Как найти вирус без антивируса

Содержание

Как найти вирус

Как найти вирус  без антивируса

Подключившись к Интернету, пользователи подвергают свою систему опасности заражения вирусами в гораздо большей степени, чем если бы компьютер работал без соединения с информационными сетями.

И это естественно, ведь выходя во внешнее электронное пространство, пользователь дает “видеть” себя практически всем компьютерам, находящимся в этой сети. И далеко не все из этих систем являются “дружественными”.

Может и так случиться, что зараженная машина, решит соединиться именно с Вашим компьютером и если найдет на нем какую-либо уязвимость, то немедленно поделится с Вами своими вирусами.

Однако в большинстве случаев, пользователь сам соединяется с зараженными машинами, когда переходит на их сайты и качает с них файлы. Даже “навесив” на свою систему мощнейшую защиту, нельзя быть уверенным в полной неуязвимости.

Вирусописатели достаточно хитры, чтобы поймать на свои крючки даже достаточно опытных пользователей. Ниже я расскажу о том, как найти вирус на своем компьютере, если Вам кажется, что зараза все же проникла в Вашу систему.

Признаки заражения компьютера вирусами

Первое, что необходимо сделать пользователю, перед тем как начать “паниковать” это провести детальную процедуру поиска программной заразы и обнаружить признаки этого самого вируса. В чем они могут проявляться?

  • Вход в систему блокируется окном с сообщениями о переводе денег за возможность дальнейшей работы.
  • Вход на некоторые популярные сайты блокируется полностью, либо блокируется с выводом окна, в котором вымогатели требуют перечислить деньги за дальнейшее их пользование.
  • Вы не можете попасть на свои страницы в социальных сетях и почтовых сервисах. Ранее действовавший пароль, теперь не является верным.
  • Система периодически начинает очень медленно реагировать на команды пользователя: запуск программ, подключение к Интернету, копирование файлов, сканирование антивирусом, работа в Интернете.
  • Система стала загружаться в несколько раз медленнее, при том, что дополнительных программ пользователем не устанавливалось.
  • Подключение к Интернету запускается самостоятельно, даже если пользователь запретил автоматический запуск такого подключения.
  • Ваши друзья и знакомые начинают жаловаться на спам, который приходит от Вас через Интернет.
  • Появились неизвестные сообщения, отправленные с Ваших учетных записей в социальных сетях, почтовых сервисах, службах обмена сообщениями.
  • Нет возможности открыть файловые диски в системе по двойному клику. При этом, обычно, открытие через контекстное меню правой кнопкой мыши продолжает работать.
  • В системе обнаружилось исчезновение ранее установленных программ и созданных документов.
  • В документах пользователя стали появляется надписи, которых он не оставлял.
  • Некоторые из программ в системе перестали запускаться или запускаются с ошибками.

Конечно, далеко не все из выше перечисленного в явном виде указывает на причастность вирусов к проблемам в компьютерной системе, однако такое поведение уже должно насторожить Вас и заставить более детально заняться дальнейшей проверкой компьютера.

Как правильно найти вирус с помощью антивируса

Вы думаете, что наличие в Вашей системе антивируса или его установка избавит от программной заразы или даже обнаружит ее сразу же? Боюсь, что Вы немного ошибаетесь, возлагая такие надежды на антивирусы, если не знаете основных правил их работы и наиболее эффективных принципов нахождения и лечения вирусов с их помощью.

Во-первых, антивирус должен быть обновлен как можно более свежими версиями в двух аспектах. Один из которых означает постоянное обновление антивирусных баз данных.

То есть тех источников данных, в которых описываются шаблоны всех известных вирусов.

Без этих обновленных шаблонов, Вам не поможет ни один антивирус, так как он попросту не сможет распознать новый вирус среди и без того больших потоков информации, которые он исследует в реальном времени.

Второй аспект означает последнюю версию самой программы-антивируса.

Так как методы заражения и распространения вирусов постоянно меняются, так же как и развитие операционных систем, антивирусу требуется постоянное обновление знаний о методах заражения, а также о поведении операционных систем, в которых находят новые уязвимости для проникновения программной заразы.

Поэтому старый антивирус, даже с последними обновлениями вирусных баз может быть бесполезен при поиске уже известных ему вирусов, которые, тем не менее, знают как его обмануть и заставить не обращать на них внимание.

Но допустим, что у вас имеется последняя версия какого-либо антивируса с обновленными вирусными базами. Можно ли с его помощью найти все вирусы, плавающие в Вашей системе? Шанс конечно уже гораздо выше, но не достаточен для максимальной эффективности такой работы.

В этом плане можно представить вирус как мошенника, уже втершегося в доверие к Вашей системе и способного манипулировать ее действиями, а значит и действиями антивирусной программы.

Вирусы, которые еще только пытаются проникнуть на Ваш компьютер и вирусы, уже находящиеся в системе действуют в совершенно разных жизненных условиях и имеют несопоставимые привилегии. Первые являются как бы спящими и их достаточно легко обнаружить обновленными антивирусами.

А вот вторые, это уже активные самостоятельные программные враги, которые по своему усмотрению могут совершить все необходимое, для того чтобы их не обнаружили. В том числе и грамотный обход проверки антивируса.

