Як видалити вірус з ком'ютера - всі хитрощі в одному флаконі. - Cryptoworld

1. Дивимося в автозавантаження
2. ДЕЯКІ ПОПУЛЯРНІ МІСЦЯ У РЕЄСТР У малваре
3. параметри системи
4. Що таке Secure Boot
5. Як відключити Secure Boot
6. ЯК ЩЕ МОЖНА проникнути в БІОС (UEFI) У WINDOWS 8 (8.1)
7. ЩО МОЖНА ЗРОБИТИ ЗА ДОПОМОГОЮ LIVE CD (ВИКОРИСТОВУЄМО ДИСКИ ВІДНОВЛЕННЯ СИСТЕМИ ВІД РІЗНИХ ВИРОБНИКІВ...
8. ЯК ПРАВИЛЬНО ПОПРОСИТИ ПРО ДОПОМОГУ (ЗАКЛИКАЄМО на підмогу КОЛЕКТИВНИЙ РОЗУМ ПОРТАЛУ VIRUSINFO.INFO)

Скільки разів у житті Вас просили допомогти «полікувати» заражений комп'ютер? Думаю не мало, як і мене втім. І найсмішніше в тому що це не така вже й хитра штука - видалити вірус з ком'ютера, звичайно якщо знаєш що робити. І сьогодні ми розповімо про основні способи лікування від зловредів в доступній формі. І ви в наступний раз зможете просто дати цю інструкцію прочитати своїм друзям, Приставки яких погано себе почувають від застуди 🙂

Дивимося в автозавантаження

Autoruns

Як відомо, для того, щоб як слід влаштуватися в системі, малваре повинна насамперед забезпечити свій запуск разом зі стартом системи. У Windows досить багато місць і можливостей для цього. Подивитися всі ці місця можна за допомогою досить відомої у вузьких колах програми Autoruns , Що входить в набір утиліт від Sysinternals.

Утиліта показує всі програми, сервіси та бібліотеки, так чи інакше запускаються разом з системою, і дає можливість прибрати будь-яку програму з цих списків (або на час, або назавжди).

Тут варто зазначити, що багато шкідливі програми перевіряють те місце, де була прописана автозавантаження, і відновлюють всі записи в разі їх видалення, тому після того, як підозрілі програми видалені зі списків автозапуску, необхідно перевірити, чи не з'явилися вони там знову, натиснувши кнопку Refresh (або клавішу F5).

[Ad name = "Responbl»]

Якщо ця програма знову з'явилася в списку автозавантаження, то, по-перше, з розряду підозрілих програм її необхідно переносити в розряд однозначно шкідливих (жодна нормальна програма - за дуже і дуже невеликим винятком - не буде постійно перевіряти себе в автозапуску і відновлювати себе там ), а по-друге, для того, щоб видалити таку програму з автозавантаження, її потрібно спробувати зупинити диспетчером завдань.

Але знову ж таки багато шкідливих програм активно протидіють цьому, і вбити процес таких шкідливих програм за допомогою стандартного диспетчера завдань не виходить. У цьому випадку нам може прийти на допомогу будь-якої нестандартний диспетчер задач, наприклад Process Hacker.

Process Hacker - безкоштовна утиліта з відкритим вихідним кодом для моніторингу системних служб і процесів, запущених на комп'ютері. Є дуже потужний інструмент, що дозволяє робити безліч маніпуляцій з процесами, службами, їх моніторинг та аналіз (в тому числі і динамічних бібліотек DLL). це:

• Завершення процесів (можливе використання сімнадцяти способів завершення процесів, дозволяє впоратися практично з будь-яким процесом, запущеним в системі);
• припинення функціонування процесу та відновлення їх;
• перегляд статистики та історії виконання процесів;
• перегляд дампа пам'яті процесу;
• перегляд потоків, змінних середовища, хендлов;
• читання і правка дескрипторів безпеки для процесів і потоків;
• виявлення прихованих процесів;
• вивантаження DLL;
• перегляд і закриття мережевих підключень
  і багато іншого.

