех библиотек от M$
там так и написано. Вот на таких делах прокалываются вирмейкеры. Стыдно должно быть им вообще писать такие вирусы. На последок хочу еще заметить, что библиотека *.dll не обязательно может внедрятся в процессы.
В ОС Windows есть такое полезное приложение, как rundll32.exe, и я могу запускать с помощью этого процесса любую библиотеку. И при этом не обязательно в автозагрузке писать rundll32.exe myspy.dll, достаточно
прописать это внутри зараженного файла. Тогда вы будете видеть только свои (зараженные файлы, которые маловероятно будут детектироваться антивирусом) и процесс rundll32.exe, и больше ничего. Как быть в
таких случаях? Здесь уже придется углубляться в структуру файла и ОС, поэтому оставим это за рамками данной статьи. Насчет упакованности/зашифрованности вируса относится не только к библиотекам, но и ко
всем системным файлам. На этой приятной ноте я хочу закончить главную часть статьи, написано было много, однако это только 1% всех способов обнаружения. Мой способ пускай и не лучший, но я им пользуюсь
сам и довольно продуктивно (хорошо только не на своем компьютере). По возможности если получится, напишу продолжение про макро-вирусы, кейлоггеры и бэкдоры, словом про то, что я уже ловил.
[Благодарности]
Хотелось
бы высказать благодарности всем с кем я общаюсь за то, что они есть.
А так же людям, кто оказал на меня влияние и хоть как нибудь направил на путь истинный меня:
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0,
_4k_, foster, etc.
[приложение А]
Список системных служб svhost.exe (WinXP)
DHCP-клиентsvchost.exe -k netsvcs
DNS-клиент svchost.exe -k NetworkService
Автоматическое обновление
svchost.exe -k netsvcs
Вторичный вход в систему svchost.exe -k netsvcs
Диспетчер логических дисков svchost.exe -k netsvcs
Запуск серверных процессов DCOM svchost -k DcomLaunch
Инструментарий
управления Windows svchost.exe -k netsvcs
Клиент отслеживания изменившихся связей svchost.exe -k netsvcs
Модуль поддержки NetBIOS через TCP/IP svchost.exe -k LocalService
Обозреватель компьютеров
svchost.exe -k netsvcs
Определение оборудования оболочки svchost.exe -k netsvcs
Рабочая станция svchost.exe -k netsvcs
Сервер svchost.exe -k netsvcs
Служба восстановления системы svchost.exe
-k netsvcs
Служба времени Windows svchost.exe -k netsvcs
Служба регистрации ошибок svchost.exe -k netsvcs
Службы криптографии svchost.exe -k netsvcs
Справка и поддержка svchost.exe -k netsvcs
Темы
svchost.exe -k netsvcs
Уведомление о системных событиях svchost.exe -k netsvcs
Удаленный вызов процедур (RPC) svchost -k rpcss
Центр обеспечения безопасности svchost.exe -k netsvcs
Диспетчер
авто-подключений удаленного доступа svchost.exe -k netsvcs
Протокол HTTP SSLsvchost.exe -k HTTPFilter
Расширения драйверов WMI svchost.exe -k netsvcs
Служба загрузки изображений (WIA)svchost.exe
-k imgsvc
Служба обеспечения сетиsvchost.exe -k netsvcs
Служба серийных номеров переносных устройств мультимедиа
svchost.exe -k netsvcs
Совместимость быстрого переключения пользователей
svchost.exe
-k netsvcs
Съемные ЗУsvchost.exe -k netsvcs
Узел универсальных PnP-устройствsvchost.exe -k LocalService
Управление приложениямиsvchost.exe -k netsvcs
Фоновая интеллектуальная служба передачиsvchost.exe
-k netsvcs
Диспетчер подключений удаленного доступаsvchost.exe -k netsvcs
Сетевые подключенияsvchost.exe -k netsvcs
Система событий COM+svchost.exe -k netsvcs
Служба обнаружения SSDP svchost.exe
-k LocalService
Служба сетевого расположения (NLA)svchost.exe -k netsvcs
Службы терминаловsvchost -k DComLaunch
Телефонияsvchost.exe -k netsvcs
Windows Audiosvchost.exe -k netsvcs
Доступ
к HID-устройствамsvchost.exe -k netsvcs
Маршрутизация и удаленный доступsvchost.exe -k netsvcs
Оповещатель svchost.exe -k LocalService
Планировщик заданийsvchost.exe -k netsvcs
Служба сообщений
svchost.exe -k netsvcs
------ Итого шесть процессов при работе всех служб -------
Содержание
Всем привет Думаете что у вас есть вирус? Или хотите как-то проверить, есть он или нет? Честно говоря, я тут не знаю что вам сказать, дело в том, что проги для того чтобы просто проверить есть вирусы или нет, то такой проги нет. Можно правда сделать иначе, можно скачать антивирусную утилиту и проверить комп ней, но если будут вирусы, то их не удалять. Тут вы получите то что хотели, то есть узнаете есть вирусы на компе или нет. Но я думаю, что вы со мной согласны, что это тупо какой-то бред, ну такая проверка, без удаления самих вирусов, в случае если они будут найдены.. Короче бред, согласны?