Как Вы уже поняли, не достаточно достоверно искать вирусы, запустив антивирус из своей же операционной системы. Значит нужно запустить его из внешней сторонней системы.

Например, сняв винчестер и подключив его к другому, заведомо безвредному компьютеру.

Если же такового под рукой не найдется, есть прекрасный способ запуска антивируса из сторонней системы с помощью уже подготовленных комплектов от антивирусных компаний. К примеру, таких как Kaspersky Rescue Disk или Dr.Web LiveCD.

Среда для запуска антивируса Касперского с внешнего CD диска

Запускаем антивирусный сканер от Dr.Web, загрузившись с CD диска

Вышеназванные комплекты представлены в виде ISO образов, которые могут быть записаны на CD или DVD диски с помощью таких программ как Nero Burning ROM, Daemon Tools, CDBurnerXP и тому подобных.

После записи образов на диск, достаточно будет перезапустить компьютер и произвести загрузку с этих дисков. Теперь Вы можете управлять антивирусом из гарантированно безопасной системы и быть уверенным в том, что никакие вирусы ее не контролируют.

А это означает максимальную эффективность в деле поиска вирусов на своем компьютере.

Как найти вирус самостоятельно

Поиск вируса, что называется “вручную” требует от пользователя достаточно хороших знаний процессов и ресурсов операционной системы. В некоторых случаях вирусы удается распознать практически сразу, иногда приходиться повозиться с изучением того или иного неизвестного процесса.

Однако в любом случае следует иметь в виду, что антивирусы далеко не полная панацея от сетевой заразы. Если Вам посчастливилось “схватить” виртуальную инфекцию, только что выпущенную на просторы глобальной сети, то, скорее всего, антивирусные компании даже не знают об этом типе вируса.

А значит и найти его, с их помощью, вряд ли удастся, даже не смотря на то, что неизвестные вирусы антивирусными программами все же могут быть идентифицированы в ряде случаев.

Как же тогда пользователь сможет распознать программного врага в своем стане? Для этого я приведу здесь несколько советов.

I. Воспользуйтесь “Диспетчером задач”.

Этот простой инструмент Ваш первый друг и помощник в деле поиска вирусов. Именно с его помощью можно получить список процессов (или попросту говоря программ), которые крутятся в памяти Вашего компьютера на данный момент. Есть и более продвинутые версии для анализа процессов. Например, Process Explorer или System Explorer.

Однако даже с простым системным “диспетчером задач” можно провести весь необходимый анализ, а расширенными версиями пользоваться, только если этот диспетчер блокируется вирусами.

Запустить диспетчер можно комбинацией клавиш “Ctrl + Shift + Esc” или вызвать посредством стандартного “Ctrl + Alt + Del”.

На какие подозрительные процессы нужно обращать внимание.

  1. Процессы, имена которых сходны с именами главных системных процессов (с отличием в одну-две буквы).Список главных системных процессов:
    • csrss.exe,
    • explorer.exe,
    • lsass.exe,
    • svchost.exe,
    • system,
    • wininit.exe,
    • winlogon.exe

    Например: CSRSS.EXE – оригинальный процесс, а CSRCS.EXE – подозрительная подделка;
    SVCHOST.EXE – системная программа, а SCVHOST.EXE – вероятный вирус.

  2. Процессы с подозрительными именами
  3. Процессы с подозрительным описанием или без описания вовсе

Все, найденные, подозрительные названия файлов нужно будет проверить в базе данных известных процессов. Такие базы можно найти по следующим адресам:

http://wiki.compowiki.info/ProcessyWindows (русскоязычный)

http://www.what-process.com (англоязычный)

http://www.tasklist.org (англоязычный)

Либо воспользоваться обыкновенной поисковой системой, куда в качестве запроса нужно ввести имя подозрительного процесса.

Если Вы заподозрили какие-либо уже известные процессы, но они помечены в базах как безвредные, то можно оставить их в покое. Даже в том случае, если они и содержат вирусы исследовать их можно только с помощью глубоких знаний ассемблера и специальных программных инструментов.

Обратите внимание на процессы, упоминание о которых не нашлось на вышеописанных сайтах. Во-первых, определите текущую директорию запуска подозрительной программы. Для этого нужно просто кликнуть по процессу правой кнопкой мыши и перейди к окну “Свойства”.

Данное действие применимо к операционной системе версии Windows 7. Для пользователей Windows XP рекомендуется воспользоваться продвинутыми версиями “Диспетчера задач”, ссылки на которые я приводил выше.

В этом окне можно увидеть информацию о названии исполняемого файла, посредством которого произошел запуск процесса и папку, где эта программа расположена. Обратите внимание на атрибуты исследуемого EXE файла. Если он имеет свойство “Скрытый”, то доверия такой файл уже точно не вызывает.

Также на причастность к семейству вирусов может указывать и сам путь, указанный в пункте “Расположение”.

Самыми подозрительными являются каталоги временных файлов, такие как Temporary Internet Files и Temp. Большое число вирусов используют именно эти папки как площадки для запуска.

Также будет весьма странным, если неизвестная (даже по базам с описаниями процессов) программа окажется запущенной из каталога System.

Далее изучите информацию из вкладки “Подробно”.