Для припинення виконання підозрілого процесу вибираємо в меню, що випадає після кліка по правій кнопці миші, Suspend; щоб гарантовано завершити шкідливий процес - в цьому ж меню Miscellaneous; далі Terminator, вибираємо потрібні способи завершення процесу (можна все відразу, який-небудь точно спрацює) і тиснемо Run Selected.

Після цього можна видаляти запис в автозавантаження, не боячись її повторного відновлення, і видалити сам файл шкідливої ​​програми, шлях до якої можна подивитися в тому ж Autoruns'е. Крім Process Hacker'а, можна використовувати Process Explorer з того ж набору утиліт Sysinternals, правда, він має трохи менше різнобічними можливостями.

Anvir Task Manager

Дана утиліта поєднує в собі можливості менеджера автозавантаження і менеджера процесів. Дозволяє проводити аналіз програм і служб, що запускаються одночасно з системою, а також отримувати повну інформацію про запущені процеси і сервісах, в тому числі:

• Відстежувати повну інформацію про запущені процеси: шлях, командний рядок, використання пам'яті, диска і процесора, завантажені DLL, використовувані файли, створені вікна, потоки і хендла, лічильники продуктивності, інформацію про версію файлу;
• керувати областями автозапуску Windows: відключати, редагувати, відстежувати і блокувати спроби програм додати себе в автозавантаження;
• прискорити час завантаження Windows за рахунок відключення непотрібних програм і використання функції відкладеного запуску програм, автоматично змінювати пріоритет процесів або завершувати процеси за заданим шаблоном;
• аналізувати інформацію про поточне завантаження процесора і жорсткого диска.

Програма існує в платному (Anvir Task Manager Pro) і в безкоштовному (Anvir Task Manager Free) варіанті, який від платного відрізняється злегка урізаною функціональністю.

ДЕЯКІ ПОПУЛЯРНІ МІСЦЯ У РЕЄСТР У малваре

Автозавантаження

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx

HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun

HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce

HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnceEx

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun

HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKLMSystemCurrentControlSetServices

HKLMSOFTWAREMicrosoftWindowsCurrentVersion -

ExplorerBrowser Helper Objects

HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersion -

ExplorerBrowser Helper Objects

параметри системи

Для того щоб перешкодити користувачеві знешкодити заражену систему, деякі зразки малварі вносять до реєстру зміни, що забороняють використання диспетчера задач, командного рядка і редактора реєстру. Також будуть захищені від несанкціонованого відключення контролю облікових записів (UAC).

У гілці HKСUSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
параметр DisableRegistryTools:
0 - дозволити використання редактора реєстру;
1 - заборонити використання редактора реєстру;
параметр DisableTaskMgr:
0 - дозволити використання диспетчера задач;
1 - заборонити використання диспетчера задач;
параметр EnableLUA:
0 - вимкнути UAC;
1 - включити UAC.

У гілці HKCUSoftwarePoliciesMicrosoftWindowsSystem
параметр DisableCMD:
0 - дозволити використання командного рядка;
1 - заборонити використання командного рядка;
2 - дозволити запуск командних файлів.

Що таке Secure Boot

Secure Boot - одна з опцій UEFI, призначена для захисту комп'ютера від буткіти, низькорівневих експлойтів і руткітів. У режимі безпечного завантаження менеджер завантаження UEFI буде виконувати тільки підписаний цифровим сертифікатом код, який він звіряє зі своєю власною базою даних.

