Как расшифровать файлы .Windows10 и удалить вирус. Вирус виндовс


Как расшифровать файлы .Windows10 и удалить вирус

.Windows10 это расширение зашифрованых файлов. Сразу предупреждаем что файлы действительно зашифрованы, причем алгоритм шифрования с применением алгоритма RSA-2048 с длинной ключа 3072 бит фактически делает невозможным их расшифровку. По сути это новая, более продуманная, версия известного шифровальщика da_vinci_code, о котором мы писали ранее. При заражении вирусом-шифровальщиком .Windows10, происходит копирование тела зловреда в системную папку и внедрение в системный реестр. Таким образом вирус будет запускаться при каждой загрузке системы. В режиме шифрования (вирус на ПК пользователя, но файлы еще не зашифрованы) .Windows10 абсолютно невидим. Только после полного шифрования файлов всех самых важных форматов (документы, презентации, базы данных, фото, видео…) пользователь поймет что случилась неприятность.

Рабочий стол после заражения .Windows10

Об этом сообщат обои рабочего стола и недоступные файлы. В папке с зашифрованными файлами пользователь найдет файл README с описанием процедуры расшифровки:

Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код:{ID компьютера}на электронный адрес [email protected] .Далее вы получите все необходимые инструкции.Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случаеих изменения расшифровка станет невозможной ни при каких условиях.Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),воспользуйтесь формой обратной связи. Это можно сделать двумя способами:1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.enВ адресной строке Tor Browser-а введите адрес:http://cryptsen7fo43rr6.onion/и нажмите Enter. Загрузится страница с формой обратной связи.2) В любом браузере перейдите по одному из адресов:http://cryptsen7fo43rr6.onion.to/http://cryptsen7fo43rr6.onion.cab/

All the important files on your computer were encrypted.To decrypt the files you should send the following code:{ID компьютера}to e-mail address [email protected] .Then you will receive all necessary instructions.All the attempts of decryption by yourself will result only in irrevocable loss of your data.If you still want to try to decrypt them by yourself please make a backup at first becausethe decryption will become impossible in case of any changes inside the files.If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),use the feedback form. You can do it by two ways:1) Download Tor Browser from here:https://www.torproject.org/download/download-easy.html.enInstall it and type the following address into the address bar:http://cryptsen7fo43rr6.onion/Press Enter and then the page with feedback form will be loaded.2) Go to the one of the following addresses in any browser:http://cryptsen7fo43rr6.onion.to/http://cryptsen7fo43rr6.onion.cab/

Файлы же будут выглядеть следующим образом:

Папка с файлами зашифрованными вирусом windows10

Заражение вирусом .Windows10 происходит преимущественно через электронную почту, куда приходит письмо с вложенным файлом — инсталятором вируса. Оно может быть зашифровано под письмо с Налоговой, от Вашего бухгалтера, как вложенные квитанции и чеки о покупках и.т.д. Обращайте внимание на расширения файлов в таких письмах — если это исполнительный файл (.exe), то с большой вероятностью он может быть контейнером с вирусом .Windows10. И если модификация шифровальщика свежая (как в случае с .Windows10) — Ваш антивирус может и не отреагировать.

Коммуницировать с хакерами пользователям предлагают используя анонимную сеть TOR. Оплата «расшифровки» в Биткоинах. Это фактически делает невозможным идентификацию злоумышленников.

Консоль связи с авторами вируса windows10

Мы настоятельно не рекомендуем платить злоумышленникам за расшифровку Ваших файлов. Попробуйте методы приведенные ниже для восстановления доступа к нужной информации и удаления вируса.

Удалить вирус .Windows10 c помощью автоматического чистильщика

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

  1. Загрузить программу для удаления вируса .Windows10. После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование). Загрузить программу для удаления зловреда .Windows10
  2. Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Восстановить доступ к зашифрованным файлам

Как было отмечено, программа-вымогатель .Windows10 блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа (иногда доходит до 500$). Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Загрузить программу восстановелния данных.Windows10

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция «Восстановление системы» должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

  • Использовать опцию «Предыдущие версии» В диалоговом окне «Свойства» любого файла есть вкладка Предыдущие версии. Она показывает версии резервных копий и дает возможность их извлечь. Итак, выполняем щелчек правой клавишей мыши по файлу, переходим в меню Свойства, активируем необходимую вкладку и выбираем команду Копировать или Восстановить, выбор зависит от желаемого места сохранения восстановленного файла.
  • Использовать «теневой проводник» ShadowExplorer Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Проверить возможное наличие остаточных компонентов вымогателя .Windows10

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Загрузить программу для удаления вируса .Windows10

Похожее

itsecurity-ru.com

Как найти и удалить вирус в системе Windows 8.1

Примечание: В системе Windows 8.1 можно запустить сканер или приложение, которое защищает от вредоносного кода, выпущенное другой компанией. Чтобы обеспечить бесперебойную работу компьютера, необходимо установить и запустить только одно приложение, которое защищает от вредоносных программ.

Просканировать компьютер с помощью Windows Defender

  1. Откройте программу Windows Defender, быстро сдвинув палец от правого края экрана, нажав на панель Поиск (если вы используете мышь, наведите указатель в правый верхний угол экрана, переместите вниз и нажмите на панель Поиск) и введя в строку поиска Защитник, а затем нажмите кнопку Windows Defender.

  2. В разделе Функции сканирования выберите тип сканирования, которые вы хотите запустить:
    • Быстрая проверка проверяет только те области компьютера, которые наиболее подвержены заражению вредоносным программным обеспечением, и все запущенные в данный момент приложения.
    • Полное сканирование проверяет все файлы на жестком диске. В зависимости от компьютера – это сканирование может занять час или даже больше.
    • Пользовательская проверка проверяет только файлы и папки, которые Вы выберите.
    • Нажмите Проверить сейчас.

Ручное удаление вируса в системе Windows 8.1

Защитник Windows 8.1, как правило, автоматически удаляет вирусы. Однако, в некоторых случаях может потребоваться ручное удаление вируса.

Эта техническая процедура должна применяться только после исчерпания других возможностей и использовать её должны только те пользователи, которые знают реестр Windows и знают о том, как просматривать и удалять системные файлы и файлы программ в системе Windows.

Сначала запустите приложение, которое защищает от вредоносного кода, чтобы узнать имя вируса. Если у вас нет программы защиты от вредоносного кода или если ваша программа не обнаруживает вирус, можно определить его имя через поведение.

Сохраните текст сообщения, отображаемого через вирус, в случае получения вируса через e-mail – тему сообщения или имя приложенного файла. Затем найдите на сайте поставщика антивирусного программного обеспечения в сети интернет или в Центре Майкрософт по защите от вредоносных программ сведения, которые описывают найденный виру и инструкции по удалению вируса.

Восстановление и предотвращение

После удаления вируса, возможно, придется переустановить некоторые программы или восстановить потерянную информацию.