Здесь можно увидеть сведения о версии программы, ее разработчике и официальном названии. Вирусописатели не часто стараются подделывать подобные сведения, чтобы запутать пользователей или не вызвать подозрения отсутствием такого описания. По крайней мере, отсутствие данных сведений даст еще один повод подозревать исследуемую программу во вредоносности.

Процесс также может обладать свойством цифровой подписи, что отразиться на появлении одноименной вкладки. Конечно, далеко не все процессы могут иметь такую вкладку, однако наличие ее уже говорит о том, что данный файл прошел соответствующую проверку и сертификацию и скорее всего не представляет никакого вреда для системы.

И хотя подделать такую подпись весьма затруднительно, но все же возможно, вряд ли вирусописатели станут тратить свои силы ресурсы ради небольшой выгоды от такого “дорогого” в разработке вируса. Поэтому анализ подобных файлов можно со спокойной душой отложить в сторону.

II. Проверьте автозагрузку

Весьма полезным делом будет также проверка программ, находящихся в автозапуске. Не редко вирусы запускаются, не маскируясь, прямо из стандартных ресурсов для автозагрузки. Чтобы посмотреть список таких программ, перейдите в “Пуск”, откройте окно “Выполнить” и наберите команду “msconfig”. В результате должно появиться окно следующего вида:

Здесь действуют те же правила что и при анализе процессов из “диспетчера задач”. Обращайте внимание на все подозрительные имена объектов и их производителей, исследуйте каталоги, посредством которых они запускаются (столбец “Команда”).

Самые подозрительные программы можно отключать на запуск. Для этого просто снимите галочку напротив них. Однако будьте внимательны, если после перезапуска системы деактивированные программы, вновь поставили себя на запуск, то подобное поведение очень подозрительно и такие файлы стоит обследовать более досконально.

Теперь Вы знаете, как найти вирус на своем компьютере, если обнаружили подозрительное поведение системы. Остается только избавиться от него простым удалением файла с жесткого диска.

Правда, не все вирусы позволяют безропотно удалять себя из системы, однако даже в этом случае вам на помощь придут антивирусные CD комплекты, о которых я рассказывал выше. Ведь достаточно только загрузиться с них и можно без проблем удалять идентифицированные Вами вирусы.

На все Ваши вопросы я готов ответить посредством комментариев ниже. О том, как удалить вирусы самостоятельно я напишу несколько позже. Следите за обновлением сайта, с помощью RSS.

Источник: https://www.inetedu.ru/articles/26-security/127-virus-search.html

Как удалить вирус с компьютера без антивируса

Как найти вирус  без антивируса

Ваш компьютер может быть заражен вирусом разными способами, например, через интернет-браузер, USB устройство, а также путем установки зараженных программ. Более того, вирусы бывают разными: одни заставляют работать компьютер медленнее, а другие – воруют персональные данные. В любом случае, ничего хорошего вирусы не представляют, поэтому лучше как можно скорее удалить их.

В этой статье вы знаете о парочке способов как удалить вирус с компьютера без антивируса.

Удалите вирус через командную строку

1. Прежде всего, нажмите «Пуск» и введите cmd. Дальше щелкните правой кнопкой мыши на значке cmd и выберите «Запуск от имени администратора». Откроется окно командной строки.

2. В командной строке вам нужно перейти на диск, на котором может быть расположен вирус. Допустим, это диск D, тогда вам нужно набрать dir D: attrib -s -h /s /d *.*, и нажать enter.

3. В окне командной строки вы увидите все файлы, которые находятся на выбранном диске.

4. Внимательно посмотрите список, и если вы заметите необычный файл file.exe и любой файл autorun.inf, тогда переименуйте его с помощью команды rename filename.extension new filename.

Вот и все! Вирус обезврежен, и он больше не несет опасности вашему компьютеру.

Отключите подозрительные службы в диспетчере задач

1. Откройте диспетчер задач, нажав клавиши CTRL + SHIFT + ESCAPE. Дальше завершите все подозрительные службы в разделе «Службы».

2. В окне диспетчера задач нажмите на «Файл» и выберите «Запустить новую задачу». Введите msconfig и нажмите «ОК».

3. Дальше откройте вкладку «Службы», и снова проверьте список на наличие подозрительных служб. Если какая-либо из служб вам не нравится, уберите галочку рядом с ней, и нажмите «Применить».

4. Теперь перейдите к следующей вкладке «Автозагрузка». Здесь просмотрите все подозрительные и нежелательные программы, и в случае чего – отключите ее.

5. После того, как вы обнаружили все подозрительные службы, процессы и программы, откройте командную строку и измените атрибут файла, как описано в первом методе.

VirusTotal

VirusTotal – это бесплатный сервис, который сканирует подозрительные файлы и URL-адреса, тем самым облегчает обнаружение вирусов, червей, троянов и всех видов вредоносных программ.

1. Перейдите на сайт www.virustotal.com со своего основного браузера.

2. Теперь вам нужно отсканировать подозрительные файлы на компьютере. Обратите внимание, что максимальный размер файла – 128 МБ.

3. Также Virustotal позволяет сканировать определенные URL-адреса и даже целые сайты. Для этого вам просто нужно ввести адрес сайта в строке «URL».