Дізнатися стан цієї опції можна за допомогою команди msinfo32.exe або по напису в правому нижньому кутку екрану:

Стан опції безпечного завантаження за допомогою msinfo32.exe і напис в правому нижньому кутку екрану

Як відключити Secure Boot

Дана процедура дуже сильно залежить від конкретного виробника ноутбука або материнської плати, хоча загальний зміст її однаковий для всіх комп'ютерів. Опція протоколу безпечного завантаження Secure Boot в основному знаходиться в розділах Security, рідше System Configuration або Boot, там потрібно поставити значення Disabled. Далі необхідно включити режим сумісності з іншими операційними системами, називається він теж у всіх виробників по-різному (Launch CSM, CMS Boot, UEFI and Legacy OS або CMS OS) і знаходиться в основному розділі під назвою Advanced, далі підрозділ BOOT MODE або OS Mode Selection. Після зміни необхідних параметрів не забудь їх зберегти.

Вимкнення Secure Boot на ноутбуці з InsydeH20 setup utility

ЯК ЩЕ МОЖНА проникнути в БІОС (UEFI) У WINDOWS 8 (8.1)

Cпособ 1
У командному рядку вводимо:

спосіб 2
На панелі праворуч тиснемо «Параметри», потім - «Зміна параметрів кому п'ютера -> Оновлення та відновлення». У ньому відкриваємо пункт «Відновлення» і в пункті «Особливі варіанти завантаження» тиснемо «Перезавантажити зараз». Далі вибираємо «Діагностика», після тиснемо «Додаткові параметри» і потім «Параметри вбудованого ПО UEFI». Після всього цього на-
каємо «Перезавантаження».

спосіб 3
Натискаємо кнопку вимикання комп'ютера в бічній панелі і потім, спини вая клавішу Shift, тиснемо «Перезавантаження». Після чого з'являться ті ж «Особливі варіанти завантаження», що і в другому способі. Далі діємо за аналогією.

ЩО МОЖНА ЗРОБИТИ ЗА ДОПОМОГОЮ LIVE CD (ВИКОРИСТОВУЄМО ДИСКИ ВІДНОВЛЕННЯ СИСТЕМИ ВІД РІЗНИХ ВИРОБНИКІВ антивірусні програми)

Антивірусний Live CD - це рішення для відновлення системи, приведеної в неробочий стан різного роду комп'ютерними інфекціями. Практично всі виробники антивірусних засобів пропонують своїм користувачам подібний, в більшості випадків безкоштовно.

[Ad name = "Responbl»]

Як правило, таке рішення є завантажувальний диск на базі одного з дистрибутивів Linux, до складу якого, крім безпосередньо компонентів самої Linux, включені утиліти сканування і лікування системи від малварі. Крім цього, до складу таких Live CD можуть входити будь-які додаткові програмні засоби (утиліти редагування і відновлення реєстру, утиліти редагування розділів диска, утиліти налаштування мережі та інші).

Коротку характеристику Live CD деяких, найбільш популярних в нашій країні виробників антивірусів можна подивитися в таблиці 1.

Таблиця 1. Коротка характеристика п'яти завантажувальних дисків найбільш популярних у нас антивірусних компаній

Обраний спосіб Live CD можна записати як безпосередньо на диск (CD або DVD), так і на флешку. У Windows 7 і вище образ на диск можна записати допомогою звичайних методів тестування, досить по файлу образу натиснути правою кнопкою миші, вибрати «Відкрити за допомогою», далі «Засіб запису образів дисків Windows». У більш ранніх версіях для запису образів на диск потрібно використовувати спеціально призначену для цього програму, наприклад Nero Burning ROM або її безкоштовний аналог, що-небудь типу Img Burn або Ashampoo Burning Studio.

Для запису завантажувального образу на флешку можна використовувати утиліти, пропоновані для цього деякими антивірусними компаніями разом з образами Live CD, або, наприклад, утиліту WinSetupFromUSB . Вибираємо в ній потрібний USB-накопичувач, потрібний файл образу, відзначаємо пункт Auto format it with FBinst і запускаємо процес.

