- Ознаки та причини зараження
- Перед тим як почати
- приступаємо
- наслідки
- Як уникнути подальшого зараження?
- Коментарі
Дана стаття була написана в жовтні 2008 року і стосується Windows XP. Тим не менше, більшість представлених методів можуть бути застосовані і в сучасних операційних системах.
На жаль, в даний час віруси настільки прогресують, що антивірусне ПЗ не встигає за темпами розвитку і появи нових вірусів. Найчастіше поновлення для лікування того чи іншого вірусу можуть з'явитися через значний час. За цей час вірус може завдати непоправної шкоди. Тому ми наведемо універсальний алгоритм, який дозволить вам видалити вірус вручну в більшості випадків. Найчастіше можна обійтися навіть без антивірусної програми, хоча її наявність буде дуже корисно.
Ознаки та причини зараження
Основні причини зараження вірусами в даний час такі:
- відвідування надісланої посилання (причому зараз багато вірусів можуть, наприклад, поцупити пароль від ICQ, зайти під обліковим записом, і розіслати всім вашим друзям посилання, і більшість з них відкриють це посилання, нічого не підозрюючи), що містить завантажувач вірусу;
- використання заражених змінних носіїв (флешок, дискет і т.п.);
- зараження комп'ютера через мережу (якщо у вас є папки, відкриті в загальний доступ на запис).
Можуть бути й інші причини - наприклад, іноді віруси надсилають прямо в Email-листі - але зараз такі випадки рідкісні, тому що на поштових серверах встановлюють антивірусне ПЗ, яке в більшості випадків успішно виявляє заражені листи і видаляє їх.
Які ознаки можуть свідчити про появу вірусів на комп'ютері?
- явні ознаки: наприклад, зміна шпалер робочого столу (може з'явитися явне повідомлення про те, що ваш комп'ютер заражений), поява нових значків в системному треї (найчастіше вони маскуються під антивірусне ПЗ, повідомляючи про зараження комп'ютера тисячами вірусів) і т.д.
- незвичайна мережева активність: ви нічого не робите в інтернеті (не відкривати сторінки, які не качаєте файли, не працює ICQ або інші месенджери), а під час встановлення зв'язку в треї видно, що постійно йде обмін. Тут присутня деяка ймовірність "помилкової тривоги" - зараз багато програм без вашого відома запитують поновлення, або відсилають інформацію про помилки на сайт розробника. Ви теж можете забути про те, що у вас встановлений який-небудь споживач трафіку. Більш-менш надійна ознака, який дозволяє відрізнити "своїх" від вірусів - це те, що віруси, як правило, займаються відправкою листів з вашої адреси (як варіант - здійснюють розподілені DOS-атаки) - в цьому випадку вихідний трафік буде набагато більше вхідного (при звичайній роботі в інтернеті вихідний трафік складає приблизно 10-15% від вхідного, якщо ви не завантажуєте ніяких файлів на хостинги).
- непрямі ознаки: наприклад, постійно "хрюкає" дисковод, мимовільно відкривається / закривається лоток приводу CD-ROM, перестали працювати якісь системні функції або компоненти (наприклад, диспетчер задач);
- операційна система взагалі не завантажується (або завантажується тільки в безпечному режимі).
приклади:
1. Несподівано звідкись з'явилася програма-сканер (яку ви не встановлювали), яка знайшла безліч "вірусів" (зазвичай файли з вірусами не з'являються в настільки величезних кількостях на самом деле):
2. Ще одна узялася нізвідки програма "антивірус":
Перед тим як почати
Нам знадобиться наступний набір:
- 1. Програма Process Explorer від фірми Sysinternals (зараз її купила Microsoft). Завантажити її можна за наступним посиланням: https://technet.microsoft.com/ru-ru/sysinternals/processexplorer.aspx . Програма безкоштовна, установка не потрібно.
- 2. Програма Autoruns від фірми Sysinternals. Дозволяє переглянути драйвери, програми, сервіси і т.д., які автоматично завантажуються у вашій операційній системі. Завантажити можна тут: https://technet.microsoft.com/ru-ru/sysinternals/bb963902 . Програма безкоштовна, установка не потрібно.
- 3. Total commander (або будь-який інший подібний файл-менеджер). Будемо використовувати його для перегляду файлів, головна відмінність від провідника Windows - в ньому будуть видні всі файли без винятку. У провіднику ж віруси можуть завбачливо заборонити відображення прихованих і системних файлів, а в деяких випадках ви не зможете змінити параметри перегляду. Програма умовно-безкоштовна, посилання: http://www.ghisler.com/download.htm . Встановіть програму після скачування.
- 4. Установчий диск з Windows XP. У разі, якщо не вдається завантажити - потрібен диск саме тієї версії - того ж мови (російська або англійська) і тій самій редакції (professional, home і т.п.). Якщо завантаження проходить успішно, то підійде будь-який дистрибутив Windows XP.