Но есть ли какие-то так бы сказать симптомы того, что на компе живет вирус? Ну, что вам тут сказать, с одной стороны есть, с другой их может и не быть совсем.. Дело в том, что это раньше вирусы могли баловаться, делать какую-то ерундовину, шкодничать так бы сказать.. Но сегодня они уже умнее и они запрограммированы так бы сказать на скрытую работу, то есть чтобы их было невозможно заметить.
Но есть и такие вирусяки, которые заметны, итак ребята, вот вам список частых признаков, по которым можно понять, что у вас вирус:
- ваш комп или ноутбук странно себя ведет, иногда он может регулярно подвисать, тормозить, при этом видимых причин на это нет, то есть то комп работает нормально, то странно;
- вы сидите в браузере, смотрите интернет, однако реклама не совсем та, которая была раньше; также может быть реклама и там, где ее раньше никогда не было, ну например поисковики, у них своя так бы сказать фирменная реклама и никакой левой быть не должно;
- реклама не совсем стандартная, то есть вы можете заметить, что большинство рекламы на зарубежном языке, это означает что вирус показывает рекламу зарубежную, потому что сам вирус оттуда и в принципе его не делали для русскоязычных юзеров, ну примерно так;
- после загрузки винды еще что-то происходит, то есть диск шуршит, что-то там делается, хотя причин для этого нет;
- иногда или регулярно мышка меняет свой значок на значок ожидания, то есть как будто какое-то действие делается и ожидается его завершение; в большинстве случаев это верный признак того, что в компе что-то не так и скорее всего вирус таки есть;
- заблокированы сайты антивирусов, вы не можете скачать ни один антивирус или антивирусную утилиту; если вы такое замечаете, то увы, это тоже очень и очень похоже на вирус;
- вы непонятно почему не можете зайти в свою почту или в ВКонтакте ну или в другую социальную сеть; при этом пароль вы не меняли, то есть непонятно почему, но войти вы не можете; при этом телефон не подходит уже для восстановления, ну это на тот случай, если он был привязан; или наоборот, телефон подходит и вы можете доступ восстановить, но потом ситуация может снова повторится; это все говорит о том, что или у вас вирус или по отношению к вам была предпринята попытка извлечения пароля обманным способом так бы сказать, например при помощи фишинга;
- файлы не открываются, то есть например у вас есть музыка, то есть музыкальные файлы и вот вы пытаетесь их открыть, но реакции ровно ноль, это тоже признак вируса;
- всплывающие сообщения в самом компьютере, обычно выезжает небольшое окошко и там в нем непонятная реклама; вот именно за это окошко и отвечает вирусный процесс;
- сбои в работе программ, например у вас браузер открывается таким, будто вы его только установили;
- вы не можете сохранить файл в браузере, то есть вы пытаетесь сохранить, но реакции ноль, или же наоборот, диалог сохранения выскакивает, но вот ничего потом не качается; у меня такое было и честно говоря я тогда так и не понял вирус это или нет, ибо потом я взял и почистил винду антивирусной утилитой, после чего все уже было нормалек;
Это так бы сказать примерные признаки того, что у вас есть или вирус на компе или прога с вирусным поведением. Что еще интересно, что не все антивирусы проги с вирусным поведением относят к опасным. Часто такие проги живут себе спокойно, а вы даже не подозреваете о том, что они только тормозят работу компа, также такие проги еще могут и другие проги скачать, тоже такие вирусные, так бы сказать коллеги по цеху.
Что делать в таком случае? Я скажу честно, а вы хотите верьте, а хотите нет, но самое лучшее, это не искать вирусы самому, не удалять какие-то подозрительные проги, а просто воспользоваться двумя прогами, это AdwCleaner и Dr.Web CureIt!, это бесплатные и лучшие инструменты для поиска вирусов. Я о них сегодня расскажу, думаю что вам все будет понятно и вы будете знать как почистить комп от вирусов
Итак ребята, все показывать я буду в Windows 7, но для других виндовс все аналогично. Начнем с AdwCleaner, скачать эту утилиту можно вот здесь:
Там нажимаете на скачать и все, потом запускаете, там еще нужно будет нажать Я согласен, ну это типа лицензионное соглашение. И все, потом уже прога запустится, не нужно будет ее даже устанавливать, вот смотрите как она выглядит:
Ой, вот что-то я совсем забыл написать о том, для чего вообще нужна утилита AdwCleaner! Эта утилита нужна для поиска вирусных прог, то есть не полноценных вирусов, а таких программ, которые только вредят компу, такие проги еще называют рекламными вирусами. В общем я советую вам сделать проверку компа утилитой AdwCleaner, значит в окне нажимаете на кнопку Сканировать и ждете окончания проверки. Во время проверки будет проверяться все что только можно, это и расширения браузеров, там спокойно могут быть вирусные расширения, также будут проверяться все системные папки, службы, реестр, ярлыки браузеров, запланированные задачи, в общем будет проверяться все что нужно, поверьте. Проверка сама по себе очень тщательная. Потом, когда утилита AdwCleaner все проверит, то вам нужно будет нажать кнопку Очистить, чтобы весь вирусный мусор был удален (перед этим можете посмотреть по вкладкам что и где было найдено, ну если вам конечно это интересно):
Потом появится сообщение, там говорится, что утилита AdwCleaner сама закроет все проги, поэтому сохраните все то, что может быть потеряно при закрытии прог. Короче вы лучше сами закройте все проги которые можете и потом уже в этом сообщении нажимайте ОК:
Потом начнется удаление вирусного мусора. Кстати, прикол, но вирусного мусора было найдено ну так не очень много но и не прям уж мало. А знаете что самое интересное при этом? У меня то на компе Аваст стоит.. Но он ничего такого не заметил… Вот такой прикол.. Ну ладно, короче потом появится сообщение, оно носит просто информативных характер, но я советую все прочитать, что там написано, это все таки будет полезная инфа для вас:
Ну и потом будет еще одно сообщение, это уже по поводу того, что будет сделана перезагрузка (без нее никак):
После перезагрузки откроется отчет, в котором будет написано что было сделано, ну то есть что было удалено, какие папки там, файлы, короче можно почитать в принципе, вот какой отчет открылся у меня:
Ну вот первую часть мы сделали, это проверили комп утилитой AdwCleaner, теперь пора проверить комп утилитой Dr.Web CureIt!, которая уже нацелена на поиск серьезных вирусов, ну типа троянов, червей всяких и всего такого. Значит утилиту Dr.Web CureIt! можно скачать вот отсюдова:
Там нажимаете Скачать бесплатно, ничего сложного нет
Кстати, что мне очень нравится еще, так это то, что утилита Dr.Web CureIt! будет качаться со случайным именем, это специально для того, чтобы вирусы не поняли что вы качаете антивирусную утилиту! Да, такие вирусы существуют и это не шутка! Вот например у меня утилита скачивалась вот с таким именем:
Итак, скачали утилиту, запускаем ее, появится вот такое окошко, это виндовская безопасность такая, тут нажимаете Запустить (у вас этого окна может и не быть вообще):
Потом появится окно, там нужно будет поставить галочку, что вы принимаете участие в программе улучшения качества, без этого вы не сможете нажать на кнопку Продолжить:
И вот уже потом можно будет проверять комп на вирусы, для этого останется нажать кнопку Начать проверка:
Начнутся искаться вирусы:
Внизу будет небольшая табличка, там будут указаны вирусы, ну конечно если они будут найдены. Сама проверка может занять некоторое время, так как проверяются все файлы, все папки, в общем чем больше у вас файлов на жестком диске, тем дольше будет идти проверка. Если у вас стоит не обычный жесткий диск, а SSD, то проверка должна быть на порядок быстрее. Вот проверка и закончилась, у меня были найдены какие-то вирусы и вирусные проги, вот они, смотрите:
В общем нажимаю я кнопку Обезвредить и пошел процесс удаления всей это вирусни:
Ну и вот смотрите, пожалуйста, утилита сработала просто четко и все, смотрите сами, все что было найдено, все это было удалено:
Ну что ребята, какие у вас мысли? Как мне кажется, то просто суперски сработала утилита Dr.Web CureIt! и думаю что вы со мной согласны! Потом, когда вы закроете окно Dr.Web CureIt!, то будет написано, что типа для того чтобы довести дело до конца, то нужно сделать перезагрузку:
Вы знаете что? Вы эту перезагрузку не откладывайте, а сделайте лучше ее сразу! Перед перезагрузкой сохраните все данные, ну там закройте документы, проги, ну чтобы ничего у вас не пропало, может вы что-то делали за компом, вот это и сохраните, а потом уже нажимайте кнопку Перезагрузить сейчас
Еще важное кое что должен написать. После перезагрузки у вас может комп немного медленнее загружаться, это будет один раз и мне кажется что это связанно как-то с Dr.Web CureIt!, потом когда я сделал снова перезагрузку, то все уже было нормалек!
