Срок доставки товара в течении 1-3 дней !!!
|
|
Как удалить вирусы в браузере - инструкция от Averina.com. Вирусы убрать
Как удалить вирус из браузера
Вопрос пользователя
Подскажите, кажется мой браузер Chrome "поймал" вирус. Теперь на большом количестве сайтов появилась говорящая реклама, идут какие-то щелчки, предложение посмотреть подарок и т.д. На некоторых сайтах появляется реклама казино "Вулкан" (хотя я никогда не играл в него). Очень сильно всё это раздражает и отнимает время.
Пробовал переустановить браузер - не помогло (думаю, что вирус засел не только в браузере, но и в Windows). Скачивал Dr.Web - им сканировал все диски в системе: везде всё чисто, вирусов не найдено. Пробовал запускать Internet Explorer - в нем нет рекламы, но им не удобно пользоваться. Подскажите, как удалить вирус из браузера, чтобы не всплывала эта реклама со звуком. Заранее спасибо...
Всем всего доброго!
Это далеко не единичный вопрос... Вообще, если в вашем браузере стали появляться и самостоятельно открываться окна, страница приветствия и поиска меняются без вашего указания, есть незнакомые расширения, всплывают различные рекламные блоки (причем там, где их раньше никогда не было) - скорее всего (на 99%) Вы подцепили вирус (правильнее даже будет сказать рекламное ПО) ...
В этой статье приведу небольшую инструкцию об удалении подобного ПО из Windows и вашего обозревателя. И так...
♣
Кстати, возможно вам будет интересна статья с дополнениями и ПО для браузеров для блокировки обычной (не вирусной!) рекламы: https://ocomp.info/kak-ubrat-reklamu-v-brauzere.html
♣
Чистим систему и браузер от рекламного ПО за 5 шагов
Многие пользователи при появлении подобный "чехарды" в браузере - первым делом устанавливают антивирус и начинают полностью сканировать все свои диски. Между тем, в подавляющем большинстве случаев, классический антивирус ничего не находит!
Я предлагаю выполнить нехитрый ряд шагов, который в большинстве случаев полностью избавит вашу систему от рекламы, произвольно добавляющейся в ваш браузер. И так...
♦
ШАГ 1 - удаление "подозрительных" программ в Windows
Первое, с чего следует начать чистку системы, это зайти в список установленных программ в панели управления Windows и посмотреть нет ли там ничего подозрительного и незнакомого.
Мой совет - все программы, которые вы давно не используете, удалите. Всё равно - только место занимают! Очень часто за незнакомыми названиями программ - как раз маскируется рекламное ПО.
Удаление программы - Windows 10
Совет! Еще лучше использовать специальную программу для удаления других программ (извините за тавтологию). Она удалит любую установленную программу (даже ту, которую не получается удалить из-под Windows), а также проверит, чтобы в реестре или на диске не осталось "хвостов" (старых записей, файлов, которые более не нужны).
Удаляем любую программу с ПК начисто (спец. софт) - https://ocomp.info/programma-dlya-udaleniya-programm.html
♦
ШАГ 2 - удаление ненужных расширений и плагинов в браузере
Второе по популярности место для "прописывания" вирусного ПО - это расширения браузеров. Маскируясь под каким-нибудь иностранным названием среди десятка-другого плагинов - такое ПО остается незамеченным у большинства пользователей.
Рекомендация: зайти в меню для установки и удаления расширений в браузере и удалить все незнакомые, которые вы не устанавливали (или не помните даже, что это).
#
Chrome
Просто откройте в адресной строке: chrome://extensions/
Чтобы удалить какое-нибудь расширение - просто нажмите на значок с корзиной напротив него (пример ниже).
Расширения в Chrome
#
Firefox
Адрес настроек: about:addons
Просмотрите вкладки расширения и плагины.
Управление плагинами
#
Opera
Чтобы посмотреть вкладку с расширениями - нажмите сочетание кнопок Ctrl+Shift+E. Можно открыть через меню Opera (сверху, слева).
Управление расширениями в Opera
♦
ШАГ 3 - проверка Windows на рекламное ПО. Восстановление HOSTS
Т.к. классический антивирус в случае с рекламным ПО вам вряд ли поможет - то рекомендовать им чистить систему здесь я не буду (хотя лишняя проверка лишней не бывает ☺). Вместо антивируса, рекомендую использовать специальную утилиту: MalwareBytes.
#
MalwareBytes
Сайт: https://ru.malwarebytes.com/
Одна из лучших утилит от разного рода рекламного ПО. Позволяет очистить ПК от большинства угроз, которые может "пропустить" любой классический антивирус.
Кроме этого, программа защищает вашу систему от вирусов-вымогателей, от эксплойтов, от вредоносных веб-сайтов, на которых можно подцепить какой-нибудь вирусный скрипт.
В общем-то, однозначно рекомендую скачать и проверить свой компьютер полностью MalwareBytes.
Совет! В дополнении к MalwareBytes рекомендую иметь на ПК еще одну утилиту - AdwCleaner. Она так же специализируется на чистке ПК от разного рода рекламного "мусора".
#
Восстановление HOSTS
В Windows есть специальный системный файл, с помощью которого некоторое вирусное ПО меняет реальный адрес веб-сайта на поддельный. Также с помощью него можно заблокировать доступ к любому сайту (ограничение будет действовать только на вашем ПК, разумеется).
В любом случае, я рекомендую его очистить и восстановить. Делается это в 2-3 клика, просто даже для людей, которые совсем недавно познакомились с ПК. Ссылки привел ниже.
Лучший способ восстановить файл HOSTS: с помощью утилиты AVZ (ссылка на описание и загрузку: https://ocomp.info/luchshie-antivirusyi-17.html#AVZ).
Справочная статья по изменению и восстановлению файла HOSTS - https://ocomp.info/kak-izmenit-i-vosstanovit-fayl-hosts.html
#
Справка! Чтобы восстановить HOSTS в AVZ, необходимо:
- Открыть меню "Файл/Восстановление системы";
- Поставить галочку на против пункта "Очистить файл HOSTS" и нажать кнопку "Выполнить отмеченные операции". Собственно, утилита сделает все за вас!
Очистка файла HOSTS
♦
ШАГ 4 - удаление ярлыков браузера с рабочего стола
Сравнительно часто вирус изменяет ярлык браузера на рабочем столе. Благодаря этому, вирусу удается заполучать доступ при каждом открытии программы. Часто в этом случае при запуске браузера - стартовая страница автоматически переадресовывается на какую-то постороннюю, а не ту, которая у вас указана в настройках.
Чтобы проверить, всё ли в порядке с ярлыком, просто откройте его свойства. В свойствах посмотрите строку "Объект", куда она ведет. Например, для браузера Chrome строка должна оканчиваться на "Application\chrome.exe", а никак иначе (внизу на скриншоте показано два варианта: слева - нормальный ярлык, и справа - измененная строка рекламным ПО).
Если ярлык изменен: просто удалите его и создайте заново. Дело 10 сек.!
Слева: с ярлыком все OK, справа: ярлык изменен вирусом
♦
ШАГ 5 - чистка системы от мусора
Ну и последнее, что посоветовал бы, после всех проверок и удаления шпионского и рекламного ПО - почистите компьютер также от накопившегося мусора: старых временных файлов, "хвостов" от давно удаленных программ, ошибочных записей в реестре и т.д.
Ниже приведу пару ссылок на свои статьи, где подробно разобран сей вопрос.
Лучшие программы для очистки компьютера (ноутбука) от мусора - https://ocomp.info/programmyi-dlya-ochistki-musora.html
Как почистить компьютер от мусора для ускорения работы - https://ocomp.info/kak-pochistit-kompyuter-ot-musora.html
♣
PS
Кроме этого, рекомендую сделать следующее: установить современный антивирус (который регулярно будет обновляться. См. в боковое меню моего сайта - там всегда есть ссылка на актуальные антивирусы этого года), перестать посещать сомнительные сайты, и устанавливать "ломанный" софт.
Выполняя такой нехитрый ряд правил, сталкиваться с рекламным ПО (на своем компьютере ☺) вы будете куда реже...
Good Luck!
Полезный софт:
-
- Driver Booster Лучшее ПО для обновления драйверов (работает автоматически, поддерживет 99,99% оборудования).Весит
-
- Advanced System Care Программа для очистки Windows от мусора (ускоряет систему, удаляет мусор, оптимизирует реестр).Весит
Другие записи:
ocomp.info
Как удалить вирус из браузера
Самыми нужными, чаще используемыми программами на компьютере/ноутбуке являются различные браузеры. Через них пользователь входит в интернет, получает, скачивает информацию, раздаёт, пересылает другим пользователям. Потому появились вирусы, которые поражают точечно именно браузеры, не затрагивая других программ. Антивирусные программы часто не замечают такие вирусы, между тем пользователь получает из-за них множество рекламы, всплывающих баннеров, замедляется работа ОС, переходы на нужный сайт блокируются, происходит переадресация на другие сайты. Эти и другие неполадки, связанные с браузерными вирусами, можно исправить, очистив браузер Яндекс, Google Chrome, IE и другие. Давайте рассмотрим, что такое рекламный вирус в браузерах, как удалить его безопасно, эффективно.
Симптомы заражения
Их много, назовём самые распространённые.
- Появление навязчивых рекламных баннеров, тизеров, ссылок с предложениями продать или купить. Причём реклама возникает на страницах сайтов, где раньше её не было.
- Появляются запросы о подтверждении каких-то сведений с советами, требованиями отправить SMS на короткие номера на самых разных сайтах, в том числе популярных (вирус заменяет адрес сайта).
- Возникновение множества окон с сообщениями о скором блокировании.
- Выход окон с сообщением о необходимости проверить и установить новый флэш-плеер.
- Открытие в браузере различных эротических картинок, видео.
- Произвольно открываются вкладки, окна в браузере, зачастую незаметно, увидеть вкладку можно только после закрытия основного окна браузера.
Пути заражения
- Обычно заражение происходит при закачивании программ, используя файлы-установщики с расширением .exe. Запустив установщик, вы видите предложение установить уже саму программу либо скачать её, заодно получаете несколько модулей, дополнений.
- В некоторые программы «вшит» рекламный модуль, предлагаются дополнения — так может попасть к вам вирус adware.