Metadefender

Metadefender является одним из самых популярных приложений и платформ для обнаружения вирусов. Сервис позволяет выбрать файл размером до 140 МБ.

1. Перейдите на веб-сайт Metadefender Online Scanner со своего веб-браузера.

2. Дальше выберите файл, который может быть заражен вирусом.

Если файл, который вы выбрали, действительно содержит вирус или вредоносное ПО, сервис предоставит детальный отчет об угрозе.

Kaspersky VirusDesk

Kaspersky VirusDesk проверяет файлы так же, как антивирусная программа «Лаборатории Касперского». Более того, онлайн сервис использует ту же антивирусную базу, что и полноценный антивирус на компьютере. Kaspersky VirusDesk уведомляет вас об известных угрозах и отображает подробную информацию о них. Тем не менее, онлайн-сервис не лечит файлы.

Kaspersky VirusDesk может сканировать файлы размером до 50 МБ. Если вы хотите отсканировать несколько файлов, объедините их в .zip-файл.

1. Сначала перейдите на сайт Kaspersky Virus Desk с вашего компьютера.

2. Вы увидите экран, на который можно перетащить файлы или вставить ссылку для сканирования. Затем нажмите кнопку «Сканировать».

3. Обычно сканирование занимает менее двух минут. Подождите, пока процесс будет завершен.

4. После этого вы увидите экран, как на изображении ниже. Если Kaspersky VirusDesk обнаружит вредоносное ПО или вирус, он даст вам знать.

Теперь вы знаете, как удалить вирус с компьютера без антивируса. С помощью специальных онлайн сервисов вы можете обнаружить вредоносные программы, а командная строка поможет удалить вирус.

Источник: https://Ocompah.ru/kak-udalit-virus-s-kompyutera-bez-antivirusa.html

Как удалить вирус вручную с компьютера? Как найти вирусы в компьютере вручную?

Как найти вирус  без антивируса

Итак, сегодня мы поговорим с вами о том, как удалить вирус вручную с компьютера. Помимо этого, посмотрим, какие могут встречаться трояны, как они проявляют себя и откуда могут быть занесены на компьютер. Давайте же поскорее приступим к изучению нашей сегодняшней темы.

Виды вирусов

Что ж, но перед тем, как удалить вирус вручную с компьютера, стоит поговорить с вами о том, какая зараза вообще встречается на компьютере. Ведь в большинстве случаев именно от этого зависит то, каким образом следует проводить лечение. Так что, давайте начнем.

Первый вирус – это троян. Из себя представляет вредоносный файл, который “селится” в операционной системе, да еще и вредит ей. Например, повреждает или уничтожает важные документы. Сейчас их очень много.

Второй довольно распространенный вид вируса – это разнообразные шифровальщики. Это такие файлы, которые попадают в систему и блокируют ее. Но не разрушая, а всего лишь зашифровывая документы. В конце такого шифра, как правило, оставляется e-mail создателя, на который надо перевести энную сумму денег ради возврата документов в первоначальный вид.

Третий вирус, который можно подцепить – это, конечно же, разнообразные надстройки браузера, или спам. Как правило, они очень сильно тормозят компьютер, да еще и мешают работе в интернете.

Это происходит из-за того, что у пользователя может смениться стартовая страница, плюс ко всему, в браузере всюду будут расположены рекламные баннеры.

Когда пользователи видят эту картину, то они задумываются, как найти вирусы в компьютере вручную, а потом убрать их. Сейчас мы попытаемся разобраться с этим.

Итак, перед тем как найти вирусы вручную и избавиться от них раз и навсегда, давайте попробуем разобраться, что может указывать вам на наличие компьютерной заразы в системе. Ведь если вовремя обнаружить сигналы, то можно избежать повреждения большого количества файлов и потери “операционки”.

Первый, наиболее явный признак – это не что иное, как сообщения вашей антивирусной программы. Она будет “ругаться” на какие-то документы и файлы, выдавая вам название предполагаемого вируса. Правда, иногда антивирус так ведет себя по отношению к различным крякам и “таблеткам” к компьютерным играм. Тем не менее, без внимания это оставлять нельзя.

Второй вариант развития событий – у вас начинает “тормозить” компьютер. Именно тогда пользователи начинают активно думать, как удалить вирус вручную, особенно, если у них нет антивируса. Так что, как только вы заметили, что ваша система стала “тугодумом”, начинайте бить тревогу.

Очередной вариант развития событий – на компьютере стали появляться новые программы, которые вы не устанавливали. Довольно распространенный ход среди компьютерной заразы.

Кроме того, на инфицирование компьютера может указывать еще и реклама в браузере. Смена стартовой страницы без возможности восстановления, рекламные баннеры везде и всюду – все это довольно тревожные сигналы. Так что, давайте поскорее посмотрим, как происходит удаление вируса с компьютера вручную.

Что ж, первым делом стоит начать с поиска тех мест, где кроется зараза. Иногда сделать это очень трудно. Особенно, если у вас нет антивирусной программы. В общем, давайте посмотрим, что можно сделать в сложившейся ситуации.

Итак, когда вы решили самостоятельно побороть вирус, то вам придется найти папку на компьютере, в которой он хранится. Иногда зараза сама выдает себя, создав свои процессы в диспетчере задач.