Регулярное создание резервных копий файлов может предотвратить потерю данных в случае повторного заражения компьютера. Если ранее копии не были созданы, сейчас удачный момент, чтобы начать это делать.

windows-school.ru

Как удалить вирусы с компьютера?

virusНа сегодняшний день поголовье вирусов исчисляется сотнями тысяч! Среди такого разнообразия подхватить эту заразу к себе на компьютер проще простого!

В этой статье последовательно рассмотрим, как можно удалить вирусы с компьютера в различных ситуациях.

 

1. Что такое вирус. Симптомы заражения вирусами

Вирус — это само размножающаяся программа. Но если бы они только размножалась, то бороться с ними можно было бы не так рьяно. Часть вирусов может существовать вообще никак не мешая пользователю до определенного момента и в час икс даст о себе знать: могут блокировать доступ к определенным сайтам, удалять информацию и т.д. В общем, мешают пользователю нормально работать за ПК.

Компьютер при заражении вирусом начинает вести себя нестабильно. Вообще, симптомов может быть десятки. Иногда пользователь даже не догадывается, что у него на ПК вирус. Стоит насторожиться и проверить компьютер антивирусом, если есть следующие признаки:

1) Снижение скорости работы ПК. Кстати, про то, как можно ускорить Windows (если, конечно, у вас нет вирусов) мы разбирали ранее.

2) Файлы перестают открываться, часть файлов может стать испорчена. Особенно, это касается программ, т.к. вирусы заражают exe и com файлы.

3) Снижение скорости работы программ, служб, сбои и ошибки приложений.

4) Блокировка доступа к части интернет-страничек. Особенно самых популярных: вконтакте, одноклассники и пр.

5) Блокировка ОС Windows, просьба отослать СМС для разблокировки.

6) Пропажа паролей от доступа к различным ресурсам (кстати, этим занимаются обычно троянские программы, которые, впрочем, можно так же отнести к вирусам).

Перечень далеко не полный, но если есть хоть один из пунктов — вероятность заражения очень высокая.

 

2. Как удалить вирусы с компьютера (в зависимости от вида)

2.1. «Обычный» вирус

Под словом обычный следует понимать то, что вирус не заблокирует вам доступ к работе в ОС Windows.

Для начала следует скачать одну из утилит для проверки компьютера. Одними из лучших являются:

AVZ — отличная утилита, которая предназначена для удаления троянских программ и SpyWare. Находит множество вирусов, которые другие антивирусы не видят. Более подробно о ней — см. ниже.

CureIT — достаточно запустить скаченный файл. Лучше всего это делать в безопасном режиме (при загрузке нажать на F8 и выбрать нужный пункт). Никаких опций по умолчанию вам выбирать не дается.

 

Удаление вируса при помощи AVZ

1) Будем считать, что программу вы скачали (AVZ).

2) Далее распаковываете ее любым архиватором (например, 7z (бесплатный и быстрый архиватор)).

3) Открываете файл avz.exe.

4) После запуска AVZ вам будут доступны три основные вкладки: область поиска, типы файлов и параметры поиска.В первой вкладке выберите диски, которые будут проверяться ( обязательно выберите системный диск). Поставьте галочки, чтобы программа проверяла запущенные процессы, провела эвристическую проверку системы и искала потенциальные уязвимости. В методике лечения включите опции, которые будут определять, что делать с вирусами: удалять, или спросить у пользователя. Скриншот с перечисленными настройками чуть ниже.

Антивирусная утилита AVZ_2013-12-01_18-01-04

5) Во вкладке типы файлов, выберите проверку всех файлов, включите проверку всех архивов без исключения. Скриншот ниже.

Антивирусная утилита AVZ_2013-12-01_18-01-22

6) В параметрах поиска отметьте максимальный режим эвристики, включите детектирование Anti-Rootkit, поиск клавиатурных перехватчиков, исправление системных ошибок, поиск троянских программ.

Антивирусная утилита AVZ_2013-12-01_18-01-42

7) После задания настроек можно нажать на кнопку пуск. Проверка длится довольно долго, в это время лучше не выполнять параллельно другие процессы, т.к. AVZ часть файлов блокирует. После проверки и удаления вирусов — перезагрузите ПК. Затем установите какой-нибудь популярный антивирус и проверьте полностью компьютер.

 

2.2. Вирус блокирующий Windows

Основная проблема с такими вирусами — это невозможность работы в ОС. Т.е. для того, чтобы вылечить компьютер — вам нужен либо второй ПК, либо заранее подготовленные диски. В крайнем случае можно попросить знакомых, друзей и т.д.

Кстати, об вирусах, блокирующих Windows, была отдельная статья, обязательно гляньте!

1) Для начала попробуйте загрузиться в безопасном режиме с поддержкой командной строки (такой пункт загрузки появится, если нажать на кнопку F8 при загрузке ПК, лучше, кстати, нажать несколько раз). Если удалось загрузиться, введите в командную строку «explorer» и нажмите Enter.

безопасный-режим

Далее в меню пуск в графе выполнить: введите «msconfig» и нажмите Enter.

Меню Пуск_2013-12-01_19-37-32

В этой системной утилите можно увидеть, что у вас находится в автозагрузке. Отключите все!

Конфигурация системы_2013-12-01_19-37-54

Далее перезагрузите ПК. Если вы смогли зайти в ОС, то установите антивирус и проверьте все диски и файлы на наличие вирусов.

2) Если компьютер не удается загрузить в безопасном режиме, придется прибегнуть к Live CD. Это специальный загрузочный диск, которым можно проверить диск на наличие вирусов (+ удалить их, если таковые имеются), скопировать данные с HDD на другие носители. На сегодняшний день самыми популярными являются три специализированных аварийных диска:

Dr.Web® LiveCD — аварийный диск от Доктора Веба. Очень популярный набор, работает безотказно.

LiveCD ESET NOD32 — наверное, утилиты на этом диске тщательнее остальных проверяют ваш жесткий диск. Иначе, обьяснить долгую проверку компьютера не получается…

Kaspersky Rescue Disk 10 — диск от Касперского. Удобно, быстро, с поддержкой русского языка.

После того, как скачаете один из трех дисков, запишите его на лазерный диск CD, DVD или на флешку. Затем включите в Bios включите в очередь загрузки проверку на загрузочные записи дисковода или USB (об этом подробнее рассказано здесь). Если все сделали правильно, загрузится Live CD и вы сможете приступить к проверке жесткого диска. Такая проверка, как правило (если вирусы будут найдены) помогает избавиться от самых распространенных вирусов, которые удалить другими путями вряд ли получится. Именно поэтому, в начале этой главы была сделана сноска о том, что для лечения понадобиться второй ПК (ибо на зараженном — диск записать невозможно). Очень желательно иметь такой диск у себя в коллекции!

После лечения при помощи Live CD, перезагрузите компьютер и установите полноценную антивирусную программу, обновите базы и включите режим тщательной проверки компьютера.

3. Несколько бесплатных антивирусов

Про бесплатные антивирусы уже была статья, здесь же порекомендуем лишь парочку неплохих антивирусов, не вошедших в основную сборку. Но ведь популярность и непопулярность не всегда говорят о том, что программа плохая или хорошая…

Microsoft Security Essentials1) Microsoft Security Essentials

Отличная и бесплатная утилита для защиты ПК от вирусов и шпионов. Способен обеспечивать защиту ПК в режиме реального времени.