- Вирусы попадают при посещении сомнительных сайтов, обычно эротической направленности, фишинговых. Иногда ссылки приходят через почтовые рассылки, в соцсетях от совершенно незнакомых лиц.
Антивирусные программы не гарантируют 100% защиты, всё же при отсутствии их риск вырастает многократно. При постоянном обновлении их и самой ОС вы повышаете защиту от всевозможных вирусных атак.
Удаление браузерного вируса
Если вы «поймали» рекламный вирус в браузере, как удалить его? Во многом ваши действия зависят от конкретного вируса, попавшего в браузер. Однако есть универсальные методы, помогающие в таких ситуациях. Предлагаем вам пошаговую инструкцию, советуем выполнять всё именно в указанном порядке.
Проверка антивирусной программой
Полная проверка компьютера антивирусником
Конечно, от браузерных вирусов антивирусные программы вряд ли вам помогут избавиться, но наличие симптомов говорит, что в систему мог попасть другой вирус, потому вначале рекомендуется очиститься с помощью стандартной полной проверки имеющимся у вас антивирусом.
Проверка браузерных дополнений
Откройте браузер Яндекс, Google Chrome, зайдите в дополнения. («Инструменты» — «Дополнения). Посмотрите, нет ли подозрительных, установленных не вами. Если видите незнакомые, удалите их.
На браузерах Firefox и Opera нажмите Ctrl+Shift+A, затем пройдите через «Инструменты» в «Дополнения».
Проверка приложений
Рекламный модуль нередко устанавливается в форме приложения. Для проверки зайдите в Панель управления — Программы — Программы и компоненты.
Программы и компоненты
Если видите подозрительные программы в появившемся списке — удалите их.
Проверка утилитами
Как сказано выше, антивирусники не находят все тизеры, рекламный «мусор», попавшие на компьютер. Если у вас вирус реклама в браузере, как удалить её, ведь постоянная навязчивая реклама мешает работе на браузере?
Лучше сего для проверки применить две спецутилиты. Рекомендуем провести проверку обоими утилитами, они очистят ваше устройство эффективно, будет удалена реклама, вы удивитесь, сколько мусора есть на компьютере/ноутбуке. Скачивайте утилиты с сайта-разработчика, установите, просканируйте ими ваше устройство.
AdwCleaner
Утилита поможет решить вопрос, как удалить вирус из браузера Google Chrome и из многих других браузеров. AdwCleaner быстро просканирует ваш браузер на наличие подозрительных, вредоносных скриптов, приложений, поможет устранить, также вы можете очистить рекламный «мусор», файлы, ярлыки, системный реестр. Поддерживает разные браузеры: IE, Google Chrome, Firefox, Opera, Яндекс.
AdwCleaner
Malwarebytes
Программы, вычищающая мусор с компьютера/ноутбука. Позволяет сканировать устройство в разных режимах. Есть платный контент, но для полноценной проверки вполне достаточно бесплатной версии.
Проверка файла hosts
Некоторые вирусы заменяют файл hosts, прописывая в своей версии файла строки, изменяющие ваше соединение с сайтами. Вследствие этого при открытии популярного сайта вы попадаете на сайт мошенников, сделанный по аналогии, но предлагающий вам прислать SMS на короткий номер для подтверждения каких-либо сведений, предлагают подписку. При отправке SMS с вашего телефона снимаются деньги.
- Файл hosts находится по следующему адресу: C:\Windows\System32\drivers\etc.
C:\Windows\System32\drivers\etc
- Этот файл можно восстановить в первоначальном варианте разными способами. Наиболее эффективный — очистка в AVZ антивирусе. Этот же антивирус помогает очистить устройство от различных троянских программ, почтовых червей и другого «мусора».
- Открыв программу, зайдите в меню «Файл», пройдите в «Восстановление системы».
«Восстановление системы» в AVZ
- Увидев список для восстановления, найдите строчку «Очистка файла hosts», проставьте галочку, нажмите «Выполнить».
Очистка файла hosts
- В течение 10 секунд файл будет восстановлен.
Если AVZ антивирус не работает на вашем устройстве (несовместим) либо нет возможности его скачать, восстановить hosts можно посредством «Блокнота».
- Откройте «Блокнот» с правами администратора, для этого вызовите окно «Выполнить», нажав Win+R, впишите в строке notepad, нажмите Enter.
- В блокноте пройдите в «Файл» — «Открыть».
- Впишите вышеуказанный путь к файлу hosts.
- Когда откроется папка, введите в строку название hosts и нажмите «Открыть».
- Удалите все записи ниже строки 127.0.0.1.
Прокрутите обязательно весь файл вниз, чтобы убедиться, что ниже этой строки ничего не вписано.
Проверка браузерных ярлыков
Вирус может вписать в ярлык браузера вредоносные команды. Для проверки кликните по ярлыку ПКМ, пройдите в «Свойства».
Посмотрите, как записан браузер в строке «Объект». Запись должна быть такого вида: C:\ProgramFiles (x86)\MozillaFirefox\firefox.exe.
Если вместо программных файлов адрес ведёт в Documents and Settings, в конце вы видите вместо экзешника браузера странную запись, значит, ярлык повреждён вирусом. Удалите ярлык, создайте новый.
Советы по браузерам
Яндекс
На некоторых браузерах есть свои «фишки», особенности. Рассмотрим, как удалить вирус с браузера Яндекс. Рекомендуем два пути.
- Наиболее эффективный — это удалить Яндекс.Браузер, затем заново его переустановить.
- В браузере зайдите в «Инструменты» — «Настройки».
Настройки в Яндекс.Браузере
- Дальше выберите «Настройки JavaScript». Пройдите в «Настройки JavaScript» либо в папку пользовательских файлов. Очистите папку от всего содержимого.
IE
Откройте Internet Explorer, пройдите в «Сервис» — «Настройки» — «Панель инструментов». Выключите все приложения поочерёдно, перезапуская каждый раз браузер, пока не исчезнет рекламный вирус. После удаления вируса, включите заново нужные приложения.
Предупреждение заражения браузера
- Установите на ваше устройство современный антивирусник, регулярно обновляйте его.
- Обновляйте ОС.
- Не скачивайте программы, файлы с подозрительных сайтов.
- Если скачиваемая вами программа весит меньше 1 Мб, значит, вы скачиваете не саму программу, а загрузчик, который принесёт вам дополнительно много «мусора». Скачивайте программы, утилиты лишь с официальных сайтов.
- Регулярно проверяйте компьютер программами, названными выше.
- Игнорируйте предложения посмотреть фото, отправить SMS, не переходите по ссылкам, полученным от незнакомых лиц.
nastroyvse.ru
Как удалить вирус самостоятельно с компьютера. Как самостоятельно удалить вирус с ноутбука
Компьютеры уже давно стали нашими верными помощниками и повседневными спутниками. Мы играем в видеоигры, общаемся с друзьями по "Скайпу", узнаем все мировые новости сразу после их публикации, а в случае необходимости можем побывать где-то на другом конце земли или даже в космосе, просто посмотрев трансляцию с веб-камеры.
Это во многом способствовало улучшению компьютерной грамотности населения. В частности, для большинства пользователей уже не составляет сложности самостоятельно установить или настроить программу, модернизировать свой компьютер или даже переустановить систему.
Увы, но по какой-то причине многие так и не осознали важности установки антивирусных программ. Из-за этого постоянно задаются вопросы о том, как удалить вирус самостоятельно с компьютера, не прибегая к помощи специалистов. Об этом мы сегодня и поговорим.
Лечащие утилиты
Конечно же, в первую очередь вам понадобится установить нормальный антивирус, так как без этого вы постоянно будете испытывать проблемы с вирусными атаками. Но если ваш компьютер заражен, предварительно придется его почистить, так как современные вредоносные программы умеют отключать антивирусное ПО еще на этапе его инсталляции.
А как удалить вирус без антивируса? Увы, но если вы не являетесь крупным специалистом по компьютерной безопасности, сделать это вряд ли получится. Для этого нужно уметь вручную редактировать реестр, разбираться во всех типах процессов. Так что лучше использовать хотя бы лечащую утилиту, раз уж вы так не хотите использовать полноценный антивирус.
Чтобы выполнить эту операцию, следует воспользоваться одним из многочисленных бесплатных антивирусных сканеров, которые в свободном доступе имеются в Сети. Так как удалить вирус самостоятельно?
Dr.Web CureIt!
Антивирус «Доктор Веб» от Игоря Данилова – одна из самых известных программ такого класса во всем мире. Причем «Доктор» - еще и один из старейших антивирусов, который стал известен еще во времена повсеместного распространения ОС DOS. Когда же появился Windows, именно Данилов впервые начал внедрять в свою продукцию графический GUI, способствовавший большей популяризации антивируса.
Свое положение он сохранил до сего дня. Во многом этому способствовала утилита Dr.Web CureIt!. Она полностью бесплатна, а загрузить ее можно с официального сайта. Перед тем как удалить вирус самостоятельно с компьютера, скачиваете программу, щелкаете по ее файлу правой клавишей мыши, после чего выбираете в выпадающем контекстном меню пункт «Запуск от имени администратора».
В главном диалоговом окне нужно выбрать сканируемые области (лучше отметить все диски, имеющиеся в компьютере), после чего нажать на кнопку «Сканировать». Время проверки во многом зависит от мощности вашей машины. Как правило, все найденные объекты удаляются автоматически. Важно! Как правило, сканирование идет долго, так что лучше всего поставить проверку на ночь.
Советы по настройке
Сразу после запуска программа проверит все важные системные файлы. Это отнимет некоторое время, так что не волнуйтесь. Впрочем, проверку можно отменить, нажав на кнопку «Стоп».
Нужно сказать и про сканирование съемных носителей. Так как удалить вирус с флешки (если она подключена к компьютеру) следует до его срабатывания, не следует выключать проверку, иначе он может заразить жесткие диски!
Перейдя во вкладку «Общие», можно выставить необходимые вам параметры. Но основное внимание нужно обратить на вкладку «Действия». Там можно настроить поведение программы в случае обнаружения вредоносных объектов. Настоятельно рекомендуем вам выбрать вариант «Удалить», так как процедура лечения отнимает слишком много времени, да и удается далеко не всегда. Чаще всего «вылеченные» файлы оказываются повреждены.