Откройте его (Ctrl + Alt + Del), после чего перейдите во вкладку “процессы”.

Теперь найдите там любую подозрительную строчку (она будет как-то странно называться, или вообще подписана иероглифами) и нажмите на кнопку “показать расположение файла”. Готово, вирус найден.

Правда, не все всегда так легко и просто. Если вы думаете, как удалить вирус вручную с компьютера, то вам стоит знать и то, что компьютерная зараза зачастую хорошо скрывается. В отображении папок отметьте пункт “отображать скрытые файлы и папки”. Теперь осуществлять поиск будет значительно проще.

Помните и то, что компьютерные вирусы очень часто “оседают” в папке Windows. Например, большинство троянов встречается в System32. Некоторая зараза способна “прописаться” в файл host. Излюбленные места вирусов мы знаем. Но как же избавиться от них?

Проверки

Первый вариант развития событий – это удаление заразы автоматически. Точнее, полуавтоматически. Речь идет о проверке компьютера на наличие вирусов при помощи антивирусной программы.

Для того чтобы обеспечить себе надежную защиту данных, запаситесь хорошим антивирусом. Отлично подходит Dr.Web. Если он вам не понравился, можете испробовать еще и Nod32. Он тоже довольно хорошо справляется с задачей.

Проведите глубокую проверку. После того, как программа выдаст вам результаты, постарайтесь вылечить документы автоматически. Не получилось? Тогда сотрите их. Правда, если вы думаете, как удалить вирус вручную с компьютера, то, скорее всего, проверки антивирусом вам не помогли. Давайте посмотрим, что же еще можно сделать.

Стираем программы

Второй шаг на пути к исцелению системы – это, конечно же, удаление разнообразного контента, который вам наставил вирус. Это довольно частое явление. Так что, загляните в “панель управления”, а оттуда проследуйте в “установку и удаление программ”. Немного подождите, пока завершится проверка контента на компьютере.

Когда перед вами появится список программ, удалите все, чем вы не пользуетесь. Особое внимание уделите контенту, который вы не устанавливали.

Или же тому, что появился “прицепом” после завершения установки какой-нибудь другой “проги”. Кликните по нужной строчке правой кнопкой мышки, после чего выберите команду “удалить”.

Готово? Тогда можно думать дальше, как удалить вирус вручную с компьютера.

Тотальное сканирование

А теперь давайте прибегнем к некоторым службам и приемам, которые обязательно помогут нам. Если вы знаете название вируса (особенно, если вы столкнулись со спамом), то вам подойдет поиск заразы при помощи компьютерного реестра.

Для того чтобы перейти в необходимую службу, нажмите сочетание клавиш Win + R, а затем выполните команду “regedit”. Посмотрите, что перед вами появится.

С левой стороны окна расположены папки с длинными и непонятными названиями. Именно в них зачастую прячутся вирусы. Но мы немного упростим себе задачу по поиску.

Достаточно зайти в “правку”, а затем нажать на “поиск”. Наберите имя вируса, после чего осуществите проверку.

После получения результатов все появившиеся строки требуется стереть. Для этого кликайте поочередно на каждую из них, после чего выбирайте необходимую команду. Все готово? Тогда перезагрузите компьютер. Теперь вы знаете, как удалить вирус вручную с компьютера.

Источник: https://FB.ru/article/177649/kak-udalit-virus-vruchnuyu-s-kompyutera-kak-nayti-virusyi-v-kompyutere-vruchnuyu

Как удалить вирус без антивируса

Как найти вирус  без антивируса

Как удалить вирус без антивируса

Вы  знаете  как  возвратить состояние вашего Windows в момент времени, когда он еще  не  был заражен вирусом? Этот легко можно делать без антивируса и, вдобавок, это может занять лишь считанные доли секунды.

Неважно, как далеко вы ушли по неправильному пути – возвращайтесь.
Турецкая поговорка

Денис Батранков, denis@ixi.ru

Введение

Очень интересно смотреть на людей, которые, понимая наличие компьютерного вируса на своей операционной системе Windows, проводят конкурс: какой антивирус лучше.

Из интернета или с имеющегося диска используются все антивирусы подряд, пока очередной не скажет, что вирус найден и вылечен.

Однако этот метод не всегда дает нужный результат и тогда человек переустанавливает операционную систему и успокаивается.

Нужно ли использовать антивирусы? Нужно. Но при этом надо понимать, что антивирусы не всегда ловят вирусы. Для примера возьмем недавний отчет SurfRight где было исследовано 107435 реальных компьютеров.

37898 компьютеров (35% из всех) было инфицировано вредоносным кодом и при этом на 25038 стояли антивирусы одновременно с вирусами, но антивирусы об этом не знали. Как видите на этом примере 2/3 зараженных компьютеров (25038 из 37898) имело антивирус, но им это не помогло.

Хорошо, однако, что на других компьютерах наличие антивируса помогло. Таким образом, антивирус – это часть защиты, необходимая, но недостаточная.

Примечание: в статье под «вирусом» понимаем «любой вид вредоносного кода»

Специалисты по компьютерной безопасности называют вредоносные программы различными именами в зависимости от задач, которые решает для злоумышленника имеющийся в них код. Например, задача классического компьютерного вируса – внедриться в другой код или заменить его. Задачей руткита является скрыть свое присутствие в системе.