Что особо радует: легко устанавливается, быстро работает, не отвлекает вас ненужными сообщениями и уведомлениями.

Некоторые пользователи считают его не очень надежным. С другой стороны, даже такой антивирус способен вас сберечь от львиной доли опасности. Не у всех же есть деньги на покупки дорогих антивирусов, впрочем, ни одна антивирусная программа не дает 100% гарантии!

 

ClamWin Free Antivirus2) ClamWin Free Antivirus

Антивирусный сканер, способный различать огромное количество вирусов. Он легко и быстро встраивается в контекстное меню проводника. Базы регулярно обновляются, благодаря чему антивирус всегда сможет вас оградить от большинства угроз.

Особо радует нетребовательность данного антивируса. Из минусов, многие отмечают его неказистый вид. Правда, реально ли это так важно для антивирусной программы?

В любом случае, хотя бы один антивирус на компьютере необходимо иметь (+ крайне желательно установочный диск с Windows и Live CD на случай удаления вирусов).

 

Итоги. В любом случае, угрозу заражения легче предотвратить, чем пытаться удалить вирус. Ряд мер способен свести к минимуму риски:

  • Установка антивирусной программы, регулярное ее обновление.
  • Обновление самой ОС Windows. Все таки разработчики не просто так выпускают критические обновления.
  • Не качать сомнительные ключи и трейнеры к играм.
  • Не устанавливать подозрительное ПО.
  • Не открывать почтовые вложения от неизвестных адресатов.
  • Регулярно делать резервные копии нужных и важных файлов.

Даже этот простой набор спасет вас от 99% напастей.

Желаю вам удалить все вирусы с компьютера без потери информации. Удачного лечения.

Оцените статью: Поделитесь с друзьями!

pcpro100.info

Как удалить вирус windows заблокирован? — Поснов Андрей (Битрикс/iOS/Android разработчик)

Компьютер был заражен вирусом, который заблокировал работу Windows. Вы видите перед собой окно, требующее ввести код разблокировки, который можно купить заплатив требуемую сумму.

Как разблокировать Windows бесплатно?

Никому не хочется платить деньги за разблокировку Windows. Да и оплатив деньги на указанный мошенниками счет нет гарантии, что Вам пришлют ключ windows будет разблокирован. Поэтому мы рассмотрим способы, как бесплатно  разблокировать Windows:

1-й способ — сменить дату в биосе (BIOS) компьютера. Для тех, кто с компьютером не на ты постараюсь обьяснить как зайти в BIOS. На системном блоке есть кнопка перезагрузки — нажмите на нее, если компьютер включен. Если компьютер выключен, то включите его. Через пару секунд после начала загрузки компьютера нажмите и удерживайте на клавиатуре клавишу DELETE. Если Вы успешно вошли, то на экране будет на синем фоне на английском меню биоса. В биосе Вам нужно зайти в раздел Standard CMOS Features, там будет поле текущей даты, измените дату на более раннюю. После изменения даты нажмите Esc и Вы попадете в основное меню. Для сохранения данных выберите Save & Exit Setup, после этого нажмите y, чтобы подтвердить сохранение. Этот способ поможет решить проблему с баннером блокиратором работы windows, но вирус нужно еще найти и удалить.

2-й способ — зайдите с мобильного телефона или с другого компьютера на сайты антивирусов Доктора веба http://www.drweb.com/unlocker/index  или Касперского http://www.kaspersky.ru/support/viruses/deblocker и поищите в этих разделах ключ для разблокировки.

3-й способ — найти и удалить вирус самому. Последовательность действий: при загрузке Windows нажимаем F8, и выбираем загрузку в безопасном режиме с поддержкой командной строки; загружается окно, в которое вносим команду regedit, откроется реестр, в нем будьте осторожны НЕ УДАЛЯЙТЕ ЧТО ПОПАЛО, переходите по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и находите справой стороны файл с названием Shell; запишите путь к нему, который там прописан и кликайте 2 раза и стираете этот путь; далее вписываете в командную строку explorere.exe перезагружаетесь, Windows уже включится без проблем и без блокировочного баннера. Теперь переходите по тому пути, который записали, и удаляете сам файл этого вируса! Таким образом Вы удалите вирус, заблокировавший Windows.

4-й способ — нажмите F8 при загрузке Windows и попробуйте запустить восстановление системы выбрав контрольную точку восстановления. После удачного восстановления, нужно удалить вирус, запускайте антивирусную программу и сканируйте весь компьютер.

5-й способ — в строке быстрого запуска видны значки этих вирусов. При наведении курсора на значек высвечивается имя файла, зачастую, оно состоит из набора цифр. Через поиск находите этот файл. Просто так файл удалить не получится. Сначала его переименовываем, а потом удаляем, и не забудьте почистить корзину. И на всякий случай просканировать систему антивирусом.

6-й способ — отформатировать локальный диск на котором установлена Windows. Но этот вариант приведет к потере данных, хранившихся на локальном диске. И это самый радикальный способ борьбы с блокиратором системы, применяйте его только в том случае, если приведенные выше способы разблокировки Windows не помогли.

Как удалить вирус после разблокировки? Скачивайте программу cureit, которая удаляет трояны блокираторы Windows. Вот ссылка http://www.freedrweb.com/cureit/?lng=ru  Вирус зачастую прописывается в папке C:\System Volume Information

aposnov.ru

Вирусы, которые «потрясли» ОС Windows

Говорят, что раньше на ошибках учились. Теперь люди делают проще: объявили ошибки элементом статистики, что дало возможность совершать одни и те же глупые действия с умным видом. Когда в MS-DOS впервые появились компьютерные вирусы, всем казалось, что это ненадолго. В самом деле – система была изучена вдоль и поперек, методов распространения вирусов было всего с полдесятка. Оставалось найти общую систему и закрыть эти дыры. Но оказалось, что антивирусные программы – очень удобный товар для заработка, причем такой, что за его работу можно не отвечать. Работает антивирус или не работает – кому какая разница, ведь доступа к его алгоритмам все равно нет.

Шли годы, пользователи тратили уже не миллионы, а миллиарды долларов на антивирусное ПО. Первые версии Windows сохранили все детские ошибки DOS, в том числе относительно вирусов. Сами же Windows, начиная с версии 1 и до W8, были такими же дырявыми, как и DOS. Но напрасно над нею смеялись адепты Linux – их система оказалась и вовсе никому не нужна, поэтому в ближайшие годы кроме Windows ничего на горизонте не появится.

Вирусов для Windows стало так много, что их стали стесняться считать: то ли миллион, то ли пять миллионов. То ли штук, то ли групп. Описания вирусов тоже с сайтов убрали – незачем людям знать правду о системе и ее дырах. Вдруг они узнают, что сама архитектура Windows была идеально подготовлена для внешнего взлома множеством способов?

Одним из первых вирусов, потрясших систему, был WinCIH, или Чернобыль. Он впервые доказал идею, что программа может легко испортить BIOS материнской платы. Не зря 1999 год не предвещал ничего хорошего: в те дни погибло около трети миллиона компьютеров, большинство из которых были списаны, а остальные пришлось перепрошивать. Даже неверующие поняли намек, что нужно покупать антивирусы. Следом появился вирус «ILOVEYOU», который передавался по почте и заражал документы Office, попутно уничтожая некоторые системные файлы. Впрочем, файлы уничтожал вирус Nimda, который появился чуть позднее, зато сумел за 22 минуты заразить весь Интернет. Интересно, что в 2004 году уже «My DOOM» вновь оказался самым страшным почтовым вирусом, и вновь антивирусные компании оказались неготовыми в его приходу. Видимо, пока они занимались укреплением фасада почты, забыли про задние двери системы, куда позже сумели пробраться Conficker, Kido, Sobig и аналогичные жуткие монстры, с которыми и сейчас не справляются антивирусные программы. А, может быть, и не хотят справляться? Зачем, в самом деле, это делать, если с помощью вирусов заработать лишние миллиарды долларов на неработающих программах защиты? Главное ведь в том, чтобы не давать пользователям применять бесплатное антивирусное ПО и самостоятельно давать информацию о реальных проблемах с вирусами.

А Microsoft, словно забыв про все свои бывшие шишки, вновь вернула в систему W8 кривой антивирус собственной закваски, объявив его лучшим из лучших, потомком славного MSE. Теперь стоит ожидать массовых взломов систем и новых историй-ужасов от обманутых пользователей.

igeek.ru

Боремся с вирусами в Windows XP

Настройка автоматического запуска программ

Если вирус не впишется в те или иные списки автозапуска операционной системы, то гарантированно погибнет после перезагрузки Windows или выключения питания компьютера. Такая "обязательность" в поведении вирусов и позволит нам легко их отлавливать и пресекать последующую активацию в вашей системе.

Мест, из которых программы стартуют самостоятельно, в Windows не так уж и много. С некоторыми из них вы наверняка хорошо знакомы, а о других знаете только понаслышке. Я собираюсь совершить с вами небольшое путешествие по излюбленным местам "гнездования" компьютерных вирусов и рассмотреть, какие меры мы с вами можем предпринять, чтобы сделать условия их жизни на вашем компьютере не слишком вольготными.

Для того чтобы облегчить пользователю контроль списков автозапуска и при этом избавить его от копания в реестре, было написано довольно много программ. О лучшей из них на мой взгляд я и собираюсь вам сегодня рассказать. Называется эта программа Autoruns.

Программа Autoruns

Программа написана известным специалистом по внутренностям операционных систем Microsoft по имени Mark Russinovich в соавторстве с Bruce Cogswell. Программа имеет размер менее одного мегабайта, не требует инсталляции и совершенно бесплатна. Вы можете совершенно свободно ее скачать. Это не законченный проект, авторы постоянно его развивают, дополняя свое детище новыми возможностями. Текущей версией на момент написания статьи является номер 4.32. Именно о ней и пойдет у нас речь дальше. От версии к версии программа меняется довольно сильно, поэтому не удивляйтесь, если, скачав из Интернет свежий релиз, вы обнаружите, что мое повествование мало похоже на описание имеющейся у вас программы. Тем не менее, основные возможности Autoruns наверняка останутся теми же, что и сейчас, поэтому мои рекомендации все равно наверняка вам пригодятся.

Итак, после того как вы скачаете и запустите программу, сразу сходите в раздел меню, называющийся View, и приведите его содержимое к тому виду, что показан на рисунке. Такие настройки облегчат вам на первых порах анализ выводимой этой программой информации.

Autoruns

Сняв галочку с пункта Show All Location, вы замаскируете большую часть разделов реестра, ответственных за экзотические способы загрузки различных сервисных приложений Windows. На данный момент времени крайне маловероятно, что какой-либо из вирусов впишется в эти списки. Установив галку напротив Only Show Non-Microsoft Entry, вы говорите программе не показывать вам приложения, созданные в корпорации Microsoft. Опять-таки, маловероятно, что эти приложения окажутся вирусами. Тем не менее, держите в голове тот факт, что в указанных режимах работы программы вы видите не все имеющиеся места запуска. В случае появления у вас подозрений о том, что в вашей системе таки орудует какой-то вирус, переставьте эти две галки в обратные положения и на этот раз тщательно изучите уже весь доступный вам список. Подделываться под приложения Microsoft авторы вирусов уже давно не пытаются. Фокус тут заключается в том, что большая часть этих приложений считается операционной системой критически важными для ее функционирования. Обнаружив модификацию подобных файлов, Windows 2000/XP восстанавливает их исходное содержимое из своего архива или дистрибутивного диска. Таким образом, Windows по простоте душевной самостоятельно уничтожает непрошеных "имитаторов". Если же авторы вирусов не перезаписывают оригинальные приложения Microsoft, а кладут вирусы в какую-либо другую, соседнюю папку, то это тоже сразу заметно для опытного взгляда в списке Autoruns или обычном Диспетчере Задач. Все программы из дистрибутива Windows располагаются в своих, строго определенных папках. Запуск стандартной программы из "чужой" папки выглядит довольно подозрительно и сразу бросается в глаза.

Для начала давайте подробно разберем информацию, выводимую на экран программой, и посмотрим, как она поможет нам оценить происхождение тех или иных автоматически стартующих файлов. Интерфейс программы довольно несложен и стандартен для такого рода утилит. В центре экрана расположено двухуровневое дерево. На первом уровне дерева перечислены все известные программе места, откуда теоретически возможен запуск программ в Windows. В том случае, если список расположен в реестре, в качестве иконки для папки дерева используется значок реестра, внешне похожий на взрывающийся кубик Рубика. В случае, если отображаемый список является обычной папкой на диске — например, привычной всем папкой автозагрузки, то в роли иконки и выступает не менее привычный значок папки. Вторым уровнем дерева, а именно элементами папки списка автозапуска, выступают сами программы, стартующие из этой папки. Перед каждой программой расположен квадратик поля выбора. Вы можете, щелкнув мышью по этому квадратику, снимать или ставить в нем отметку-галочку. Если вы поставите в квадратике галочку, программа, к которой он относится, будет автоматически стартовать вместе с операционной системой. Если снять галочку с этого поля, программа хоть и останется в этом списке, но автоматически запускаться уже не станет. Если вы не уверены в том, можно ли без ущерба для операционной системы отключить ту или иную программу, попробуйте для начала снять с нее галочку. Если после перезапуска Windows выяснится, что функциональность отключенной программы вам необходима, можете повторно запустить Autoruns и разрешить программе стартовать автоматически, вернув на место относящуюся к ней галочку.

Следующим элементом за полем временного отключения программы идет ее иконка. С ее помощью вы можете быстро оценить тип запускаемого приложения. За иконкой следует название программы. Обратите внимание: название программы и название файла программы — это совершенно разные вещи, хотя они могут и совпадать. Название программы заносится ее разработчиком в специальную структуру внутри исполняемого файла. В дальнейшем даже если вы переименуете сам файл название программы останется прежним. В том случае, если разработчик оставил это поле пустым в момент компиляции программы, она автоматически получает имя, совпадающее с именем ее исполняемого файла. Следующее поле таблицы Autoruns озаглавлено Description. Оно также заполняется (или не заполняется) разработчиком на этапе создания программы. В этом поле принято давать краткое описание назначения программы. Тем не менее, автор программы волен оставить это поле пустым или и вовсе написать все, что ему придет в голову. Очередное поле списка озаглавлено Company. Еще одно необязательное поле, подобное рассмотренному нами выше полю Description. Обычно в нем принято писать название компании, выпустившей этот программный продукт.

Последнее не рассмотренное еще нами поле в списке автоматически запускаемых программ называется IMAGE PATH. В нем указан полный путь до запускаемого файла программы, то есть место на диске, в котором операционная система ищет программу для того, чтобы ее запустить. Для нас как пользователей этот параметр особенно важен. Зная место на диске, где находится заинтересовавшая нас программа, мы можем проверить ее с помощью антивируса, да и просто "сходить" в ее папку и на месте "посмотреть" на подозрительную программу с помощью шестнадцатеричного редактора. Если эта программа окажется вирусом, мы знаем, какой именно файл следует стереть для того, чтобы он нас больше не беспокоил.

Как я уже говорил выше, название папки, из которой стартует программа, поможет нам выявить вирусы, маскирующиеся под стандартные системные утилиты, сервисы и библиотеки, входящие в комплект операционной системы. Например, WINDOWS EXPLORER, отвечающий за сам интерфейс пользователя Windows, всегда расположен в папке C:\WINDOWS. Файл с этой программой называется EXPLORER.EXE. Если вы вдруг обнаруживаете, что у вас на компьютере эта программа стартует из папки, скажем, C:\WINDOWS\ SYSTEM32, то это уже достаточно серьезный "звоночек" о том, что в вашей системе, возможно, действует компьютерный вирус. Я бы на вашем месте поближе познакомился с таким нововведением в моей операционной системе. О том, как это сделать, у нас пойдет речь чуть ниже.

Древообразный интерфейс экрана программы на самом деле обманчив. В том случае, если вы щелкнете мышкой по ветви этого "дерева", ожидая, что ветвь свернется, ничего подобного не произойдет. Вместо этого стартует редактор реестра и самостоятельно установится на ветвь, соответствующую выбранному вами списку автозапуска. Эта возможность предоставлена для того, чтобы вы в сложных случаях могли вручную проанализировать ее содержимое и принять нужное решение. Если вы щелкнете мышкой по строчке с названием программы, откроется конкретная запись в реестре, приводящая к запуску этой программы.

Помимо вышеуказанных возможностей, каждая строчка в окне запускаемых программ имеет контекстное меню, вызываемое правой кнопкой мыши. Давайте рассмотрим предназначение содержащихся в нем пунктов. Пункт, озаглавленный Delete, предназначен для удаления из реестра записи об автоматически стартующей программе. Сама программа при этом не удаляется, поэтому, прежде чем стирать из загрузки упоминание об очередном подхваченном в Интернет вирусе, предварительно сохраните где-либо информацию о том, в каком именно файле он находится. Вы, наверно, меня спросите, а почему бы вам просто сначала не стереть сам файл, а уж потом удалить запись о его загрузке. Тут не все так просто. В том случае, если вирус прописан в списке автозагрузки вашего компьютера, это автоматически означает, что он активен в тот момент, когда вы готовитесь его удалять. По принятому в Windows правилу файлы запущенных программ блокируются. Их нельзя удалить, так как система не даст вам доступа на эту операцию. Существуют два простых способа выкрутиться из данной ситуации. Во-первых, вы можете, нажав Ctrl-Alt-Del, вызвать Диспетчер Задач. Переходите на вкладку Процессы и ищете в списке процессов вирус по имени его файла (имя файла мы посмотрели с помощью Autoruns). Нажимаете Завершить процесс, этим самым выгружая из памяти активную сейчас копию вируса. После этого можете спокойно удалить файл на диске. Иногда этот способ не проходит, так как вирус может успеть восстановить себя в памяти, пока вы добираетесь до файла с его содержимым. Существуют вирусы, которые прописывают в списке автозагрузки несколько своих копий под разными именами. Каждая из этих копий следит за здоровьем своих "коллег", и, если с ними что-либо случается, перезапускает их исполняемые файлы. Дуэль с подобными вирусами довольно интересна для профессионала, но столь же трудна для новичка. В качестве попутного анекдота расскажу вам историю про попавшийся мне однажды забавный вирус. Он отслеживал запуск программы Regedit и никак себя не проявлял до тех пор, пока вы не подбирались с его помощью к веткам реестра, ответственным за автозапуск приложений. После этого вирус брал и закрывал приложения Regedit'a, таким образом не давая исправить список автозагрузки. Второй предлагаемый мной способ избавиться от активного в системе вируса куда более прост и нетороплив. Просто запоминаете, как называется файл вируса и папка на диске, в которой он расположен. Удаляете (или блокируете) его стартовую запись с помощью Autoruns и перезагружаетесь. После того как компьютер снова стартует, вирус уже не получает управления, и вы можете спокойно разбираться "по-свойски" с хладным трупом его файла.

Рассказывая о том, что вам делать с обнаруженным вирусом, я чуть было не забыл о самом главном — о том, а как, собственно говоря, вам отличить обычные добропорядочные программы, стартующие при каждом запуске Windows, от вирусов, которые затесались в их стройные ряды. Давайте прямо сейчас на живом примере установленной на моем компьютере операционной системы посмотрим: а нет ли чего лишнего в ее списках автозагрузки. На прилагаемой иллюстрации изображен экран программы Autoruns, запущенной на ноутбуке, работающем под управлением Windows XP. Серым цветом отмечены списки автозапуска Windows XP, в которые не занесены какие-либо программы. Белым цветом выделены программы, запускающиеся на этом компьютере в автоматическом режиме. Таких программ оказалось всего две. Первая стартует из ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Называется она TPTRAY. Как видим, написана эта программа в фирме IBM Corp. В ее свойства производителем занесен комментарий о том, что эта программа является некоей "IBM ThinkPad Tray Utility". Расположена она в папке C:\Program Files\ThinkPad\Utilities, а ее исполняемый файл называется TP98TRAY.EXE. По совокупности данной информации я легко могу догадаться, что речь идет о панели управления режимами работы ноутбука, иконка от которой висит в трее рядом с часами. Я действительно ставил эту программу и активно ее эксплуатирую, поэтому ее запуск вполне закономерен и легитимен. Другой вопрос, что под видом этой утилиты на мой компьютер могла бы вписаться какая-либо другая программа. Но в этом случае в списке автозагрузки присутствовали бы уже две копии программы — поддельная и настоящая — или я бы не увидел иконки рядом с часами. Дополнительно убедиться в том, что программа является именно той, за которую себя выдает, можно вызвав ее свойства из контекстного меню списка Autoruns.

Autoruns

Щелкаете правой кнопкой мыши по заинтересовавшей вас программе и выбираете в появившемся меню пункт Properties. Перед вами появится стандартное окно свойств файла Windows. Наиболее ценной для вас информацией в этом окне являются три имеющиеся здесь даты. У всех трех дат названия плохо отражают то, что они действительно означают. Поэтому я прокомментирую их названия для вас еще раз и более подробно.

Первая дата, называющаяся Создан, на самом деле означает дату инсталляции программы — ту самую, когда вы впервые установили приложение на диск. "Создан" с точки зрения Windows означает создание программы на подведомственной ей территории, а не создание самого файла программистом. Вторая дата под названием Изменен и означает реальную дату создания файла программистом. "Изменен" в данном контексте означает дату изменения внутреннего содержания файла. То есть программист откомпилировал приложение, файл изменился, дата изменилась вслед за ним. Если вирус изменит этот файл, вписываясь в его тело, он также изменит эту дату.

Впрочем, если автор вируса достаточно грамотный программист, то в момент заражения он сначала запоминает исходную дату программы, вписывает код своего вируса в ее тело, а затем восстанавливает исходную дату. Поэтому особо доверять этому признаку нельзя, хотя следует его учитывать при анализе. Я вам рассказываю об этом нюансе с датами модификации файла потому, что в своем подавляющем большинстве авторы вирусов грамотными программистами не являются. Они часто забывают (или вообще не думают) о том, что следует помнить о таких "мелочах", на чем и благополучно "горят". Как метко заметил кто-то из древних, внимание к мелочам — основа любой магии. Третья дата, называющаяся Открыт, означает время последнего запуска программы, т.е. время, когда эта программа стартовала на вашем компьютере в последний раз. Анализируя значение этой даты, следует учитывать, что эта функция слежения за доступом к файлам может быть отключена пользователем, т.к. постоянный контроль данного параметра замедляет дисковые операции Windows NT/2000/XP/2003. Помимо дат файла, внимательно проглядите на этой закладке описание программы, посмотрите, имеет ли эта программа свою иконку. Затем переключитесь на соседнюю закладку, называющуюся Версия. Там изучите имеющуюся информацию об авторских правах, реальном названии программы и ее версии. Мало кто из авторов вирусов затрудняет себя заполнением этих полей в своих творениях. Да и вообще подделка вируса под конкретное приложение встречается довольно редко. Как вы понимаете, утилита управления ноутбуками IBM, запущенная на вашем домашнем компьютере, смотрелась бы довольно странно и наверняка сразу привлекла бы ваше внимание. Поэтому программы-вирусы как правило "обезличены", и указанные поля у них не заполнены.

Давайте подведем мини-итог нашему частному расследованию происхождения программы в моем примере. Согласно собранной нами информации, программа TP98TRAY.EXE создана 25 июля 2001 г., установлена мной на компьютер четыре дня тому назад и запущена системой полчаса тому назад. Все три даты выглядят вполне реалистично и примерно соответствуют дате выпуска программы и времени ее установки на мой компьютер. Согласно полям свойств исполняемого файла, мы имеем дело с утилитой, управляющей режимами работы ноутбуков IBM. Все вместе похоже на правду, но в том случае, если вы все равно сомневаетесь в ее происхождении, побайтово сравните исполняемый файл, находящийся в папке, из которой стартовала исследуемая программа, с одноименным файлом, находящимся в дистрибутиве драйверов IBM. Для этого можно воспользоваться командой fc /b [имя первого файла] [имя второго файла]. Если оба файла одинаковы, вы получите стопроцентную гарантию того, что программа не поддельная.

Разобравшись с первой программой, стартующей на моем ноутбуке, давайте теперь посмотрим, что собой представляет вторая. Согласно информации Autoruns, мы имеем дело с командным файлом, лежащим в корне диска D (а именно D:\setupxppower.cmd). Запуск этого файла производится из обычной пользовательской папки автозагрузки C:\Documents and Settings\German\Start Menu\ Programs\Startup с помощью ярлыка setupxppower.lnk. В этом случае все намного проще. Командный файл (расширение .cmd) изнутри представляет собой обычный текстовый файл, который при желании можно просмотреть в Блокноте. У меня такого желания нет, так как я и так хорошо помню, как я его писал и ставил в папку автозагрузки. На моем ноутбуке IBM ThinkPad 760ED этот файл отключает режим Standby под Windows XP, так как под этой операционной системой он работает не очень хорошо.

Таким образом, я проверил автоматически загружаемые на моем компьютере программы и вирусов среди них не обнаружил. А на вашем компьютере как обстоят дела?

winlined.ru

Восстановление работоспособности Windows 7 после вирусного заражения

Восстановление работоспособности Windows 7 после вирусного заражения.

    Речь пойдет о простейших способах нейтрализации вирусов, в частности, блокирующих рабочий стол пользователя Windows 7 (семейство вирусов Trojan.Winlock). Подобные вирусы отличаются тем, что не скрывают своего присутствия в системе, а наоборот, демонстрируют его, максимально затрудняя выполнение каких-либо действий, кроме ввода специального "кода разблокировки", для получения которого, якобы, требуется перечислить некоторую сумму злоумышленникам через отправку СМС или пополнение счета мобильного телефона через платежный терминал. Цель здесь одна - заставить пользователя платить, причем иногда довольно приличные деньги. На экран выводится окно с грозным предупреждением о блокировке компьютера за использование нелицензионного программного обеспечения или посещение нежелательных сайтов, и еще что-то в этом роде, как правило, чтобы напугать пользователя. Кроме этого, вирус не позволяет выполнить какие либо действия в рабочей среде Windows - блокирует нажатие специальных комбинаций клавиш для вызова меню кнопки "Пуск", команды "Выполнить" , диспетчера задач и т.п. Указатель мышки невозможно переместить за пределы окна вируса. Как правило, эта же картина наблюдается и при загрузке Windows в безопасном режиме. Ситуация кажется безвыходной, особенно если нет другого компьютера, возможности загрузки в другой операционной системе, или со сменного носителя (LIVE CD, ERD Commander, антивирусный сканер). Но, тем не менее, выход в подавляющем большинстве случаев есть.

    Новые технологии, реализованные в Windows Vista / Windows 7 значительно затруднили внедрение и взятие системы под полный контроль вредоносными программами, а также предоставили пользователям дополнительные возможности относительно просто от них избавиться, даже не имея антивирусного программного обеспечения (ПО). Речь идет о возможности загрузки системы в безопасном режиме с поддержкой командной строки и запуска из нее программных средств контроля и восстановления. Очевидно, по привычке, из-за довольно убогой реализации этого режима в предшествующих версиях операционных систем семейства Windows, многие пользователи просто им не пользуются. А зря. В командной строке Windows 7 нет привычного рабочего стола (который может быть заблокирован вирусом), но есть возможность запустить большинство программ - редактор реестра, диспетчер задач, утилиту восстановления системы и т.п.

Удаление вируса с помощью отката системы на точку восстановления

    Вирус - это обычная программа, и если даже она находится на жестком диске компьютера, но не имеет возможности автоматически стартовать при загрузке системы и регистрации пользователя, то она так же безобидна, как, например, обычный текстовый файл. Если решить проблему блокировки автоматического запуска вредоносной программы, то задачу избавления от вредоносного ПО можно считать выполненной. Основной способ автоматического запуска, используемый вирусами - это специально созданные записи в реестре, создаваемые при внедрении в систему. Если удалить эти записи - вирус можно считать обезвреженным. Самый простой способ - это выполнить восстановление системы по данным контрольной точки. Контрольная точка - это копия важных системных файлов, хранящаяся в специальном каталоге ("System Volume Information") и содержащих, кроме всего прочего, копии файлов системного реестра Windows. Выполнение отката системы на точку восстановления, дата создания которой предшествует вирусному заражению, позволяет получить состояние системного реестра без тех записей, которые сделаны внедрившимся вирусом и тем самым, исключить его автоматический старт, т.е. избавиться от заражения даже без использования антивирусного ПО. Таким способом можно просто и быстро избавиться от заражения системы большинством вирусов, в том числе и тех, что выполняют блокировку рабочего стола Windows. Естественно, вирус-блокировщик, использующий например, модификацию загрузочных секторов жесткого диска (вирус MBRLock ) таким способом удален быть не может, поскольку откат системы на точку восстановления не затрагивает загрузочные записи дисков, да и загрузить Windows в безопасном режиме с поддержкой командной строки не удастся, поскольку вирус загружается еще до загрузчика Windows . Для избавления от такого заражения придется выполнять загрузку с другого носителя и восстанавливать зараженные загрузочные записи. Но подобных вирусов относительно немного и в большинстве случаев, избавиться от заразы можно откатом системы на точку восстановления.

1. В самом начале загрузки нажать кнопку F8 . На экране отобразится меню загрузчика Windows, с возможными вариантами загрузки системы

2. Выбрать вариант загрузки Windows - "Безопасный режим с поддержкой командной строки"

После завершения загрузки и регистрации пользователя вместо привычного рабочего стола Windows, будет отображаться окно командного процессора cmd.exe

3. Запустить средство "Восстановление системы", для чего в командной строке нужно набрать rstrui.exe и нажать ENTER.

Далее пользователь должен выбрать необходимую точку восстановления. Рекомендуемая Windows точка восстановления может не подойти, поэтому лучше всего получить их полный список

- переключить режим на "Выбрать другую точку восстановления" и в следующем окне установить галочку "Показать другие точки восстановления"

После выбора точки восстановления Windows, можно посмотреть список затрагиваемых программ при откате системы:

Список затрагиваемых программ, - это список программ, которые были установлены после создания точки восстановления системы и которые могут потребовать переустановки, поскольку в реестре будут отсутствовать связанные с ними записи.

После нажатия на кнопку "Готово" начнется процесс восстановления системы. По его завершению будет выполнена перезагрузка Windows.

После перезагрузки, на экран будет выведено сообщение об успешном или неуспешном результате выполнения отката и, в случае успеха, Windows вернется к тому состоянию, которое соответствовало дате создания точки восстановления. Если блокировка рабочего стола не прекратится, можно воспользоваться более продвинутым способом, представленным ниже.

Удаление вируса без отката системы на точку восстановления

    Возможна ситуация, когда в системе отсутствуют, по разным причинам, данные точек восстановления, процедура восстановления завершилась с ошибкой, или откат не дал положительного результата. В таком случае, можно воспользоваться диагностической утилитой Конфигурирования системы MSCONFIG.EXE. Как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки и в окне интерпретатора командной строки cmd.exe набрать msconfig.exe и нажать ENTER

На вкладке "Общие" можно выбрать следующие режимы запуска Windows:

Обычный запуск - обычная загрузка системы.Диагностический запуск - при загрузке системы будет выполнен запуск только минимально необходимых системных служб и пользовательских программ.Выборочный запуск - позволяет задать в ручном режиме перечень системных служб и программ пользователя, которые будут запущены в процессе загрузки.

Для устранения вируса наиболее просто воспользоваться диагностическим запуском, когда утилита сама определит набор автоматически запускающихся программ. Если в таком режиме блокировка рабочего стола вирусом прекратится, то нужно перейти к следующему этапу - определить, какая же из программ является вирусом. Для этого можно воспользоваться режимом выборочного запуска, позволяющим включать или выключать запуск отдельных программ в ручном режиме.

Вкладка "Службы" позволяет включить или выключить запуск системных служб, в настройках которых установлен тип запуска "Автоматически" . Снятая галочка перед названием службы означает, что она не будет запущена в процессе загрузки системы. В нижней части окна утилиты MSCONFIG имеется поле для установки режима "Не отображать службы Майкрософт" , при включении которого будут отображаться только службы сторонних производителей.

Замечу, что вероятность заражения системы вирусом, который инсталлирован в качестве системной службы, при стандартных настройках безопасности в среде Windows Vista / Windows 7, очень невелика, и следы вируса придется искать в списке автоматически запускающихся программ пользователей (вкладка "Автозагрузка").

Так же, как и на вкладке "Службы", можно включить или выключить автоматический запуск любой программы, присутствующей в списке, отображаемом MSCONFIG. Если вирус активизируется в системе путем автоматического запуска с использованием специальных ключей реестра или содержимого папки "Автозагрузка", то c помощью msconfig можно не только обезвредить его, но и определить путь и имя зараженного файла.

Утилита msconfig является простым и удобным средством конфигурирования автоматического запуска служб и приложений, которые запускаются стандартным образом для операционных систем семейства Windows. Однако, авторы вирусов нередко используют приемы, позволяющие запускать вредоносные программы без использования стандартных точек автозапуска. Избавиться от такого вируса с большой долей вероятности можно описанным выше способом отката системы на точку восстановления. Если же откат невозможен и использование msconfig не привело к положительному результату, можно воспользоваться прямым редактированием реестра.

    В процессе борьбы с вирусом пользователю нередко приходится выполнять жесткую перезагрузку сбросом (Reset) или выключением питания. Это может привести к ситуации, когда загрузка системы начинается нормально, но не доходит до регистрации пользователя. Компьютер "висит" из-за нарушения логической структуры данных в некоторых системных файлах, возникающей при некорректном завершении работы. Для решения проблемы так же, как и в предыдущих случаях, можно загрузиться в безопасном режиме с поддержкой командной строки и выполнить команду проверки системного диска

chkdsk C: /F - выполнить проверку диска C: с исправлением обнаруженных ошибок (ключ /F)

Поскольку на момент запуска chkdsk системный диск занят системными службами и приложениями, программа chkdsk не может получить к нему монопольный доступ для выполнения тестирования. Поэтому пользователю будет выдано сообщение с предупреждением и запрос на выполнение тестирования при следующей перезагрузке системы. После ответа Y в реестр будет занесена информация, обеспечивающая запуск проверки диска при перезагрузке Windows. После выполнения проверки, эта информация удаляется и выполняется обычная перезагрузка Windows без вмешательства пользователя.

Устранение возможности запуска вируса с помощью редактора реестра.

    Для запуска редактора реестра, как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки, в окне интерпретатора командной строки набрать regedit.exe и нажать ENTER     Windows 7, при стандартных настройках безопасности системы, защищена от многих методов запуска вредоносных программ, применявшихся для предыдущих версий операционных систем от Майкрософт . Установка вирусами своих драйверов и служб, перенастройка службы WINLOGON с подключением собственных исполняемых модулей, исправление ключей реестра, имеющих отношение ко всем пользователям и т.п - все эти методы в среде Windows 7 либо не работают, либо требуют настолько серьезных трудозатрат, что практически не встречаются. Как правило, изменения в реестре, обеспечивающие запуск вируса, выполняются только в контексте разрешений, существующих для текущего пользователя, т.е. в разделе HKEY_CURRENT_USER

Для того, чтобы продемонстрировать простейший механизм блокировки рабочего стола с использованием подмены оболочки пользователя (shell) и невозможности использования утилиты MSCONFIG для обнаружения и удаления вируса можно провести следующий эксперимент - вместо вируса самостоятельно подправить данные реестра, чтобы вместо рабочего стола получить, например, командную строку. Привычный рабочий стол создается проводником Windows (программа Explorer.exe) запускаемым в качестве оболочки пользователя. Это обеспечивается значениями параметра Shell в разделах реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - для всех пользователей. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - для текущего пользователя.

Параметр Shell представляет собой строку с именем программы, которая будет использоваться в качестве оболочки при входе пользователя в систему. Обычно в разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно - HKCU) параметр Shell отсутствует и используется значение из раздела реестра для всех пользователей (HKEY_LOCAL_MACHINE\ или в сокращенном виде - HKLM)

Так выглядит раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon при стандартной установке Windows 7

Если же в данный раздел добавить строковый параметр Shell принимающий значение "cmd.exe", то при следующем входе текущего пользователя в систему вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно командной строки .

Естественно, подобным образом может быть запущена любая вредоносная программа и пользователь получит вместо рабочего стола порнобаннер, блокировщик и прочую гадость. Для внесения изменений в раздел для всех пользователей (HKLM. . . ) требуется наличие административных привилегий, поэтому вирусные программы, как правило модифицируют параметры раздела реестра текущего пользователя (HKCU . . .)

Если, в продолжение эксперимента, запустить утилиту msconfig, то можно убедиться, что в списках автоматически запускаемых программ cmd.exe в качестве оболочки пользователя отсутствует. Откат системы, естественно, позволит вернуть исходное состояние реестра и избавиться от автоматического старта вируса, но если он по каким-либо причинам, невозможен - остается только прямое редактирование реестра. Для возврата к стандартному рабочему столу достаточно удалить параметр Shell, или изменить его значение с "cmd.exe" на "explorer.exe" и выполнить перерегистрацию пользователя (выйти из системы и снова войти) или перезагрузку. Редактирование реестра можно выполнить, запустив из командной строки редактор реестра regedit.exe или воспользоваться консольной утилитой REG.EXE . Пример командной строки для удаления параметра Shell:

REG delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Приведенный пример с подменой оболочки пользователя, на сегодняшний день является одним из наиболее распространенных приемов, используемых вирусами в среде операционной системы Windows 7 . Довольно высокий уровень безопасности при стандартных настройках системы не позволяет вредоносным программам получать доступ к разделам реестра, которые использовались для заражения в Windows XP и более ранних версий . Даже если текущий пользователь является членом группы "Администраторы", доступ к подавляющему количеству параметров реестра, используемых для заражения, требует запуск программы от имени администратора. Именно по этой причине вредоносные программы модифицируют ключи реестра, доступ к которым разрешен текущему пользователю (раздел HKCU . . . ) Второй важный фактор - сложность реализации записи файлов программ в системные каталоги. Именно по этой причине большинство вирусов в среде Windows 7 используют запуск исполняемых файлов (.exe ) из каталога временных файлов (Temp) текущего пользователя. При анализе точек автоматического запуска программ в реестре, в первую очередь нужно обращать внимание на программы, находящиеся в каталоге временных файлов. Обычно это каталог C:\USERS\имя пользователя\AppData\Local\Temp. Точный путь каталога временных файлов можно посмотреть через панель управления в свойствах системы - "Переменные среды". Или в командной строке:

set temp или echo %temp%

Кроме того, поиск в реестре по строке соответствующей имени каталога для временных файлов или переменной %TEMP% можно использовать в качестве дополнительного средства для обнаружения вирусов. Легальные программы никогда не выполняют автоматический запуск из каталога TEMP.

Для получения полного списка возможных точек автоматического запуска удобно использовать специальную программу Autoruns из пакета SysinternalsSuite. Страница с подробным описанием Autoruns и ссылкой для скачивания

Простейшие способы удаления блокировщиков семейства MBRLock

Вредоносные программы могут получить контроль над компьютером не только при заражении операционной системы, но и при модификации записей загрузочных секторов диска, с которого выполняется загрузка. Вирус выполняет подмену данных загрузочного сектора активного раздела своим программным кодом так, чтобы вместо Windows выполнялась загрузка простой программы, которая бы выводила на экран сообщение вымогателя, требующее денег для жуликов. Поскольку вирус получает управление еще до загрузки системы, обойти его можно только одним способом - загрузиться с другого носителя (CD/DVD, внешнего диска, и т.п.) в любой операционной системе, где имеется возможность восстановления программного кода загрузочных секторов. Самый простой способ - воспользоваться Live CD / Live USB, как правило, бесплатно предоставляемыми пользователям большинством антивирусных компаний ( Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk и т.п.) Кроме восстановления загрузочных секторов, данные продукты могут выполнить еще и проверку файловой системы на наличие вредоносных программ с удалением или лечением зараженных файлов. Если нет возможности использовать данный способ, то можно обойтись и простой загрузкой любой версии Windows PE ( установочный диск, диск аварийного восстановления ERD Commander ), позволяющей восстановить нормальную загрузку системы. Обычно достаточно даже простой возможности получить доступ к командной строке и выполнить команду:

bootsect /nt60 /mbr <буква системного диска:>

bootsect /nt60 /mbr E:> - восстановить загрузочные секторы диска E: Здесь должна использоваться буква для того диска, который используется в качестве устройства загрузки поврежденной вирусом системы.

или для Windows, предшествующих Windows Vista

bootsect /nt52 /mbr <буква системного диска:>

Утилита bootsect.exe может находиться не только в системных каталогах, но и на любом съемном носителе, может выполняться в среде любой операционной системы семейства Windows и позволяет восстановить программный код загрузочных секторов, не затрагивая таблицу разделов и файловую систему. Ключ /mbr, как правило, не нужен, поскольку восстанавливает программный код главной загрузочной записи MBR, которую вирусы не модифицируют (возможно - пока не модифицируют).

Дополнительно:Скачать архив с утилитами bcdboot.exe, bootsect.exe и bcdedit.exe для 32-х и 64-х разрядных ОС Windows

webhamster.ru