Перед тем как удалить вирус-рекламу, обязательно отметьте пункт «AdWare», так как в ином случае программа может не тронуть вредоносное приложение такого типа.
Не забудьте поставить флажок напротив пункта «Проверять архивы». Да, проверка в этом случае отнимет много времени, но зато будет более тщательной. Кроме того, в этой же вкладке можно настроить исключения. Если в какой-то папке на вашем компьютере расположены исключительно фильмы или музыка, лучше исключить их из проверки, так как она отнимет слишком много времени, а результатов все равно не даст.
Kaspersky Virus Removal Tool
Если вы имеете хоть какое-то отношение к компьютерам, наверняка знаете о знаменитом «Антивирусе Касперского», который уже давно стал едва ли не стандартом де-факто в Рунете. Но компания только сравнительно недавно занялась выпуском антивирусного сканера Kaspersky Virus Removal Tool.
Программу также можно скачать с официального сайта. Принцип запуска и сканирования ровно тот же, что и в прошлом случае. Практика показывает, что данная утилита работает несколько дольше, нежели вариант от «Доктора Веба», но тщательность сканирования у них приблизительно одинакова.
Сведения по настройке
Для начала необходимо зайти во вкладку «Настройка». Там имеется пункт «Уровень безопасности», в котором нужно поставить флажок «Проверять файлы почтовых форматов». Так как в почтовых вложениях очень часто попадаются вирусы, это не будет лишним.
Затем переходим на вкладку «Дополнительно». Обязательно поставьте флажки на следующих пунктах: «Сигнатурный поиск уязвимостей», а также «Углублённый анализ файлов». Ползунок эвристического анализа следует выставить в среднее положение. Конечно, можно поставить на максимум, но это все равно не даст вам ничего особенно стоящего. Дело в том, что в этом случае резко увеличится время проверки, а вероятность ложных срабатываний (в том числе с уничтожением системных файлов) станет критической.
После этого следует нажать на «ОК», а затем перейти на вкладку «Действия». Обязательно ставим переключатель в положение «Выполнить действие», после чего нажимаем на кнопку «ОК». Снова идем на вкладку «Область проверки», после чего отмечаем все те области, которые необходимо проверить. Желательно выставить также флажок «Сбор информации», так как в этом случае компания получит сведения о новых угрозах наиболее оперативно.
Поздравляем, ваш Kaspersky Virus Removal Tool готов уничтожать любую компьютерную нечисть! Можно нажимать на большую кнопку «Пуск» и отправляться спать, так как проверка наверняка займет много времени. А как самостоятельно удалить вирус с ноутбука, если хочется быстрее закончить проверку? Для быстрого сканирования подойдет другая программа.
Утилита от AVZ
Наконец, третий участник нашего «хит-парада». Компания AVZ – один из мировых лидеров производства антивирусного программного обеспечения, который в нашей стране не столь известен. Зря, впрочем.
Выпускаемый ей антивирус довольно-таки хорош, так что перед тем, как удалить вирус самостоятельно с компьютера, вы можете скачать лечащую утилиту именно ее производства. Скачать ее необходимо с официального сайта AVZ. Загрузится zip-архив, из которого файл программы нужно распаковать в любое удобное для вас место.
Настройки
Как и в прошлых случаях, нужно кликнуть по нему правой клавишей мыши, выбрав в меню пункт «Запуск от имени администратора». Появится диалоговое окно, в котором необходимо пройти в меню «Файл», выбрать там опцию «Обновление баз». После этого можно нажать на кнопку «Пуск». Когда кнопка «Закрыть» станет активной, программа будет готова к работе.
Обязательно переходим во вкладку «Область поиска». Там есть список, в котором имеются все локальные и съемные диски, имеющиеся в вашем компьютере. Настоятельно советуем выбрать их все, так как иначе проверка не будет тщательной.
Советы по лечению
А как самостоятельно удалить вирус с ноутбука, если нежелательно удалять пораженные файлы? Есть ли способ их как-то сохранить?
Советуем перейти во вкладку «Методика лечения». Опцию «Выполнять лечение» отмечаем флажком по желанию. Не следует изменять настройки, если вы не уверены в своих действиях. Впрочем, для всех вариантов лучше ставить опцию «Удалять». Учитывая отечественные реалии, не отмечайте пункт «Hakc Tool». Здесь выбираем опцию «Не выполнять никаких действий».
В чем дело? Да просто если у вас на компьютере есть «леченные» программы, антивирус их попросту удалит. Или слетит активация, что также не есть хорошо.
Вот как удалить вирус самостоятельно с компьютера. Мы перечислили все самые распространенные и простые в использовании утилиты, которые надежно удаляют вирусы с компьютера.
fb.ru
Удаляем вирус из системы.Что делать, если антивирус не справился со своей работой.    Вы, наверно, неоднократно встречали информацию в СМИ о том, что появился новый страшный вирус, который может привести к новой страшной эпидемии и чуть ли не к концу Интернета. Или, что появилась новая технология вирусописания, основанная на использовании младших битов пикселей графических изображений, и тело вируса практически невозможно обнаружить. Или ... много еще чего страшненького. Иногда вирусы наделяют чуть ли не разумом и самосознанием. Происходит это от того, что многие пользователи, запутавшись в сложной классификации и подробностях механизма функционирования вирусов, забывают, что в первую очередь, любой вирус - это компьютерная программа, т.е. набор процессорных команд (инструкций), оформленных определенным образом. Неважно, в каком виде существует этот набор (исполняемый файл, скрипт, часть загрузочного сектора или группы секторов вне файловой системы) - гораздо важнее, чтобы эта программа не смогла получить управление, т.е. начать выполняться. Записанный на ваш жесткий диск, но не запустившийся вирус, также безобиден, как и любой другой файл. Главная задача в борьбе с вирусами - не обнаружить тело вируса, а предотвратить возможность его запуска. Поэтому грамотные производители вирусов постоянно совершенствуют не только технологии занесения вредоносного программного обеспечения в систему, но и способы скрытного запуска и функционирования. Как происходит заражение компьютера вредоносным программным обеспечением (вирусом)? Ответ очевиден - должна быть запущена какая-то программа. Идеально - с административными правами, желательно - без ведома пользователя и незаметно для него. Способы запуска постоянно совершенствуются и основаны, не только на прямом обмане, но и на особенностях или недостатках операционной системы или прикладного программного обеспечения. Например, использование возможности автозапуска для сменных носителей в среде операционных систем семейства Windows привело к распространению вирусов на флэш-дисках. Функции автозапуска обычно вызываются со сменного носителя или из общих сетевых папок. При автозапуске обрабатывается файл Autorun.inf . Этот файл определяет, какие команды выполняет система. Многие компании используют эту функцию для запуска инсталляторов своих программных продуктов, однако, ее же, стали использовать и производители вирусов. В результате, об автозапуске, как некотором удобстве при работе за компьютером, можно забыть. - большинство грамотных пользователей данную опцию отключили навсегда. Для отключения функций автозапуска в Windows XP/2000 здесь reg-файл для импорта в реестр. Для Windows 7 и более поздних отключение автозапуска можно выполнить с использованием апплета "Автозапуск" панели управления. В этом случае отключение действует по отношению к текущему пользователю. Более надежным способом защиты от внедрения вирусов, переносимых на съемных устройствах, является блокировка автозапуска для всех пользователей с помощью групповых политик:     Механизм заражения компьютера посетителя сайта, в упрощенном виде, я попробую объяснить на примере. Не так давно, при посещении одного, довольно популярного сайта, я получил уведомление программы мониторинга автозапуска (PT Startup Monitor) о том, что приложение rsvc.exe пытается выполнить запись в реестр. Приложение было благополучно прибито FAR'ом, а изменения в реестре отменены PT Startup Monitor'ом. Анализ страниц сайта показал наличие странного кода на языке Javascript, выполняющего операции по преобразованию строковых данных, не являющихся осмысленным текстом. Язык Javascript поддерживается большинством современных браузеров и используется практически на всех веб-страницах. Сценарий, загружаемый с таких страниц, выполняется обозревателем Интернета. В результате многочисленных преобразований упомянутых выше строк получался довольно простой код: iframe src="http://91.142.64.91/ts/in.cgi?rut4" width=1 height=1 означающий выполнение CGI-сценария сервера с IP - адресом 91.142.64.91 (не имеющего никакого отношения к посещаемому сайту) в отдельном окне (тег iframe) размером 1 пиксель по ширине и 1 пиксель по высоте, в невидимом окне. Результат - вполне вероятное вирусное заражение. Особенно, если нет антивируса или он не среагирует на угрозу. Данный пример скрытого перенаправления посетителя на вредоносный сайт с использованием тега "iframe" сегодня, наверно, не очень актуален, но вполне демонстрирует как, посещая легальный сайт, можно незаметно для себя побывать и на другом, не очень легальном, даже не подозревая об этом. К сожалению, абсолютной гарантии от вирусного заражения нет и нужно быть готовым к тому, что с вирусом придется справляться собственными силами.     В последнее время, одним из основных направлений развития вредоносных программ стало применение в них всевозможных способов защиты от обнаружения антивирусными средствами - так называемые руткит (rootkit) - технологии. Такие программы часто или не обнаруживаются антивирусами или не удаляются ими. В этой статье я попытаюсь описать более или менее универсальную методику обнаружения и удаления вредоносного программного обеспечения из зараженной системы.     