Задачей троянской программы является украсть какие-то данные. Задачей программ-вымогателей является зашифровать ваши файлы или перекрыть доступ в систему. Задачей сетевых червей является распространение своего кода по сети. И так далее.

Часто злоумышленники совмещают все эти задачи в одном модуле вредоносной программы, и он одновременно и сетевой червь и троян и руткит, а для прикрытия еще и скринсейвер или лже-антивирус. В литературе иногда все эти типы называют «зловред», чтобы сократить выражение «вредоносный код». Неологизм «зловред» мне не нравится, поэтому я его не употребляю.

В этой статье слово «вирус», используется как характерный пример любого вредоносного кода. Поэтому читая слово «вирус» в этой статье, понимаем: «любой вредоносный код».

Нужно ли переустанавливать Windows, если вредоносный код никак не удаляется и не обнаруживается? Да, это один из вариантов. Но недостаток метода переустановки Windows состоит в том, что установка занимает время: ведь нужно установить все необходимые драйверы, дополнительное программное обеспечение, например Microsoft Office и так далее, а может занять весь день (или всю ночь).

Конечно, пытливый читатель уже догадывается, что переустанавливать Windows не всегда нужно, если вы заблаговременно создали образ вашей системы (бекап) при помощи специализированных программ, типичным представителем которых является Norton Ghost. Однако есть другие еще более быстрые способы, позволяющие возвратить состояние компьютера в момент времени, когда еще не был заражен. Пора узнать, как можно ускорить процесс возвращения своей операционной системы в это состояние.

Контрольные точки восстановления Windows

Множество проблем можно было бы избежать, если бы домашние пользователи работали с минимальными привилегиями, но все правильные слова безопасников об этом разбиваются о реальную жизнь.

Любой домашний пользователь, пытающийся выполнить этот простой полезный совет, упирается в сообщения Windows о том, что для опознавания новой флешки нужно быть администратором, для записи DVD диска нужно быть администратором.

И в итоге он плюет на полезные советы, включает у себя административные права и продолжает жить счастливо, и, что интересно, долго, поскольку современные вредоносные программы не вредят своему хранителю до поры до времени, пока на это не будет получена соответствующая команда.

Но вот когда команда получена и вас просят отправить SMS на короткий номер или перевести деньги за расшифрование ваших же DOC файлов – уж точно пришла пора действовать.

Работа с минимальными привилегиями  – не панацея от всех бед

Периодически в Windows находят способы повысить уровень привилегий до администратора. Например, даже в этом году была найдена такая уязвимость, которая позволяла стать администратором и Windows XP SP3 и Windows 7. Описание уязвимости можно найти по номеру CVE-2010-0232 (http://xforce.

iss.net/xforce/xfdb/55742) Таким образом, даже работая с минимальными правами у вас нет 100% гарантии, что вредоносный код не сможет получить права администратора. Поэтому рекомендуется отключать уязвимые сервисы и постоянно устанавливать обновления компонентов для Windows всех версий.

Перед тем как начинать лечение нужно вспомнить, тот день, когда вы могли заразиться. Это могло быть, вообще говоря, посещение любого сайта, загрузка любой программы, просмотр любого PDF или видео по Интернет, воткнутая в USB флешка, атака с соседнего компьютера.

Сейчас заразиться можно везде, даже на вполне порядочных сайтах и даже просматривая совершенно безобидные документы: PDF, XLS, DOC. С выбором даты можно не бояться: даже если вы ошибетесь с датой, всегда можно откатить изменения или выбрать дату еще более раннюю.

По умолчанию функция восстановления системы Windows XP и Vista сохраняет системные файлы и реестр раз в сутки, а Windows 7 – раз в неделю.

Затем вы запускаете стандартную служебную программу “Восстановление системы” из меню Пуск и возвращаете систему в состояние до заражения, указав нужную дату в соответствующем окне программы.

Точка восстановления системы – эта информация о состоянии системы на указанную дату и время. Поэтому, выбрав нужную точку восстановления, вы можете вернуть состояние системы на тот момент. Вот и все.

Повторюсь: если лечение было неудачным, то вы можете откатить изменения обратно или выбрать еще более раннюю точку восстановления.

Вот как выглядит скриншот для WindowsXP.

Вот как выглядит скриншот для Windows 7.

При восстановлении в Windows 7 вы можете посмотреть программы, которые будут затронуты при восстановлении.

В Windows XP служба восстановления системы отслеживает лишь ключевой набор файлов системы и приложений, а в Windows 7 система следит за изменениями всего диска.

Однако в обеих операционных системах пользовательские файлы не включаются в точки восстановления системы, поэтому возврат к предыдущей точке не приведет к потере ваших документов.

В Windows XP, если вы хранили документы в папке «Мои документы», то они останутся в целости и сохранности, а вот рабочий стол будет возвращен в предыдущее состояние, кроме того будут восстановлены системные файлы, включая реестр. В Windows 7 ни папка «Мои документы», ни рабочий стол не изменяется при восстановлении.

Если вы читаете эту статью до того как собираетесь использовать точки восстановления, то проверьте, а включена ли у вас эта функция – это поможет вам восстановить систему в будущем при любой аварийной ситуации. В Windows XP выберите: Мой Компьютер – Свойства – Восстановление системы, в Windows 7: Компьютер – Свойства – Защита системы.