Как я уже писал, может быть и такое, что вы скачать не сможете антивирусные утилиты. Это можно так сказать очень редкий и неприятный облом, и знаете что? Ребята, он у меня был, правда это было давно! Что нужно в таких случаях делать? Ну, тут я скажу вот что, вам нужно любым способом проверить комп, попробуйте скачать утилиту у знакомого на флешку, ну и потом запустите утилиту у себя на компе. Да, это гемор еще тот, но можете попробовать еще поискать какие-то такие утилиты, которые все таки получится скачать! Очень хорошо в таких случаях еще обратится на форум по безопасности, там ребята часто помогают чем могут..
Ну что ребята, пора немного подвести итоги так бы сказать. Что мы сделали, о чем я вам тут писал? Я рассказал вам о двух утилитах, которые позволяют узнать есть вирусы на компе или нет, ну и конечно если они есть, то лучше их удалить, утилиты это тоже умеют делать. Эти две утилиты, это реально эффективные инструменты против почти всех вирусов и рекламной всякой ерунды. Очень настоятельно рекомендую этими утилитами пользоваться, если у вас есть желание, то также можете посмотреть и утилиту HitmanPro, о ней я писал вот здесь:
Ну все ребята, на этом все, надеюсь что все вам тут было понятно, а если что-то не так, то извините. Удачи вам в жизни и чтобы все у вас было хорошо
24.12.20162. Медленная работа системы
Если вы не запускали никаких ресурсоемких программ, а система работает медленно, это тоже повод для проверки. Перед этим советуем самостоятельно удалить из меню автозагрузки лишние программы. Как правило, эта проблема говорит о наличии троянов в системе.
3. Пропадают файлы
Если вы вдруг не обнаруживаете важных для вас файлов и чрезмерную активность жесткого диска при бездействующей системе, есть все основания серьезно заняться состоянием ноутбука. Проверьте его на вирусы установленным сканером и попробуйте использовать дополнительные антивирусные утилиты.
4. Странности в работе Windows
Если у вас на экране появляются различные диалоговые окна при загрузке, тоже стоит задуматься о том, нет ли в системе вирусов.
5. Подозрительные сообщения
Если система отказывается открывать какие-либо файлы или программы, раньше работавшие нормально, однозначно нужно проверить ноутбук на вирусы , а то и обратиться в центр по обслуживанию электроники.
6. Проблемы в работе приложений
Различные приложения при заражении вирусами могут полностью отказывать либо работать очень плохо. Не игнорируйте эту проблему.
7. Слишком высокая сетевая активность
Если маршрутизатор постоянно мигает в моменты, когда вы не используете интернет, либо браузер неадекватно реагирует на ваши действия, нужно срочно очистить систему от нежелательных программ и вирусов.
8. Нестабильная работа электронной почты
Исчезновение писем, попадание спама и другие неполадки тоже должны заставить вас задуматься.
9. Попадание IP в черный список
Если на каком-либо ресурсе вы встретили такое сообщение - срочно займитесь состоянием вашего ноутбука.
10. Неожиданное отключение антивируса
Тут всё очевидно. Произвольное отключение антивируса возможно только под действием вредоносных программ.
Как предотвратить заражение вирусами?
Советы по профилактике заражения вирусами просты, но не будет лишним их повторить:
Пользуйтесь антивирусом и регулярно его обновляйте;
Не скачивайте подозрительные файлы и не посещайте сайты с подозрительным контентом;
Проверяйте на вирусы ваш USB-диск.