Удаление "качественного" вируса, становится все более нетривиальной задачей, поскольку такой вирус разработчики снабжают свойствами, максимально усложняющими ее решение. Нередко вирус может работать в режиме ядра (kernel mode) и имеет неограниченные возможности по перехвату и модификации системных функций. Другими словами - вирус имеет возможность скрыть от пользователя (и антивируса) свои файлы, ключи реестра, сетевые соединения, - все, что может быть признаком его наличия в зараженной системе. Он может обойти любой брандмауэр, системы обнаружения вторжения и анализаторы протоколов. И, кроме всего прочего, он может работать и в безопасном режиме загрузки Windows. Иными словами, современную вредоносную программу очень непросто обнаружить и обезвредить.     Развитие антивирусов тоже не стоит на месте, - они постоянно совершенствуются, и в большинстве случаев, смогут обнаружить и обезвредить вредоносное ПО, но рано или поздно, найдется модификация вируса, которая какое-то время будет "не по зубам" любому антивирусу. Поэтому самостоятельное обнаружение и удаление вируса - это работа, которую рано или поздно придется выполнять любому пользователю компьютера. Для примера я взял вирус, ссылку на который получил в спам-письме, следующего содержания: Здравствуйте. Нас заинтересовала ваша кандидатура, однако предлагаем вам заполнить наш фирменный бланк резюме и отправить его по адресу [email protected] Ответ не гарантируется, однако если Ваше резюме нас заинтересует, мы позвоним Вам в течение нескольких дней. Не забудьте указать телефон, а также позицию, на которую Вы претендуете. Желательно также указать пожелания по окладу. Наш фирменный бланк вы можете скачать по нижеуказанной ссылке. http://verano-konwektor.pl/resume.exe     Анализ заголовков письма показал, что оно было отправлено с компьютера в Бразилии через сервер, находящийся в США. А фирменный бланк предлагается скачать с сервера в Польше. И это с русскоязычным-то содержанием.     Ясное дело, что никакого фирменного бланка вы не увидите, и скорее всего, получите троянскую программу на свой компьютер.     Скачиваю файл resume.exe. Размер - 159744 байта. Пока не запускаю.     Копирую файл на другие компьютеры, где установлены различные антивирусы - просто для очередной проверки их эффективности. Результаты не ахти - антивирус Avast 4.8 Home Edition деликатно промолчал. Подсунул его Symantec'у - та же реакция. Сработал только AVG 7.5 Free Edition. Похоже, этот антивирус, в самом деле, не зря набирает популярность.     Все эксперименты выполняю на виртуальной машине с операционной системой Windows XP. Учетная запись с правами администратора, поскольку, чаще всего вирусы успешно внедряются в систему только, если пользователь является локальным администратором.     Запускаю. Через какое-то время зараженный файл исчез, похоже, вирус начал свое черное дело.     Поведение системы внешне не изменилось. Очевидно, нужна перезагрузка. На всякий случай, запрещаю в брандмауэре соединения по протоколу TCP. Оставляю разрешенными только исходящие соединения по UDP:53 (DNS) - надо же оставить вирусу хоть какую-то возможность проявить свою активность. Как правило, после внедрения, вирус должен связаться с хозяином или с заданным сервером в интернете, признаком чего будут DNS-запросы. Хотя, опять же, в свете сказанного выше, умный вирус может их замаскировать, кроме того, он может и обойти брандмауэр. Забегая вперед, скажу, что в данном конкретном случае этого не произошло, но для надежного анализа сетевой активности весь трафик зараженной машины лучше пустить через другую, незараженную, где можно быть уверенным, что правила брандмауэра выполняются, а анализатор трафика (я пользовался Wireshark'ом) выдает то, что есть на самом деле.     Перезагружаюсь. Внешне ничего не изменилось, кроме того, что невозможно выйти в интернет, поскольку я сам отключил такую возможность. Ни в путях автозапуска, ни в службах, ни в системных каталогах не появилось ничего нового. Просмотр системного журнала дает только одну наводку - системе не удалось запустить таинственную службу grande48. Такой службы у меня быть не могло, да и по времени это событие совпало с моментом внедрения. Что еще наводит на мысль об успешном внедрении - так это отсутствие в реестре записи о службе grande48 и отсутствие второго сообщения в журнале системы об ошибке запуска службы после перезагрузки. Это, скорее всего, некоторая недоработка вирусописателей. Хотя и несущественная, ведь большинство пользователей журнал событий не просматривают, да и на момент возникновения подозрения на заражение эта запись в журнале уже может и отсутствовать. Определяем наличие вируса в системе.1.     Наверняка должен быть "левый" трафик. Определить можно с помощью анализаторов протокола. Я использовал Wireshark. Сразу после загрузки первым запускаю его. Все правильно, есть наличие группы DNS-запросов (как потом оказалось - один раз за 5 минут) на определение IP-адресов узлов ysiqiyp.com, irgfqfyu.com, updpqpqr.com и т.п. Вообще-то все ОС Windows любят выходить в сеть, когда надо и не надо, антивирусы могут обновлять свои базы, поэтому определить принадлежность трафика именно вирусу довольно затруднительно. Обычно требуется пропустить трафик через незараженную машину и серьезно проанализировать его содержимое. Но это отдельная тема. В принципе, косвенным признаком ненормальности сетевой активности системы могут быть значительные значения счетчиков трафика провайдера, в условиях простоя системы, счетчики из свойств VPN-соединения и т.п. 2.     Попробуем использовать программы для поиска руткитов. Сейчас таких программ уже немало и их несложно найти в сети. Одна из наиболее популярных - RootkitRevealer Марка Руссиновича, которую можно скачать на странице раздела Windows Sysinternals сайта Microsoft. Инсталляция не требуется. Разархивируем и запускаем. Жмем "Scan". После непродолжительного сканирования видим результаты: 
    Кстати, даже не вникая в содержания строк, можно сразу заметить, что имеются очень "свежие" по времени создания/модификации записи или файлы (колонка "Timestamp"). Нас в первую очередь должны заинтересовать файлы с описанием (колонка "Description") - "Hidden from Windows API" - скрыто от API-интерфейса Windows. Скрытие файлов, записей в реестре, приложений - это, естественно, ненормально. Два файла - grande48.sys и Yoy46.sys - это как раз то, что мы ищем. Это и есть прописавшийся под видом драйверов искомый руткит или его часть, обеспечивающая скрытность. Наличие в списке остальных было для меня сюрпризом. Проверка показала - это нормальные драйверы Windows XP. Кроме того, вирус скрывал их наличие только в папке \system32, а их копии в \system32\dllcache остались видимыми.    Напомню, что в Windows XP применяется специальный механизм защиты системных файлов, называемый Windows File Protection (WFP). Задача WFP - автоматическое восстановление важных системных файлов при их удалении или замене устаревшими или неподписанными копиями. Все системные файлы Windows XP имеют цифровую подпись и перечислены в специальной базе данных, используемой WFP. Для хранения копий файлов используется папка \system32\dllcache и, отчасти, \Windows\driver cache. При удалении или замене одного из системных файлов, WFP автоматически копирует "правильную" его копию из папки \dllcache. Если указанный файл отсутствует в папке \dllcache , то Windows XP просит вставить в привод компакт-дисков установочный компакт-диск Windows XP. Попробуйте удалить vga.sys из \system32, и система тут же его восстановит, используя копию из dllcache. А ситуация, когда, при работающей системе восстановления файлов, файл драйвера есть в \dllcache и его не видно в \system32 - это тоже дополнительный признак наличия руткита в системе. Удаляем вирус из системы.    Осталось выполнить самое важное действие - удалить вирус. Самый простой и надежный способ - загрузиться в другой, незараженной операционной системе и запретить старт драйверов руткита. Воспользуемся стандартной консолью восстановления Windows. Берем установочный диск Windows XP и загружаемся с него. На первом экране выбираем 2-й пункт меню - жмем R. 
Выбираем систему (если их несколько): 
Вводим пароль администратора. Список драйверов и служб можно просмотреть с помощью команды listsvc: 
В самом деле, в списке присутствует Yoy46, правда отсутствует grande48, что говорит о том, что файл драйвера grande48.sys скрытно присутствует в системе, но не загружается:  Консоль восстановления позволяет запрещать или разрешать запуск драйверов и служб с помощью команд disable и enable. Запрещаем старт Yoy46 командой: disable Yoy46 
    Водим команду EXIT и система уходит на перезагрузку. После перезагрузки драйвер руткита не будет загружен, что позволит легко удалить его файлы и очистить реестр от его записей. Можно проделать это вручную, а можно использовать какой-нибудь антивирус. Наиболее эффективным, с моей точки зрения, будет бесплатный сканер на основе всем известного антивируса Dr.Web Игоря Данилова. Скачать можно отсюда - http://freedrweb.ru     Там же можно скачать "Dr.Web LiveCD" - образ диска, который позволяет восстановить работоспособность системы, пораженной действиями вирусов, на рабочих станциях и серверах под управлением Windows\Unix, скопировать важную информацию на сменные носители либо другой компьютер, если действия вредоносных программ сделали невозможным загрузку компьютера. Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты. Для удаления вируса нужно скачать с сайта DrWeb образ (файл с расширением .iso) и записать его на CD. Будет создан загрузочный диск, загрузившись с которого, руководствуетесь простым и понятным меню.     Если по каким-либо причинам, нет возможности воспользоваться Dr.Web LiveCD, можно попробовать антивирусный сканер Dr.Web CureIt!, который можно запустить, загрузившись в другой ОС, например, с использованием Winternals ERD Commander. Для сканирования зараженной системы необходимо указать именно ее жесткий диск (Режим "Выборочная проверка"). Сканер поможет вам найти файлы вируса, и вам останется лишь удалить связанные с ним записи из реестра.     Поскольку вирусы научились прописываться на запуск в безопасном режиме загрузки, не мешает проверить ветку реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot Разделы:Minimal - список драйверов и служб запускаемых в безопасном режиме (Safe Mode)Network - то же, но с поддержкой сети. Добавлю, что существует новый класс rootkit, представителем которого является BackDoor.MaosBoot, появившийся в конце 2007г. Эта троянская программа прописывает себя в загрузочный сектор жесткого диска и обеспечивает скрытую установку своего драйвера в памяти. Сам Rootkit-драйвер напрямую записан в последние секторы физического диска, минуя файловую систему, чем и скрывает свое присутствие на диске. В общем-то, принцип не новый, лет десять назад вредоносные программы подобным образом маскировались на резервных дорожках дискет и жестких дисков, однако оказался очень эффективным, поскольку большинство антивирусов с задачей удаления BackDoor.MaosBoot до сих пор не справляются. Упоминаемый выше RootkitRevealer загрузочный сектор не проверяет, а секторы в конце диска для него никак не связаны с файловой системой и , естественно, такой руткит он не обнаружит. Правда, Dr.Web (а, следовательно, и Cureit) с BackDoor.MaosBoot вполне справляется.     Если у вас возникли сомнения относительно какого-либо файла, то можно воспользоваться бесплатной онлайновой антивирусной службой virustotal.com. Через специальную форму на главной странице сайта закачиваете подозрительный файл и ждете результатов. Сервисом virustotal используются консольные версии множества антивирусов для проверки вашего подозреваемого файла. Результаты выводятся на экран. Если файл является вредоносным, то с большой долей вероятности, вы сможете это определить. В какой-то степени сервис можно использовать для выбора "лучшего антивируса". Здесь ссылка на одну из веток форума сайта virusinfo.info, где пользователи выкладывают ссылки на различные ресурсы посвященные антивирусной защите, в т.ч. и онлайн - проверок компьютера, браузера, файлов...     Иногда, в результате некорректных действий вируса (или антивируса) система вообще перестает загружаться. Приведу характерный пример. Вредоносные программы пытаются внедриться в систему, используя различные, в том числе, довольно необычные способы. В процессе начальной загрузки, еще до регистрации пользователя, запускается "Диспетчер сеансов" (\SystemRoot\System32\smss.exe) , задача которого - запустить высокоуровневые подсистемы и сервисы (службы) операционной системы. На этом этапе запускаются процессы CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), и оставшиеся службы с параметром Start=2 из раздела реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services     Информация, предназначенная для диспетчера сеансов, находится в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager Одним из способов внедрения в систему, является подмена dll-файла для CSRSS. Если вы посмотрите содержимое записи HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems то найдете значения ServerDll=basesrv, ServerDll=winsrv. Библиотеки basesrv.dll и winsrv.dll - это "правильные" файлы системы, загружаемые службой CSRSS на обычной (незараженной) системе. Эту запись в реестре можно подправить на запись, обеспечивающую загрузку, например, вместо basesrv.dll, вредоносной basepvllk32.dll: ServerDll=basepvllk32 (или какую либо другую dll, отличную от basesrv и winsrv) Что обеспечит, при следующей перезагрузке, получение управления вредоносной программе. Если же ваш антивирус обнаружит и удалит внедренную basepvllk32, оставив нетронутой запись в реестре, то загрузка системы завершится "синим экраном смерти" (BSOD) с ошибкой STOP c000135 и сообщением о невозможности загрузить basepvllk32. Поправить ситуацию можно так: - загрузится в консоль восстановления (или в любой другой системе), и скопировать файл basesrv.dll из папки C:\WINDOWS\system32 в ту же папку под именем basepvllk32.dll. После чего система загрузится и можно будет вручную подправить запись в реестре. - загрузиться с использованием Winternals ERD Commander и исправить запись в реестре на ServerDll=basesrv. Или выполнить откат системы с использованием точки восстановления.     Еще один характерный пример. Вредоносная программ регистрируется как отладчик процесса explorer.exe, создавая в реестре запись типа: HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe "Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe" Удаление wuauclt.exe антивирусом без удаления записи в реестре приводит к невозможности запуска explorer.exe. В результате вы получаете пустой рабочий стол, без каких-либо кнопок и ярлыков. Выйти из положения можно используя комбинацию клавиш CTRL-ALT-DEL. Выбираете "Диспетчер задач" - "Новая задача" - "Обзор" - находите и запускаете редактор реестра regedit.exe. Затем удаляете ключ HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe и перезагружаетесь.     В случае, когда вы точно знаете время заражения системы, откат на точку восстановления до этого события, является довольно надежным способом избавления от заразы. Иногда есть смысл выполнять не полный откат, а частичный, с восстановлением файла реестра SYSTEM, как это описано в статье "Проблемы с загрузкой ОС" раздела "Windows"     == Май 2008. == Дополнение    Это дополнение возникло через год после написания основной статьи. Здесь я решил разместить наиболее интересные решения, возникшие в процессе борьбы с вредоносным программным обеспечением. Что-то вроде коротких заметок. После удаления вируса ни один антивирус не работает.    Случай интересен тем, что способ блокировки антивирусного программного обеспечения можно использовать и в борьбе с исполняемыми файлами вирусов. Началось все с того, что после удаления довольно примитивного вируса не заработал лицензионный "Стрим Антивирус". Переустановки с чисткой реестра не помогли. Попытка установки Avira Antivir Personal Free закончилась успешно, но сам антивирус не запустился. В системном журнале было сообщение о таймауте при запуске службы "Avira Antivir Guard". Перезапуск вручную заканчивался той же ошибкой. Причем, никаких лишних процессов в системе не выполнялось. Была стопроцентная уверенность - вирусов, руткитов и прочей гадости (Malware) в системе нет.     В какой-то момент попробовал запустить антивирусную утилиту AVZ. Принцип работы AVZ во многом основан на поиске в изучаемой системе разнообразных аномалий. С одной стороны, это помогает в поиске Malware, но с другой вполне закономерны подозрения к компонентам антивирусов, антишпионов и прочего легитимного ПО, активно взаимодействующего с системой. Для подавления реагирования AVZ на легитимные объекты и упрощения анализа результатов проверки системы за счет отметки легитимных объектов цветом и их фильтрации из логов, применяется база безопасных файлов AVZ. С недавнего времени запущен полностью автоматический сервис, позволяющий всем желающим прислать файлы для пополнения этой базы. Но : исполняемый файл avz.exe не запустился ! Переименовываю avz.exe в musor.exe - все прекрасно запускается. В очередной раз AVZ оказался незаменимым помощником в решении проблемы. При выполнении проверок в результатах появилась строки: Опасно - отладчик процесса "avz.exe"="ntsd-d" Опасно - отладчик процесса "avguard.exe"="ntsd-d" :. Это была уже серьезная зацепка. Поиск в реестре по контексту "avz" привел к обнаружению в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options раздела с именем avz.exe, содержащем строковый параметр с именем "Debugger" и значением "ntsd -d". И, как выяснилось позже, в указанной ветке присутствовал не только раздел "avz.exe", но и разделы с именами исполняемых модулей практически всех известных антивирусов и некоторых утилит мониторинга системы. Сам ntsd.exe - вполне легальный отладчик Windows, стандартно присутствующий во всех версиях ОС, но подобная запись в реестре приводит к невозможности запуска приложения, имя исполняемого файла которого совпадает с именем раздела ???.exe.     После удаления из реестра всех разделов, c именем ???.exe и содержащих запись "Debugger" = "ntsd -d" работоспособность системы полностью восстановилась. В результате анализа ситуации с использованием параметра "ntsd -d" для блокировки запуска исполняемых файлов, появилась мысль использовать этот же прием для борьбы с самими вирусами. Конечно, это не панацея, но в какой-то степени может снизить угрозу заражения компьютера вирусами с известными именами исполняемых файлов. Для того, чтобы в системе невозможно было выполнить файлы с именами ntos.exe, file.exe, system32.exe и т.п. можно создать reg-файл для импорта в реестр: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NTOS.EXE] "Debugger"="ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FILE.EXE] "Debugger"="ntsd -d" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SYSTEM32.EXE] "Debugger"="ntsd -d" :.. и т.д. Обратите внимание, на то, что имя раздела не содержат пути файла, поэтому данный способ нельзя применять для файлов вирусов, имена которых совпадают с именами легальных исполняемых файлов, но сами файлы нестандартно размещены в файловой системе. Например, проводник Explorer.exe находится в папке \WINDOWS\, а вирус располагается где-то в другом месте - в корне диска, в папке \temp, \windows\system32\ Если вы создадите раздел с именем "Explorer.exe" - то после входа в систему вы получите пустой рабочий стол, поскольку проводник не запустится. Хуже того, если вы создадите раздел, имя которого совпадает с именем системной службы (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), то получите рухнувшую систему. Если вирус находится в C:\temp\winlogon.exe, а легальный модуль входа в систему C:\WINDOWS\SYSTEM32\winlogon.exe, создание раздела с именем winlogon.exe приведет к невозможности запуска службы winlogon и краху системы с синим экраном смерти (BSOD). По этой ссылке вы можете скачать .reg-файл с подборкой из имен файлов, наиболее часто используемых актуальными вирусами. После импорта в реестр, в случае попытки выполнения файла с именем, присутствующем в заготовке, вы получите подобное окно:
Если у вас возникнут проблемы с легальной программой, имя исполняемого файла которой совпало с именем, используемым вредоносным ПО, откройте раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options и удалите подраздел с данным именем. Для удобства, имена с параметром "ntsd -d" я выделил заглавными буквами.