- 5. Комп'ютер з доступом в інтернет. Може і не знадобитися - в залежності від ситуації. Можна завантажитися і з зараженого комп'ютера в безпечному режимі з підтримкою мережевих пристроїв, проте окремий комп'ютер є кращим варіантом.
На випадок, якщо віруси настільки серйозно пошкодили операційну систему, що вона не завантажується навіть в безпечному режимі (пішов на перезавантаження до завершення завантаження), а заново її немає можливості або бажання - тоді можна виконати т.зв. "Накатку" поверх системи. Більш докладно цей процес описаний в статті "Відновлення працездатності Windows" .
Після поновлення Windows система почне завантажуватися, хоча віруси будуть як і раніше в ній присутні. Тому все одно необхідно буде виконати описані далі операції.
приступаємо
Для початку потрібно завантажитися в звичайному режимі (якщо таке завантаження працює). Запускаємо Process Explorer і уважно дивимося на всі запущені процеси. Дерево процесів можна поділити на дві основні області: область системних процесів (рожева) і призначених для користувача (фіолетова або жовта). У багатьох випадках віруси працюють як окремі процеси. Відмінні ознаки від справжніх програм:
- в 95% випадків у процесу вірусу немає ні опису (колонка Description), ні компанії-розробника (колонка Company Name);
- в 95% випадків у процесу вірусу немає своєї ікони - показується звичайна біла іконка програми;
- частенько вірусні процеси стоять окремо - не в основному дереві процесів.
приклад:
cxot.exe - вірус: стоїть окремо від загального дерева призначених для користувача процесів, і для нього не вказано ні опису, ні ім'я компанії-виробника.
Ще приклад:
Тут 3 процесу вірусів. Зверніть увагу, що вони часто мають імена, що складаються з безладного набору букв і цифр. На даному етапі потрібно лише записати імена підозрілих процесів - акуратно, з точністю до букви. Можна натиснути правою кнопкою по процесу та в меню Properties подивитися шлях, де знаходиться файл процесу:
Можуть бути і звичайні програми, яким властиві описані вище ознаки. При виявленні таких підозрілих процесів бажано, щоб ви все ж пам'ятали, яке ПЗ у вас встановлено - щоб зрозуміти, що конкретний підозрілий процес - це програма, яка встановлена на комп'ютері. Якщо процес каждется вам підозрілим, спробуйте зупинити його - клікніть по ньому лівою кнопкою мишки та натисніть Del на клавіатурі (або правою кнопкою миші, в меню вибрати "Kill Process"). Якщо ознаки наявності вірусу (мережева активність, іконка в треї або ще що-небудь) пропадуть - значить це дійсно вірус. Однак, відсутність підозрілих процесів ще не означає, що вірусів немає. Багато віруси зараз вміють "чіплятися" до загальних системних процесів, наприклад, explorer.exe або svchost.exe. Або ж віруси можуть завантажуватися в вигляді драйверів.
Якщо у вас встановлений антивірус, то відновите його бази, поки є підключення до інтернету.
Після того, як ви виписали всі підозрілі процеси і шляхи до них, потрібно перезавантажити операційну систему в безпечному режимі (перед моментом появи логотипу Windows натискайте F8). Чому в безпечному режимі? По-перше, в безпечному режимі підвищується ймовірність успішного лікування антивірусної програми - в звичайному режимі велике число заражених системних файлів заблоковано. По-друге, багато вірусів не працюють в безпечному режимі, що полегшить їх пошук і знищення.
Після завантаження знову запускаємо Process Explorer. Якщо підозрілі процеси присутні - зупиняємо їх натисканням клавіші Del (або правою кнопкою миші, в меню вибрати "Kill Process"). Дії на випадок, якщо процес не дає себе завершити, будуть описані далі.
Тепер запускаємо встановлений Total Commander (або будь-який інший подібний файл-менеджер, але не провідник Windows). Переконуємося, що він відображає приховані та системні файли - наприклад, заходимо в корінь системного диска (найчастіше - диск C:), і дивимося: чи видно завантажувальні файли операційної системи (наприклад, ntldr, NTDETECT.COM і т.п.) - "прихованість" позначається знаком оклику:
Якщо приховані файли не видно, то потрібно включити їх відображення в настройках (для Total Commander - Configuration-> Options-> Dislpay-> Show hidden / system files (for experts only)):
Потім встановлюємо сортування за датою (натискаємо по колонці Date):
Перегляньте наступні папки: C: / Windows
C: / Windows / System
C: / Windows / System32
C: / Windows / System32 / Drivers
C: / Windows / System32 / Config / Systemprofile
C: / Windows / Temp
C: / Documents and Settings / ваш_логін / Local Settings / Temp
Дуже добре, якщо ви пам'ятаєте дату зараження. У якихось із цих папок обов'язково будуть присуствовать підозрілі файли: зі свіжої датою створення (з великою ймовірністю вона буде збігатися з датою зараження - тому ми і виставили сортування за датою), з розширенням exe або dll (в окремих випадках - bat, com , scr, vbs), і розміром близько 20 Кб (може і більше, але дуже рідко розмір не перевищує 100 Кб). Їх імена можуть збігатися з іменами підозрілих процесів, які ви виписали раніше. Якщо у вас є сумніви, чи дійсно якийсь файл є вірусом, ви можете ввести його ім'я в пошуковику (Google, наприклад), і в результатах пошуку відразу стане зрозуміло: вірус це чи системний файл. Якщо інтернету під рукою немає або сумніви як і раніше залишаються (раптом це системний файл), то файли можна не видаляти, а перейменовувати - запуститися вони вже все одно не зможуть. Якщо ж ви твердо впевнені, що цей файл - вірус - то сміливо можете його видаляти (не забудьте потім очистити корзину).