без использования каких-либо программ — антивирусов
Здесь мы покажем вам, как можно самостоятельно обнаружить и затем удалить файлы, способные нанести вред вашему компьютеру, или вирусы самостоятельно (вручную) без использования каких-либо антивирусных программ.
Это несложно . Давайте начнём!
Как удалить вирус самостоятельно
Действовать необходимо на правах администратора.
Для начала надо открыть командную строку. Для этого нажмите сочетание клавиш WINDOWS + R и в появившемся окне в строке введите cmd и нажмите ОК .
Команда cmd в командной строке
Либо, нажав кнопку Пуск в нижнем левом углу экрана монитора, в строке поиска начните набирать «командная строка », а затем по найденному результату кликните правой кнопкой мышки и выберите «Запуск от имени администратора ».
Вызов командной строки через поиск
Запуск командной строки от имени администратора
Кратко о том, какие цели у наших будущих действий:
С помощью команды attrib нужно найти такие файлы, которые не должны находиться среди системных файлов и потому могут быть подозрительными.
Вообще, в C: / drive не должно содержаться никаких .exe или .inf файлов. И в папке C:\Windows\System32 также не должны содержаться какие-либо, кроме системных, скрытые или только для чтения файлы с атрибутами i, e S H R .
Итак, начнём ручной поиск подозрительных, файлов, то есть вероятных вирусов, самостоятельно, без использования специальных программ.
Откройте командную строку и вставьте cmd . Запустите этот файл от имени администратора.
Открываем cmd
Прописываем в строке cd/ для доступа к диску. Затем вводим команду attrib . После каждой команды не забываем нажимать ENTER:
Команда attrib в командной строке
Как видим из последнего рисунка, файлов с расширениями .exe или .inf не обнаружено.
А вот пример с обнаруженными подозрительными файлами:
Вирусы в системе Windows
Диск С не содержит никаких файлов .еxе и. inf , пока вы не загрузите эти файлы вручную сами . Если вы найдёте какой-либо файл, подобный тем, которые мы нашли, и он отобразит S H R , тогда это может быть вирус .
Здесь обнаружились 2 таких файла:
autorun. inf
sscv.exe
Эти файлы имеют расширения .еxе и. inf и имеют атрибуты S H R . Значит, эти файлы могут быть вирусами .
Теперь наберите attrib -s -h -г -а -i filename. extension . Или в нашем примере это:
attrib — s — h — г — а -i autorun. inf
Эта команда изменит их свойства, сделав из них обычные файлы. Дальше их можно будет удалить.
Для удаления этих файлов введите del filename. extension или в нашем случае:
del autorun.inf
То же самое надо проделать со вторым файлом:
Удаление вирусов вручную
Теперь перейдём к папке System32.
Впишите cd win* и нажмите ENTER.
Снова введите s ystem32. Нажмите ENTER.
Затем впишите команду attrib . Нажмите ENTER.
Появился вот такой длинный список:
Снова вводим внизу команду attrib , не забывая нажать потом ENTER :
И находим вот такие файлы:
Подозрительные файлы в папке Windows
При перемещении вверх-вниз экран перемещается очень быстро, поэтому когда мелькнёт что-то новое, приостановитесь и вернитесь назад‚ чтобы проверить каждый файл, не пропустив ни одного.
Подозрительные файлы в папке Windows
Выписываем себе все найденные S H R файлы :
- atr. inf
- dcr. exe
- desktop. ini
- idsev.exe
Выполните команду attrib 3 или 4 раза, чтобы убедиться, что вы проверили всё.
Ну, вот. Мы самостоятельно нашли целых 4 вредоносных файла! Теперь нам нужно удалить эти 4 вируса.
C:\Windows\System32>attrib -s -h -r -a -i atr.inf
C:\Windows\System32>del atr.inf
C:\Windows\System32>attrib -s -h -r -a -i dcr.exe
C:\Windows\System32>del dcr.exe
C:\Windows\System32>attrih -s -h -r -a -i desktop.ini
C:\Windows\\System32>del desktop.ini
C:\Windows\System32>attrib -s -h -r -a -i idsev.exe
C:\Windows\System32>del idsev.exe
Удаляем вирусы с компьютера самостоятельно
Аналогичную операцию надо провести с другими папками, вложенными в каталог Windows.
Нужно просканировать ещё несколько таких каталогов, как Appdata и Temp . Используйте команду attrib , как показано в этой статье, и удалите все файлы с атрибутами S H R, которые не имеют отношения к системным файлам и могут заразить ваш компьютер.
Похожие статьи