    Основная цель современных вирусописателей - заработать деньги любым способом. В последнее время участилось использование вируса для блокировки рабочего стола пользователя и вывод сообщения, предлагающего отправить СМС на определенный (как правило, короткий) номер для разблокировки. Подобное сообщение может сопровождаться отображением какого - нибудь порнобаннера или предупреждения об использовании нелицензионного программного обеспечения, или даже о потере данных при попытке переустановки системы. Встречаются даже вирусы, нагло заявляющие, что "Данный программный продукт не является вирусом". Еще одна особенность этой разновидности вредоносного ПО заключается в том, что максимально затруднен запуск каких-либо программ, не работают стандартные комбинации клавиш, запрещено использование редактора реестра, невозможно зайти на антивирусные сайты и т.п. Подобные вирусы не маскируют, а наоборот - демонстрируют свое присутствие в системе и максимально затрудняют возможность выполнить любые действия на компьютере. Практически, рабочий стол пользователя заблокирован, и никакие действия невозможны. Другими словами - пользователю настойчиво указывается единственный выход - отправить СМС. После отправки с баланса мобильного телефона будет снята некоторая сумма в пользу мошенников. Код разблокировки вы, скорее всего, не получите, и вернетесь к той же ситуации. Хотя, справедливости ради, стоит отметить, что ранние разновидности вируса-вымогателя (Trojan.Winlock) вели себя довольно "прилично" - самоуничтожались через какое-то время (несколько часов) или сразу после ввода полученного кода разблокировки.     На сайте антивирусной компании "Доктор Веб" есть специальная форма для генерации кода разблокировки. Перейти к форме сайта DrWeb Аналогичная форма на сайте лаборатории Касперского     Но, все же, надеяться на то, что запрашиваемый вирусом код, подойдет в каждом конкретном случае, не стоит. Как не стоит надеяться на честное самоуничтожение вируса, и тем более, не стоит отправлять СМС. Любой вирус можно удалить, даже если он не обнаруживается антивирусами. Методики удаления вируса-вымогателя ничем не отличаются от методик удаления любого другого вредоносного ПО, с одним, пожалуй, отличием - не стоит тратить время на попытки справиться с дрянью в среде зараженной системы, разве что для развития собственных навыков и пополнения знаний. Наиболее простой и эффективный путь - загрузиться с использованием другой, незараженной системы и, подключившись к зараженной, удалить файлы вируса и исправить внесенные им записи в реестре. Об этом я уже писал выше, в основной части статьи, а здесь попытаюсь просто изложить несколько кратких вариантов удаления вируса. Использование Dr.Web LiveCD - самый простой и не требующий специальных знаний способ. Скачиваете iso-образ CD, записываете его на болванку, загружаетесь с CD-ROM и запускаете сканер. Использование Winternals ERD Commander. Загружаетесь с него, подключившись к зараженной системе, и выполняете откат на контрольную точку восстановления с датой, когда заражения еще не было. Выбираете меню System Tools - System Restore. Если откат средствами ERD Commander'а выполнить невозможно, попробуйте вручную найти файлы реестра в данных контрольных точек и восстановить их в каталог Windows. Как это сделать я подробно описал в статье "Работа с реестром". Загрузка в другой ОС и ручное удаление вируса. Самый сложный, но самый эффективный способ. В качестве другой ОС удобнее всего использовать тот же ERD Commander. Методика обнаружения и удаления вируса может быть следующей:- Переходите на диск зараженной системы и просматриваете системные каталоги на наличие исполняемых файлов и файлов драйверов с датой создания близкой к дате заражения. Перемещаете эти файлы в отдельную папку. Обратите внимание на каталоги \Windows \Windows\system32 \Windows\system32\drivers \Windows\Tasks\ \RECYCLER\System Volume Information Каталоги пользователей \Documents And Settings\All Users и \Documents And Settings\имя пользователя Очень удобно использовать для поиска таких файлов FAR Manager, с включенной сортировкой по дате для панели, где отображается содержимое каталога (комбинация CTRL-F5). Особое внимание стоит обратить на скрытые исполняемые файлы. Существует также эффективная и простая утилита от Nirsoft - SearchMyFiles, применение которой позволяет, в подавляющем большинстве случаев, легко обнаружить вредоносные файлы даже без использования антивируса. Способ обнаружения вредоносных файлов по времени создания (Creation time) - Подключаетесь к реестру зараженной системы и ищете в нем ссылки на имена этих файлов. Сам реестр не мешает предварительно скопировать (полностью или, по крайней мере, те части, где встречаются выше указанные ссылки). Сами ссылки удаляете или изменяете в них имена файлов на другие, например - file.exe на file.ex_, server.dll на server.dl_, driver.sys на driver.sy_. Данный способ не требует особых знаний и в случаях, когда вирус не меняет дату модификации своих файлов (а это пока встречается очень редко) - дает положительный эффект. Даже если вирус не обнаруживается антивирусами. - Если предыдущие методики не дали результата, остается одно - ручной поиск возможных вариантов запуска вируса. В меню Administrative Tools ERD Commander'а имеются пункты: Autoruns - информация о параметрах запуска приложений и оболочке пользователя.Service and Driver Manager - информация о службах и драйверах системы. Полезные ссылки по теме.Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой "Поделиться" В начало страницы     |     На главную страницу сайта |
comp0.ru
Как удалить вирус с браузера
Здравствуйте.
Сегодня браузер — это одна из самых нужных программ на любом компьютере, который подключен к интернету. Неудивительно, что появилось множество вирусов, которые заражают не все программы подряд (как это было ранее), а бьют точечно — в браузер! Причем, часто антивирусы практически бессильны: они не «видят» вируса в браузере, хотя тот может вас перекидывать на различные сайты (иногда на сайты для взрослых).
В этой статье хотелось бы рассмотреть, что делать в такой ситуации, когда антивирус «не видит» вируса в браузере, собственно, как удалить этот вирус с браузера и очистить компьютер от различного рода adware (рекламы и баннеров).
1) Вопрос №1 — есть ли вирус в браузере, как происходит заражение?
Для начала такой статьи, логично, привести симптомы заражения браузера вирусом* (под вирусом подразумевается, в том числе, и рекламные модули, adware и пр.).
Обычно, многие пользователи даже не обращают внимание на то, на какие сайты порой переходят, какие программы устанавливают (и с какими галочками соглашаются).
Самые распространенные симптомы заражения браузера:
1. Рекламные баннеры, тизеры, ссылка с предложением что-то купить, продать и пр. Причем, подобная реклама может появляться даже на тех сайтах, на которой ее никогда не бывало ранее (например, в контакте; хотя там и так рекламы не мало…).
2. Просьбы отправить смс на короткие номера, причем на тех же популярных сайтах (от которых никто не ожидает подвоха… Забегая вперед, скажу, что вирус подменяет в браузере реальный адрес сайта на «подставной», который по виду не отличишь от настоящего).
Пример заражения браузера вирусом: под видом активацией аккаунта «Вконтакте», злоумышленники спишут деньги с вашего телефона…
3. Появление различных окон с предупреждением, что через несколько дней вы будете заблокированы; о необходимости проверки и установки нового флеш-плеера, появление эротических картинок и роликов и т.д.
4. Открытие произвольных вкладок и окон в браузере. Иногда, такие вкладки открываются через определенный промежуток времени и не заметно для пользователя. Увидите вы такую вкладку, когда закроете или свернете основное окно браузера.
Как, где и почему заразились вирусом?
Чаще всего заражение браузера вирусом происходит по вине пользователя (я думаю в 98% случаев…). Причем, дело даже не в вине, а в некой халатности, я бы даже сказал торопливости…
1. Установка программ через «установщики» и «качальщики»…
Самая распространенная причина появления рекламных модулей на компьютере — это установка программ через небольшой файл-установщик (представляет из себя exe файл, размером не более 1 мб). Обычно, такой файл можно скачать на различных сайтах с софтом (реже на малоизвестных торрентах).
При запуске такого файла, вам предлагают запустить или скачать файл уже самой программы (а помимо этого, на компьютере у вас появиться еще пяток различных модулей и дополнений…). Кстати, если обращать внимание на все галочки при работе с такими «установщиками» — то в большинстве случаев можно снять ненавистные галочки…
Depositfiles — при скачивании файла, если не убрать галочки, на ПК установятся браузер Амиго и стартовая страница от Mail.ru. Подобным макаром на ваш ПК могут установиться и «вирусы».
2. Установка программ с adware
В некоторых программах могут быть «вшиты» рекламные модули. При установке таких программ, обычно, можно снять галочки с различных дополнений для браузеров, которые они предлагают ставить. Главное — не жать кнопку далее, без ознакомления с параметрами установки.
3. Посещение эро-сайтов, фишинговых сайтов и пр.
Здесь особо комментировать нечего. Рекомендую все же не переходить по разного рода сомнительным ссылкам (например, приходящие в письме на почту от незнакомых лиц, либо в соц. сетях).
4. Отсутствие антивируса и обновлений Windows
Антивирус — это не 100% защита от всех угроз, но от большей части он все таки защищает (при регулярном обновлении баз). К тому же, если обновлять регулярно и саму ОС Windows — то от большинства «проблем» вы себя обезопасите.
Лучшие антивирусы 2016: https://pcpro100.info/luchshie-antivirusyi-2016/
2) Удаление вируса из браузера
Вообще, необходимые действия будут зависеть от вируса, которым была заражена ваша программа. Ниже я хочу привести универсальную инструкцию по шагам, выполнив которую, можно избавиться от большинства поголовья вирусов. Действия лучше всего выполнять в той последовательности, в которой они приведены в статье.
1) Полная проверка компьютера антивирусом
Это самое первое, что рекомендую сделать. От рекламных модулей: тулбаров, тизеров и пр. антивирус вряд ли поможет, и их наличие (кстати) на ПК — это показатель, что на компьютере могут быть и другие вирусы.
Антивирусы для дома на 2015 год — статья с рекомендациями по выбору антивируса.
2) Проверка всех дополнений в браузере
Рекомендую зайти в дополнения вашаего браузера и проверить, нет ли там ничего подозрительного. Дело в том, что дополнения могли установиться и без вашего ведома. Все дополнения, которые вам не нужны — удаляйте!
Дополнения в firefox. Чтобы зайти нажмите сочетание кнопок Ctrl+Shift+A, либо щелкните по кнопке ALT, а затем перейдите во вкладку «Инструменты -> Дополнения».
Расширения и дополнения в браузере Google Chrome. Чтобы зайти в настройки, перейдите по ссылке: chrome://extensions/
Opera, расширения. Чтобы открыть вкладку, нажмите кнопки Ctrl + Shift + A. Можно зайти через кнопку «Opera» -> «Расширения».
3. Проверка установленных приложений в Windows
Так же как и дополнения в браузере, некоторые рекламные модули могут быть установлены как обычные приложения. Например, поисковик Webalta одно время устанавливал приложения в ОС Windows, и чтобы избавиться от него — было достаточно удалить это приложение.
4. Проверка компьютера на malware, adware и т.д.
Как уже говорил выше в статье, антивирусы находят далеко не все тулбары, тизеры и прочий рекламный «мусор», устанавливаемый на компьютер. Лучше всего с этой задачей справляются две утилиты: AdwCleaner и Malwarebytes. Рекомендую проверить компьютер полностью обоими (они вычистят процентов 95 заразы, даже о той, о которой вы и не догадываетесь!).
AdwCleaner
Сайт разработчика: https://toolslib.net/downloads/viewdownload/1-adwcleaner/
Программа достаточно быстро просканирует компьютер и обезвредит все подозрительные и вредоносные скрипты, приложений и пр. рекламный мусор. Кстати, благодаря ней, вы очистите не только браузеры (а она поддерживает все популярные: Firefox, Internet Explorer, Opera и пр.), но и очистите системный реестр, файлы, ярлыки и пр.
Чистилка
Сайт разработчика: https://chistilka.com/
Простая и удобная программа для очистки системы от различного мусора, шпионского и вредоносного рекламного ПО. Позволяет в автоматическом режиме очистить браузеры, файловую систему и реестр.
Malwarebytes
Сайт разработчика: http://www.malwarebytes.org/
Отличная программа позволяющая быстро вычистить весь «мусор» с компьютера. Компьютер можно сканировать в различных режимах. Для полноценной проверки ПК хватит даже бесплатной версии программа и режима быстрого сканирования. Рекомендую!
5. Проверка файла hosts
Очень многие вирусы меняют этот файл на свой и прописывают в нем нужные строки. Из-за этого, заходя на какой-нибудь популярный сайт — у вас на компьютере загружается сайт мошенника (в то время, как вы думаете что это настоящий сайт). Далее, обычно, возникает проверка, например вас просят прислать смс на короткий номер, или сажают вас на подписку. В результате — мошенник получил деньги с вашего телефона, а у вас на ПК как был вирус, так и остался…
Располагается он по следующему пути: C:\Windows\System32\drivers\etc
Восстановить файл hosts можно разными способами: с помощью спец. программ, с помощью обычного блокнота и пр. Легче всего восстановить данный файл, использовав антивирусную программу AVZ (не придется включать отображение скрытых файлов, открывать блокнот под администратором и прочие ухищрения…).
Как очистить файл hosts в AVZ антивирусе (подробно с картинками и комментариями): https://pcpro100.info/kak-ochistit-vosstanovit-fayl-hosts/
Очистка файла Hosts в антивирусе AVZ.
6. Проверка ярлыков браузера
Если ваш браузер переходит на подозрительные сайты после того, как вы его запустили, а антивирусы «говорят» что все в порядке — возможно в ярлык браузера была дописана «зловредная» команда. Поэтому, рекомендую удалить ярлык с рабочего стола и создать новый.
Чтобы проверить ярлык, перейдите в его свойства (на скриншоте ниже показан ярлык браузера firefox).
Далее посмотрите на полную строчку запуска — «Объект». На скриншоте ниже — показано строка так, как она должна выглядеть, если все в порядке.
Пример «вирусной» строчки: «C:\Documents and Settings\User\Application Data\Browsers\exe.emorhc.bat» «http://2knl.org/?src=hp4&subid1=feb»
3) Профилактика и предосторожности от заражения вирусами
Чтобы точно не заразиться вирусами — не заходите в интернет, не меняйтесь файлами, не устанавливайте программы, игры… 🙂
1. Установите на компьютер современный антивирус и регулярно обновляйте его. Время потраченное на обновление антивируса меньше, чем вы потеряете на восстановление компьютера и файлов после вирусной атаки.
2. Обновляйте ОС Windows время от времени, особенно это касается критических обновлений (даже если у вас отключено авто-обновление, из-за которого часто тормозит ПК).
3. Не скачивайте программы с подозрительных сайтов. Например, не может программа WinAMP (популярный проигрыватель музыки) быть размером меньше 1 мб (значит вы собираетесь скачать программу через загрузчик, который очень часто устанавливает разного рода «мусор» в ваш браузер). Для загрузки и установки популярных программ — лучше использовать официальные сайты.
4. Чтобы убрать всю рекламу из браузера — рекомендую установить AdGuard.
5. Рекомендую регулярно проверять компьютер (помимо антивируса) с помощью программ: AdwCleaner, Malwarebytes, AVZ (ссылки на них выше в статье).
На этом сегодня все. Вирусы будут жить столько же — сколько и антивирусы!?
Всего хорошего!
Оцените статью: Поделитесь с друзьями!pcpro100.info
Как удалить компьютерный вирус на Windows?
Как удалить вирус с компьютера?
У всякого, кто подхватит вирус в голове автоматически начинает крутиться вопрос «Как удалить вирус?». В данной статье постараемся найти ответ на такой обширный вопрос. Скажу сразу, что прочитав и поняв то, что тут написано, Вы не сможете спокойно удалить любой вирус. Тут приведены только одни из основных, базовых телодвижений, которых вполне может хватить чтобы удалить большую часть из встречающихся вирусов в операционной системе Windows.
Что такое компьютерный вирус?
Для начала, что такое вирус? Компьютерный вирус — это компьютерная программа, цель которой нанести вред компьютеру, либо пользователю. Как глаголит Википедия, с чем я соглашусь, отличительным свойством любого вируса является их способность к распространению на всё новые жертвы — компьютеры. Очень редко заражается только один компьютер, вирусы нацелены на многие миллионы компьютеров, как, например, вирус LoveLetter.
Как распространяются компьютерные вирусы?
Распространяются компьютерные вирусы всеми возможными способами, которыми можно незаметно передать тело вируса на новую жертву. А так как это программа, то все возможные методы его размножения должны быть прописаны либо в самом теле вируса, либо в любых других дополнительных модулях. И чтобы обеспечить возможность размножения, вирус либо его репродуктивные органы должны быть включены. Ведь в выключенном состоянии вирус не активен. Неспроста же предлагается выключать компьютер с вирусом до прихода специалиста. Надеюсь я убедил Вас в том, что еще одним отличительным свойством вируса является их стремление всегда быть включенным. А как быть всегда включенным? Физически включить компьютер вирус не сможет. Но он может позаботиться о том, чтобы вирус запускался при каждом включении компьютера. Как этого достичь? Нужно объяснить это системе. А за это отвечает Автозагрузка. Туда то и вносится информация о том, какие приложения нужно загружать вместе с операционной системой. И именно там и стоит начинать поиски, после чего сможем перейти к удалению вируса. Проблема только усложняется тем, что способов прописаться в Автозагрузке предостаточно.
Где искать компьютерные вирусы?
Конфигурация системы
Для того, чтобы открыть окно утилиты Конфигурация системы, Вам нужно открыть меню Выполнить и ввести команду msconfig. Тут нас будет интересовать вкладка Автозагрузка. В операционной системе Windows 8 данная вкладка перенесена в Диспетчер задач. В этой вкладке будет содержаться информация о программах, которые следует загружать вместе с операционной системой. Наличием галочки либо полем Включено будут отмечены те программы, которые загружаются вместе с операционной системой. Там же Вы можете найти информацию про то, где эта программа находится и другую сопутствующую информацию.
Папка Автозагрузка
Откройте в Проводнике папку C:\Users\%Username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup. Если у Вас русская Windows, возможно некоторые папки будут иметь русские названия, но даже на английском Вы доберетесь до нужной папки. В данной папке находятся ярлыки тех приложений, которые должны загружаться вместе с учетной записью выбранного пользователя. Надеюсь Вы смекнули, что %Username% — должно быть заменено на имя пользователя?
Редактор реестра
Открываете Редактор Реестра(если вызывать из меню Выполнить, то Вам понадобится команда regedit). Раскройте раздел
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunВ данном узле находятся записи о программах, которые так же должны быть запущены вместе с операционной системой. Благодаря этим записям, Вы можете получить такие сведения о запускаемой программе, как его имя и место пребывания.
В том же Редакторе реестра раскройте раздел
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunВ данном узле указаны приложения, которые запускаются вместе с активным пользователем. Доступная информация та же, что и в третьем случае.
Кроме этих двух основных разделов, могут быть использованы следующие ветки:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceкоторые так же применяются для автозагрузки, только для единичного запуска программы, после чего запись удаляется.
Так же стоит проверить параметры Userinit, Shell, System, VmApplet, которые находятся по пути
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\WinlogonПоследние два параметра могут отсутствовать, но для первых двух значения должны быть c:\windows\system32\userinit.exe и c:\windows\explorer.exe. Любые другие значения, скорее всего, проделки вирусного ПО.
Службы Windows
Кроме привычных пользователям приложений, в операционной системе Windows существуют так же и другой вид программ — службы. Они отличаются от обычных приложений тем, что, в основном, не могут использовать рабочий стол пользователя, а значит с ними нет никакой интерактивности, и о их существовании и работе обычный пользователь может даже не догадываться. Но для многих вирусов такие ограничения только на руку, а так же, что более важно для нашей статьи по удалению вирусов, службы так же могут автоматически запускаться после включения компьютера. Даже более того, все службы стартуют много быстрее, чем привычные нам приложения. Поэтому нам нужно проверить и все службы Windows, чтобы найти наш вирус и удалить впоследствии.
Для этого открываем оснастку Службы(для этого нажмите Win+R и выполните команду services.msc). Далее появится довольно большой список со столбцами Имя, Описание, Состояние, Тип запуска и Вход в систему. Для простоты поиска вируса, отсортируйте все службы по Состоянию службы(просто нажмите на соответствующую строку) так, чтобы сверху оказались все службы в состоянии Выполняется. Это справедливо, учитывая то, что наш вирус включен и работает. Далее необходимо проштудировать весь список служб, которые на данный момент выполняются. Тут вам стоит обращать внимание на Имя службы и его Описание. Как правило у вирусных процессов резко выделяющееся название и такое же описание, а часто описания и вовсе нет. Кроме этого, вирусы не оснащают языковой поддержкой, а это значит, что с описанием и названием на русском языке будут вирусы только от хакера русского происхождения. Но мир велик(хотя и Россия немаленькая), а значит шанс что автор вируса не наш человек весьма велик и, скорее всего, вирус будет иметь описание на английском языке!
Если у вас имеются какие-то сомнения по поводу какой-то службы, нажмите на нее два раза и у вас откроется окно с дополнительными свойствами данной службы. Там необходимо наибольшее внимание уделить на поле Исполняемый файл службы, который вряд ли у безопасных приложений будет вести куда-либо кроме c:\program files или c:\windows.
На крайний случай берете название процесса и идете гуглить яндекс, чтобы узнать подробнее о заинтересовавшем вас службе. Поверьте, о легитимных службах вы узнаете сразу.
Выявив вредителя среди служб, нажмите на службу дважды и выберите Тип запуска Отключено, а так же можете остановить работу службы. Так же запомните место исполняемого файла и удалите данный исполняемый файл с компьютера.
Планировщик заданий
И последнее из основных мест для автозагрузки как легитимных приложений, так и вирусов — это планировщик заданий. Открыть его вы можете последовательно открыв Панель управления — Администрирование — Планировщик задач. В открывшемся окне Планировщика задач перейдите в папку Библиотека планировщика задач и в центральной части вы увидите все запланированные задания. Некоторые, скорее большинство, из них — легитимны. Но среди них так же можно найти и зловреда. Алгоритм действий в данном случае схож с предыдущими действиями: знакомитесь с названием и описанием задачи, а так же с исполняемым файлом. Для получения этой информации, вам необходимо один раз нажать на службу и ознакомиться с приведенной информацией во вкладке Общие и Действия. Если вы нашли подозрительную задачу, которая может быть делом рук вируса, выделите эту запланированную задачу и нажмите кнопку Delete(либо правый клик мышкой и выберите пункт Удалить).
Как удалить вирус с компьютера?
Вот перед Вами пять основных мест, на просторах которых указаны программы, которые загружаются либо вместе с компьютером, либо вместе с учетной записью пользователя. В эти самые закоулки то и пытаются пропихнуть свои вирусы любой черный хакер. Теперь, узнаем как можно вычислить и удалить вирусы из приведенных списков.
Вычислить вирус из данного списка иногда довольно несложно. Они в основном не имеют издателя, то есть не подписаны. А иногда бывает сложнее: вирусы маскируется под какие-нибудь другие программы, забирая себе их имена и так далее. Так как же вычислить, а потом и удалить компьютерный вирус? Для начала просмотрите весь список. Отсейте те программы, которые у Вас действительно установлены и которые действительно загружаются вместе с операционной системой либо вместе с пользователем. Например, если сразу после загрузки у Вас активируется Skype, то можно быть спокойным по отношению к соответствующей строчке в автозагрузке. А все подозрительные объекты необходимо проверить.
Далее, нам нужно узнать место расположения программы. В первом случае, в контекстном меню оставшихся испытуемых выберите Показать расположение файла. Во втором варианте, Вы можете влезть в Свойства ярлыка и узнать путь, на которые он ссылается. В последних же двух вариантах, путь программы уже перед глазами.
Узнав расположение программы на жестком диске, можно выяснить побольше информации о самой программе. Возможно, Вы вспомните о какой-то давно забытой утилите. Если же память не проясняется, а сомнения все растут, введите в любой поисковик имя данного файла. И на первой же странице поиска Вы получите хорошую информацию о данной программе, а так же отзывы и рекомендации. Поверьте, если это вирус, Вы узнаете это по кричащим заголовкам уже на первых строчках страницы.
Удаляем вирус
Итак, Вы более чем уверены, что какая-то программа из автозагрузки — это вирус. Как же его удалить, этот вирус? Я не советую Вам сразу удалять файлы из расположения подозрительной программы. Для начала необходимо проверить Вашу теорию. В первом варианте, просто скиньте галочку с подозрительного пункта, либо переведите его в состояние Выключено. Во втором варианте, перенесите ярлык из данной папки в любую другую. После чего перезагрузите компьютер и проверьте его. Если вируса нет, то узнайте путь, по которому прописана отключенная программа и только тогда удалите вирус. Так же необходимо удалить ярлык или запись во вкладке Автозагрузка. В случае промашки, верните ярлык на место, а состояние в Включено, таким образом Вы защитите себя от ненужных изменений.
А вот с записями из Реестра будет немного сложнее. В первых двух вариантах мы могли в один клик просто отключить загрузку программы и в случае промаха, тут же включить. Тут у нас нет права на ошибку. По крайней мере, при ошибке нам будет сложнее вернуть все как было. В Редакторе реестра мы можем просто удалить запись о подозрительном объекте. Но перед этим сохраните его имя, значение и тип — тогда Вы сможете вернуть его на место. Удалив запись, перезагрузите компьютер. После чего проверьте, жив ли еще вирус. Если нет, вспомните место нахождения вируса и удалите его. Если же неудача, восстановите удаленный параметр с помощью сохраненных данных и пункта Создать из контекстного меню Редактора реестра.
UPDATE: Так же хочется уточнить про один момент, который используют вирусы. После того как Вы удалите запись об автозагрузке какого-то элемента, вирус, например, перед выключением компьютера, может проверить наличие необходимой ему записи в автозагрузке. Если вирус не находит эту запись, он добавляет её. Таким образом, даже если Вы удалили вирус(действительно вирус) из автозагрузки и перезагрузили компьютера, но вирус опять проявил себя, то стоит проверить, нет ли ранее удаленной записи на прежнем месте. Если запись имеется, это только увеличит вероятность того, что Вы нашли вирус. Безобидные программы себя так не ведут.
UPDATE2: Так же хочется добавить про вирусы, которые позволяют удалять свой исполняемый файл, но тут же его восстанавливают, стоит лишь обновить папку. Такие вирусы полностью резиденты и полностью находятся в оперативной памяти компьютера, поэтому им нельзя ничего противопоставить, пока сам вирус работает. Необходимо обрезать корни — выгнать вирус из автозагрузки — и только после этого удалять файлы вирусов.
UPDATE3: Некоторые вирусы не дают возможности удалить свои исполняемые файлы, а при попытке завершить их процессы, плодят еще несколько своих вирусных процессов, после чего отмирают. Это как со сказочной Гидрой, у которой вырастают новые две головы, на место одной, сраженной. Но бить таких гидр можно весьма умело и весело — стоит переименовать запускаемый файл и гидра уже не сможет плодить новые процессы. А дальше дело техники — отрубаете все вирусные процессы и удаляете тело вируса.
Чтобы удалить вирус, который постоянно прописывает себя в автозагрузку, необходимо загрузить компьютер в таком режиме, в котором вирус не был бы активен. Самый легкий способ — загрузить компьютер в Безопасном режиме, про который я писал в статье про удаление вируса Omiga Plus, который прописывается во всех браузерах пользователя. В худшем случае, загружать компьютер с внешнего носителя.
Видите, Вы не совсем бессильны перед «всесильными» и страшными вирусами. То, что вирусы используют в своих целях, может стать прекрасным инструментом для их же уничтожения. Бить врага его же оружием, это прекрасно! Пусть вирусы бояться Вас, а не Вы их!
P.S. Еще раз повторюсь: не все вирусы можно вычислить данным способом! Таким базовым способом можно найти и удалить только основную кучку вирусов.
about-windows.ru
Как удалить вирусы в браузере
Если ваш браузер начал жить «самостоятельной жизнью» — самопроизвольно запускается при включении компьютера или в процессе работы за компьютером, при этом в нем меняется стартовая страница и открываются вкладки с рекламой — значит он заражен вредоносным программным обеспечением.
Пошаговая инструкция: как удалить вирусы в браузере
Поскольку подобного рода рекламные вирусы оставляют свои следы в системе во многих местах – подход к лечению должен быть комплексным, к сожалению, одним сканированием при помощи антивируса не обойтись – придется проверить и реестр, и установленные программы, и ярлыки, и установленные в браузере расширения. Ниже будут поэтапно рассмотрены шаги, которые помогут вам узнать, как удалить вирусы в браузере.
Проверяем программы, установленные в операционной системе, чтобы удалить вирус
Для этого перейдите в «Программы и компоненты». «Мой компьютер» — «Удалить или изменит программу»:
В открывшемся окне просмотрите все подозрительные программы – это те, которые вы не устанавливали, название совпадает с название рекламной страницы, имеют в названии слова search или toolbar. Если сомневаетесь посмотрите в интернете для чего эта программа.
Используйте программу Adwcleaner для удаления рекламного вируса
Ее можно скачать по ссылке на сайте. Обратите внимание — программа предназначена только для сканирования системы и поиска вирусов класса «adware». Она не защитит вас от других вирусов, выполняет только сканирование в момент запуска – без мониторинга системы в целом. Стоит отметить, что программа аккуратно обращается с реестром – правильно удаляя ключи в реестре, созданные вирусными программами. Используйте ее только для удаления вирусов, которые заражают интернет-приложения. Интерфейс программы интуитивно понятен и прост. Кнопка «Scan» — запускает сканирование, кнопка «Cleaning» — выполняет очистку найденных вирусных файлов. После очистки и перезагрузки ПК программа выдает отчет о результатах работы.
Проверка ярлыков браузеров, открывающих рекламу
Описываемые далее действия аналогичны для любого браузера. Для примера возьмем Google Chrome. Нажмите правой кнопкой мыши на его ярлыке и выберите «Свойства».
Обратите внимание на поле «Объект». Удалите все что написано после «\chrome.exe», затем «Применить» и «ОК».
Проверяем настройки и расширения браузера
Зайдите в меню браузера (для примера опять возьмем Google Chrome) — «Настройки» — «Расширения».
Удалите все ненужные или неизвестные вам расширения.
Зайдите в настройки, проверьте стартовую страницу: «Настройки» — «Страница быстрого доступа» — «Изменить»:
Впишите в поле, например, поисковую систему которой вы привыкли пользоваться.
Проверьте какая поисковая система у вас установлена: «Настройки» — «Поиск» и измените на нужную вам:
Для браузера Mozilla Firefox:
Зайдите в меню браузера — «Дополнения» — «Расширения»:
Удалите все неизвестные или подозрительные расширения.
В меню браузера выберите «Настройки» — «Основные»:
Измените строку «Домашняя страница» на привычную вам.
В меню браузера выберите «Настройки» — «Поиск»:
Измените поисковую систему на ту, которая была у вас ранее.
Для Яндекс-браузера:
Зайдите в меню браузера — «Дополнения»:
Удалите подозрительные дополнения.
Зайдите в меню Яндекс-браузера — «Настройки»:
Проверьте с какими параметрами запускается браузер.
Для смены поисковой системы по-умолчанию перейдите в меню — «Настройки» — раздел «Поиск»:
Для браузера Opera:
Зайдите в меню Opera — «Расширения» — «Управление расширениями»:
Удалите расширения, в которых нет необходимости или они вам неизвестны.
Зайдите в меню — «Настройки» — «Основные» — раздел «При запуске» — определите какие страницы должны запускаться при запуске браузера:
Зайдите в меню — «Настройки» — «Браузер» — раздел «Поиск» — установите нужную поисковую систему:
После выполнения указанных шагов можно с уверенностью сказать, что рекламных вирусов типа «adware» на компьютере нет.Если при выполнении инструкции у вас возникли какие-либо проблемы и вирус до сих пор остался в системе — рекомендуем универсальную антивирус Spyhunter, помогающий для всех сложных случаев. Он разработан специально для вирусов класса adware и удалит все вирусы автоматически.
Обратите внимание, что при самопроизвольном запуске браузера вы можете использовать советы, указанные в статье: «Браузер открывается сам по себе с рекламой. Инструкция как убрать?» ,а если самопроизвольно запускается при загрузке компьютера обратитесь к статье: «Браузер открывается при запуске компьютера с рекламой. Инструкция по решению проблемы«.
Видео инструкция: как удалить вирусы в браузере
Похожие записи
Поставьте Лайк если статья вам помогла.www.averina.com