Скриншот из Windows 7 с включенной защитой диска C:

Windows SteadyState или мгновенный снимок диска

Еще более удачной бесплатной функцией для восстановления системы, которая есть в Windows является компонент SteadyState. Он доступен для Windows XP и Vista и его надо скачать с сайта Microsoft и установить дополнительно.

В Windows 7 эта функция на момент написания статьи (май 2010 года) отсутствует. В принципе аналогичные решения существуют и у сторонних разработчиков, перечислю их: ShadowUser, Deep Freeze, Renurnil, Shadow Defender. Некоторые из них тоже имеют бесплатные версии.

И некоторые из них работают также под Windows 7.

Windows SteadyState и другие подобные системы изначально разрабатывалась для использования на общедоступных компьютерах в гостиницах и интернет-кафе. Но эта технология также очень полезна и домашним пользователям как система постоянной поддержки Windows в работоспособном состоянии.

Чтобы понять, как все такие системы работают, нужно представить, что ваш Windows запускается и делает мгновенный снимок всей информации на дисках и затем работает не на вашем реальном диске, а на этой копии диска, она называется теневой копией. Это как если бы вы сделали бекап и работали на нем, вместо реального диска.

Вы можете изменять и удалять все что угодно на этой теневой копии, но ваш реальный диск всегда остается неизменен. Если вы чувствуете, что пора «лечиться», то можно просто нажать кнопку reset и Windows опять загрузится с «чистого листа», то есть с неизменной копии вашего диска. Вы тратите на очистку системы 0 секунд.

Естественно, для того, чтобы помнить все изменения на копии, Windows SteadyState требуется какое-то место на диске. Для этого выделяется и используется специальный файл кэша, размер которого вы можете регулировать. В этот файл записываются все «изменения», которые на самом деле не производятся с диском.

В аналогичных продуктах, перечисленных выше, есть более оригинальные решения, когда используется имеющееся свободное от файлов пространство на реальном диске, где и хранится информация об изменениях во время работы. При перезапуске вся эта информация об изменениях, сбрасывается.

Скриншот, где защита жесткого диска включена.

Таким образом, достоинством Windows SteadyState является то, что любые изменения, которые происходили в системе, вы можете вылечить обычным перезапуском системы. Минусом является то, что вы должны позаботиться о сохранности своих документов, которые хранятся на ваших дисках.

Поскольку Windows SteadyState защищает только раздел, где расположена система, то вы можете хранить документы на соседних разделах. А если вы будете хранить ваши документы (или фильмы или музыку) на сетевых дисках, то вы еще больше упростите себе жизнь.

Надо заметить, что сторонние продукты, перечисленные выше, предлагают более расширенный функционал этого вида защиты, но при этом просят за это денег.

Образы дисков

Говоря о системах восстановления нельзя не упомянуть способ, когда вы можете сделать обычный архив вашей системы и потом ее восстановить. Системы бекапа дисков развились очень сильно: они уже могут делать архив работающей системы – не тратя ваше рабочее время в ожидании, когда процесс завершиться.

Созданные бекапы Windows могут быть восстановлены даже на совершенно другой компьютер, где уже будет другое железо: процессор, материнская плата, видеокарта и др. Однако самым быстрым способом восстановления я считаю работу на мгновенных копиях диска, когда обычной перезагрузкой вы бесследно стираете последствия своих ошибочных действий.

И тратите на стирание вируса 0 секунд своего времени.

Заключение

Итак, мы изучили несколько способов восстановления системы после заражения. Самым быстрым способом восстановления заражения является работа на теневом снимке диска, самым медленным – восстановление из бекапа.

Однако, все эти способы быстрее и надежнее, чем любой антивирус, особенно при защите от таких видов вредоносного кода, как руткиты. Руткиты специально предназначены для сокрытия от антивирусов и очень часто антивирусы неспособны противостоять им.

Именно на базе руткитов строятся целые сети управляемых удаленно компьютеров (ботов), а антивирусы и люди даже не замечают этого.

Пример: Руткит TDSS (так же известный как Alureon,  Tidserv или TDL3)

Привожу пример этого руткита, потому что в моем окружении я выявил очень много людей зараженных этим руткитом, а это и коммерческие и гос. организации. Способ заражения в выявленных мной случаях – автозапуск с флешки.

Антивирусы этот руткит не обнаруживают, лучший способ для его поиска – утилита TDSS Remover. На основе данных компании Damballa, считается, что на сегодняшний день самый большой ботнет Zeus предназначенный для кражи паролей в системы интернет-банкинга. Но в России похоже это TDSS.

Для проверки запустите у себя эту утилиту, вдруг она что-то найдет и у вас?

Особенностью описанных способов защиты (как и многих других в нашей жизни) является то, что мы все равно должны подготовиться к возможной вирусной атаке – если вы не подумали заблаговременно и не включили встроенную систему защиты, то она и не сработает.

Посмотрите у себя: включены ли точки восстановления, установите Windows SteadyState, создайте бекап системы. Сделайте любое их этих простых действий и вам не надо будет потом сожалеть и восстанавливать работоспособность вашего компьютера продолжительное время.

Любые вопросы по любой их этих технологий вы можете задавать на форуме securitylab.ru в разделе Windows. А также рекомендую дополнительно озаботиться безопасностью своего Windows и настроить его согласно рекомендациям по безопасности.

Хотя бы отключите, наконец, автозапуск вирусов с флешек.

Денис Батранков, denis@ixi.ru

Источник: https://www.securitylab.ru/contest/393899.php

Как найти и удалить вирус вручную

Как найти вирус  без антивируса

Это несложно. Давайте начнём!

Как удалить вирус самостоятельно

Действовать необходимо на правах администратора.

Для начала надо открыть командную строку. Для этого нажмите сочетание клавиш WINDOWS + R и в появившемся окне в строке введите cmd и нажмите ОК.

Команда cmd в командной строке

Либо, нажав кнопку Пуск в нижнем левом углу экрана монитора, в строке поиска начните набирать «командная строка», а затем по найденному результату кликните правой кнопкой мышки и выберите «Запуск от имени администратора».

Вызов командной строки через поиск

Запуск командной строки от имени администратора

Кратко о том, какие цели у наших будущих действий:

С помощью команды attrib нужно найти такие файлы, которые не должны находиться среди системных файлов и потому могут быть подозрительными.

Вообще, в C: / drive не должно содержаться никаких .exe или .inf файлов. И в папке C:\Windows\System32 также не должны содержаться какие-либо, кроме системных, скрытые или только для чтения файлы с атрибутами i, e  S H R.

Итак, начнём ручной поиск подозрительных, файлов, то есть вероятных вирусов, самостоятельно, без использования специальных программ

Откройте командную строку и вставьте cmd. Запустите этот файл от имени администратора.

Открываем cmd

Прописываем в строке  cd/ для доступа к диску. Затем вводим команду attrib. После каждой команды не забываем нажимать ENTER:

Команда attrib в командной строке

Как видим из последнего рисунка, файлов с расширениями .exe или .inf не обнаружено.

А вот пример с обнаруженными подозрительными файлами:

Вирусы в системе Windows

Диск С не содержит никаких файлов .еxе и .inf, пока вы не загрузите эти файлы вручную сами. Если вы найдёте какой-либо файл, подобный тем, которые мы нашли, и он отобразит S H R, тогда это может быть вирус.

Здесь обнаружились 2 таких файла:

autorun.inf

sscv.exe

Эти файлы имеют расширения .еxе и .inf и имеют атрибуты S H R. Значит, эти файлы могут быть вирусами.

Теперь наберите attrib -s -h -г -а -i filename.extension. Или в нашем примере это:

attrib —s —h —г —а -i autorun.inf

Эта команда изменит их свойства, сделав из них обычные файлы. Дальше их можно будет удалить.

Для удаления этих файлов введите del filename.extension или в нашем случае:

del autorun.inf

То же самое надо проделать со вторым файлом:

Удаление вирусов вручную

Теперь перейдём к папке System32.

Продолжим далее поиск, вписывая следующие команды внизу:

Впишите cd win*   и нажмите ENTER.

Снова введите system32. Нажмите ENTER.

Затем впишите команду attrib. Нажмите ENTER.

Ищем вирусы в папке System32

Появился вот такой длинный список:

Ищем вирусы в папке System32

Снова вводим внизу команду attrib, не забывая нажать потом ENTER:

Самостоятельное удаление вирусов с компьютера | Интернет-профи

И находим вот такие файлы:

Подозрительные файлы в папке Windows

Подозрительные файлы в папке Windows

При перемещении вверх-вниз экран перемещается очень быстро, поэтому когда мелькнёт что-то новое, приостановитесь и вернитесь назад‚ чтобы проверить каждый файл, не пропустив ни одного.

Подозрительные файлы в папке Windows

Выписываем себе все найденные S H R файлы:

  1. atr.inf
  2. dcr.exe
  3. desktop.ini
  4. idsev.exe

Выполните команду attrib 3 или 4 раза, чтобы убедиться, что вы проверили всё.

Ну, вот. Мы самостоятельно нашли целых 4 вредоносных файла! Теперь нам нужно удалить эти 4 вируса.

Для этого дальше в командной строке вписываем и каждый раз нажимаем ENTER следующее:

C:\Windows\System32>attrib -s -h -r -a -i atr.inf

C:\Windows\System32>del atr.inf

C:\Windows\System32>attrib -s -h -r -a -i dcr.exe

C:\Windows\System32>del dcr.exe

C:\Windows\System32>attrih -s -h -r -a -i desktop.ini

C:\Windows\\System32>del desktop.ini

C:\Windows\System32>attrib -s -h -r -a -i idsev.exe

C:\Windows\System32>del idsev.exe

Удаляем вирусы с компьютера самостоятельно

Аналогичную операцию надо провести с другими папками, вложенными в каталог Windows.

Нужно просканировать ещё несколько таких каталогов, как Appdata и Temp. Используйте команду attrib, как показано в этой статье, и удалите все файлы с атрибутами S H R, которые не имеют отношения к системным файлам и могут заразить ваш компьютер.

Источник: https://internet-profy.ru/kak-najti-i-udalit-virus-vruchnuju/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.