Якщо у тебе комп'ютер або ноутбук не дуже нові і без попередньо встановленою Win 8 або вище, то завантаження з підготовленого завантажувального диска або флешки не складає труднощів. Входимо в БІОС (зазвичай це клавіші Del або F2, натиснуті в момент завантаження), ме няемое пріоритет завантаження на CD-ROM або USB-накопичувач (тут варто зазначити, що можливість завантаження з USB реалізована не у всіх комп'ютерах) і чекаємо, коли пройде завантаження.

Якщо на комп'ютері встановлена ​​«вісімка» або що вище, то в режимі UEFI (в пода-
вляющем більшості випадків так воно і є) можуть виникнути деякі труднощі. По-пер-
вих, бувають складнощі з входом в БІОС при завантаженні комп'ютера, по-друге, для того, щоб за
грузиться з Live CD, на таких комп'ютерах необхідно вимкнути так званий режим безпечного завантаження.

Послідовність дій при роботі з Live CD

Після успішного завантаження можна запустити перевірку і лікування комп'ютера. Як правило, все це проходить в автоматичному режимі. У деяких Live CD можна знайти утиліту редагування реєстру. Ця функція дуже корисна для аналізу гілок автозавантаження реєстру (переважна кількість малварі використовує саме реєстр для запуску себе разом із завантаженням системи) або
виправлення порушених малваре параметрів системи (див. врізку про улюблені місця в реєстрі).

ЯК ПРАВИЛЬНО ПОПРОСИТИ ПРО ДОПОМОГУ (ЗАКЛИКАЄМО на підмогу КОЛЕКТИВНИЙ РОЗУМ ПОРТАЛУ VIRUSINFO.INFO)

Портал virusinfo.info - одне з небагатьох місць, де змученим навалами різного роду малварі користувачам можуть допомогти, причому в більшості випадків абсолютно безкоштовно (я не маю ніякого відношення до цього сервісу і попрошу ні в якому разі не сприймати цю пораду як його рекламу).

Сама допомога ґрунтується на звітах двох утиліт: HijackThis від Trend Micro і AVZ від Олега Зайцева.
Перше, що можна зробити, - це скористатися сервісом «Допоможіть!». Якщо ти на сто відсотків упевнений, що твій комп'ютер заражений, і всі ознаки цього очевидні, а антивірус, яким ти звик користуватися, не допомагає, то реєструйся на порталі і далі дій по схемі:

Використовуємо сервіс «Допоможіть!» Від virusinfo.info

Пункт «Стандартні скрипти» в AVZ знаходиться в меню «Файл». Підсумком роботи цих двох утиліт повинні стати лог-файли (для AVZ вони записуються в папку LOG, яка знаходиться в папці з самою програмою, для HijackThis файл логу пишеться в папку з самою програмою). Ці файли і потрібно докласти до повідомлення на форумі.

[Ad name = "Responbl»]

Коли для лікування потрібно виконати який-небудь скрипт, текст цього скрипта необхідно скопіювати прямо з повідомлення форуму, далі в меню «Файл» програми AVZ вибрати «Виконати скрипт», вставити туди скопійований раніше текст скрипта і натиснути «Запустити».

Якщо конкретних ознак зараження не спостерігається, але є неясне відчуття, що з комп'ютером не все в порядку, на допомогу прийде сервіс VirusDetector. Для його використання реєстрація необов'язкова. Послідовність дій викладена на цій схемі:

Використовуємо сервіс VirusDetector

Не мине й півгодини (принаймні мені відповіли через двадцять п'ять хвилин), і в поштовій скриньці буде лежати докладний звіт про твою системі і можливих підозрілих місцях на твоєму жорсткому диску.

На закінчення хочу сказати що боротьба з вірусами не така вже й складне завдання. При грамотному підході ви можете самі видалити будь-який вірус у своїй системі і показати цим зловредів хто в домі господар. Ще рекомендую для ознайомлення статтю - Як видалити вірус з комп'ютера вручну і бажаю вам всім удачі в цьому непростому і цікавому занятті!

[Всього голосів: 6 Середній: 4/5]

Вам може бути цікаво також: