Головна » Статті » Приховані віруси - пошук та видалення |
Приховані віруси - пошук та видалення Повністю вберегти свій комп'ютер від проникнення тієї чи іншої шкідливої програми вдається небагатьом. І якщо ви не з їх числа, то ця стаття буде вам цікава. І сподіваюся, корисна. З часів перших персональних комп'ютерів до теперішнього часу вірусні програми пройшли довгий шлях еволюції. Якщо 30 років тому це були програми, метою яких було форматування вашого жорсткого диска або, наприклад, розкриття інформації бази даних хворих на СНІД у США, то в наш час ситуація змінилася. Тепер найбільш популярні віруси, призначення яких - або реклама товарів і послуг, або «шпигунська діяльність» з метою отримання інформації про паролі і взагалі - будь-яких персональних даних. Підводячи підсумки сказаного, можна сміливо резюмувати: основна мета сучасного шкідливого ПЗ - це розвідка і реклама. Помітний і серйозний прогрес вірусних програм у справі маскування. І не дивно, адже це одна з ключових умов виживання непроханих гостей у надрах наших комп'ютерів. Деякі віруси знаходять невидимість просто. Вони запобігають своє виявлення, перехоплюють звернення системних програм до заражених файлів і областях диска і видають їх у вихідному (незараженою) вигляді. Якщо система періодично посилає вам повідомлення про помилки читання (reading error), то знайте, не обійшлося без «лукавого». Інший спосіб, застосовуваний вірусами для того, щоб сховатися до кращих часів (коли у вас закінчиться дія ключа антивірусної програми) - модифікація свого тіла. Часто віруси зберігають більшу частину свого тіла в закодованому вигляді, щоб з допомогою ідентифікаторів можна було розібратися в механізмі їх роботи. Нарівні з тим, вони можуть міняти і імена файлів - носіїв вірусів. Якщо помічаєте системні, на вигляд, файли, які то з'являються, то зникають, то - робіть висновки....
Найпростіший спосіб маскування вірусів - ховатися в прихованих файлах і папках. Ось там-то їх і можна пошукати в першу чергу. Але спочатку краще припинити автозавантаження шкідливих програм. Перейти до списку автозавантаження можна так: Натискаємо клавіші win+r і прописуємо msconfig, тиснемо "Enter", вибираємо вкладку Автозавантаження. Тут варто зняти галочки з файлів автозавантаження невідомого походження (де не вказано, що це файл служби Microsoft або файл відомого вам додатка). Обов'язково потрібно прибрати з автозавантаження файли з назвами абсурдними або схожими на системні, наприклад e3r5y6xxx.com або SVOCHOST.EXE, замість svchost.exe. Приберіть також файли розсилок, що містять у назві слово subscribe. Однак не варто забувати, що в автозавантаженні присутні і програми, якими ви постійно користуєтеся, і для яких завантаження разом з системою просто необхідна. (До речі про автозавантаження ... чума заражень через USB flash накопичувачі, яка охопила весь світ ІТ порівняно недавно, постійно дає про себе знати. У такому випадку зловредів поширюється за допомогою файлу конфігурації autorun.ini, що відповідає за автозапуск щойно підключеного накопичувача. Цей самий файл посилається на тіло вірусу, яке знаходиться на накопичувачі (зазвичай у прихованій папці). Останнім часом на світ з'явилася сила-силенна програм, які допомагають захистити машину від такого роду загроз, але є і рішення, яке набагато простіше і не вимагає додаткового софту. Це рішення - відключення автозапуску на всіх накопичувачах. Робиться це просто до неподобства: win+r і набираємо команду gpedit.msc, далі вибираємо конфігурація комп'ютера ->>> адміністративні шаблони ->>> система ->>> відключити автозапуск. Вибираємо режим «включений» і вибираємо зі списку «всіх дисководах». Ось і всі справи. - Є. Кучук) Тепер пора пошукати тих, хто сховався. Якщо у Вас немає налаштування «Показати приховані файли і папки», то краще її встановити. Робиться це просто: зайдіть в будь-яку папку, виберіть «Сервіс», «Властивості папки» знайдіть цей параметр, поставте галочку. Далі, заходимо в каталоги локальних дисків. У кореневому каталозі потрібно прибрати всі файли, в назвах яких є autorun. Саме такі файли, як правило, забезпечують доступ до «тіла» комп'ютерних черв'яків. З іншими файлами потрібно розібратися більш докладно. Серед усього списку прихованих файлів вам можуть попастися файли ntdetect.com, hiberfil.sys і pagefile.sys - їх видаляти ні в якому разі не потрібно. Навіть незважаючи на те, що hiberfil.sys і pagefile.sys - файли досить великого розміру. Файл hiberfil.sys присутній на вашому комп'ютері, якщо ви не відключали опцію «Сплячий режим». Під час переходу системи в сплячий режим, у цей файл записуються всі дані з оперативної пам'яті, тому він займає на диску відповідний обсяг. Якщо сплячий режим вважаєте опцією марною, то можна його відключити, що дозволить видалити і hiberfil.sys. Для цього тиснемо праву клавішу, перебуваючи на робочому столі - Властивості екрану, вибираємо «Заставка», тиснемо «Живлення», знаходимо вкладку «Сплячий режим», де прибираємо позначку «Дозволити використання сплячого режиму». Файл pagefile.sys - це так званий файл підкачки. Віртуальна пам'ять, яка використовується в разі нестачі реальної оперативної пам'яті. За замовчуванням, розмір цього файлу встановлений на рівні півтора обсягів оперативної пам'яті. Змінити його розмір можна в "Мій комп'ютер" - Властивості - "Додатково" - розділ «Швидкодія» - "Параметри"- закладка "Додатково". Тут потрібно знайти кнопку "Змінити" в розділі "Віртуальна пам'ять". Решта приховані файли і папки можна «пробити» за назвою в Google - є вони важливим програмним файлом або ж небажаним ПЗ. Тим не менш, видалити приховані файли не завжди вдається. На заражених комп'ютерах шкідливі проги можуть блокувати можливість показу прихованих файлів. Наприклад, так ховаються програми розсилки Adsubscribe і Cmedia. Вони завантажують поверх всіх працюючих додатків свої рекламні плакати, а натискаючи «закрити», Вам доведеться почекати ще 60 секунд, і це повторюється кожні 10 хвилин. Програми не приховують своїх назв, бо знають, що просто так вам їх не знайти. Так що робити, якщо заблокований показ прихованих файлів? А ось що: Ctrl + Escape - "Виконати". Прописуємо regedit, тиснемо "Enter". Так ви потрапите в редактор реєстру. * Тут видаляємо параметр CheckedValue, він правом вікні (тип REG_SZ; значення, як правило, 2.). * Клікаємо правою кнопкою миші в тому ж вікні і вибираємо "створити параметр DWORD". Надаємо назву CheckedValue. Його значення має бути 1 (0x00000001). Натискаємо "ОК" або "Enter". Тепер ви зможете бачити всі приховані файли. Багато шкідливі програми ховаються в папці Documents and Settings/username/Local Settings/Temp. Цю папочку можна повністю очистити. Використовувати редактор реєстру - це найпростіший варіант. Однак деякі віруси можуть заблокувати доступ в Regedit. У цьому випадку доведеться самостійно створити текстовий reg-файл, щоб змінити необхідні параметри. Для цього потрібно буде створити текстовий файл у Блокноті такого змісту (якщо не показує приховані файли і папки): REGEDIT4 [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:1 Важливе зауваження!: у кінці файлу, який ви створюєте в блокноті, потрібно залишити один порожній рядок. Після створення текстового файлу міняєте його розширення з .txt на .reg, запускаєте. Якщо все зробили правильно, то доступ до реєстру повинен вам знову відкритися. Уфф! Робота зроблена. Тепер подумайте про те, щоб завести собі хороший ліцензійний антівіруснік і, можливо, Firewall, щоб Ваш комп'ютер не був домашньою фермою з розведення вірусів. Удачі!
| |
Переглядів: 3680
| Теги: |
Всього коментарів: 0 | |