Після того, як ви пройдете по всім перерахованим папок, подивіться - чи залишилися у вас з виписаних підозрілих процесів файли, яких ви не зустрічали. Якщо залишилися - потрібно їх знайти і теж видалити. Наприклад, в Total Commander для виклику пошуку натисніть Alt + F7. Можливо, в тих місцях, де ви їх виявите, будуть і ще подібні підозрілі файли - з тією ж датою створення і тими ж підозрілими ознаками. Їх теж видаляємо.
Можливо, деякі файли видалити у вас не вийде - система повідомить, що доступ до них заборонений. Це означає, що якийсь із вірусів все одно запущений і блокує доступ. Він може бути запущений або у вигляді прикріпленого процесу до якого-небудь системного (тому в Process Explorer ви його не побачите), або у вигляді драйвера (в цьому випадку в Process Explorer його також не видно).
Навіть якщо всі файли вийшло видалити (а якщо немає - то тим більше), запускаємо програму Autoruns. У ній проходимся по всіх вкладках (крім Everything - вона просто збирає в собі всі інші) і дивимося підозрілі записи за тими ж ознаками, що і в Process Explorer - без імені виробника, опису і зі стандартною білою іконкою. Особливо ймовірність їх появи висока в розділах Logon, Services, Drivers (найчастіше), Boot Execute і Logon - в них треба бути особливо уважним. приклад:
Зверніть увагу, що справа написано File Not Found - це значить, що файл вже був вилучений. Якщо ви твердо впевнені, що це вірус - то видаляйте запис (права кнопка, Delete). Якщо є підозри, вірус це насправді чи ні (наприклад, в прикладі вище RavTimeXP - це утиліта, інформації про яку немає через те, що файл був видалений - швидше за все, в результаті некоректної деінсталяції), знову звертаємося до пошукача в інтернеті. У випадках підозри можна не видаляти запис, а просто зняти галочку - запис залишиться, але активуватися при завантаженні не буде.
Якщо в процесі перегляду будуть виявлені якісь інші віруси і в колонці Image Path буде вказано шлях - запам'ятовуємо цей шлях, і в разі твердої впевненості, що це вірус - йдемо цим шляхом і видаляємо файл.
Після всіх цих операцій перезавантажуємо комп'ютер знову в безпечному режимі. Якщо були якісь файли, які не вдалося видалити в минулий раз - пробуємо зробити це ще раз. Цілком можливо, що вони були завантажені у вигляді, наприклад, драйверів, а знята галочка скасувала завантаження цього "драйвера" (а насправді - вірусу) і тепер файл можна видалити (або перейменувати в разі невпевненості) безперешкодно.
Бувають і такі ситуації, коли навіть всі виконані вище дії все одно не допомогли і якийсь файл видалити не виходить (і точно відомо, що це вірус - наприклад, за інформацією в інтернеті). Це означає, що вірус дуже хитро впроваджується в який-небудь процес або драйвер - так, що його не видно навіть в утиліті Autoruns. В цьому випадку вставляємо інсталяційний диск з Windows XP і завантажується з нього. Після завантаження обираємо не установку Windows, а консоль відновлення (буква "r"). Після запрошення вибираємо операційну систему, в яку потрібно виконати вхід (зазвичай вона одна), вводимо пароль адміністратора і потрапляємо в консоль. Набираємо наступну команду:
del полний_путь_к_файлу
наприклад:
del c: /windows/system32/winctrl32.dll
Оскільки завантажилися ми з завантажувального диска і операційна система зараз неактивна, неактивні і віруси - це дозволить їх видалити. Цю операцію потрібно виконати з усіма файлами, які не вдалося видалити в безпечному режимі. Якщо ви пропустите хоча б один, то висока ймовірність того, що при завантаженні він відновить всіх своїх товаришів і все доведеться починати спочатку.
Після цього перезавантажуємося знову в безпечному режимі. Знову переглядаємо процеси, каталоги, рядки в Autoruns і переконуємося, що нікого підозрілого не залишилося. Якщо після перезавантаження все файли з вірусами відновлюються - значить, десь ми когось втратили і він відновлює всі інші файли. Доведеться почати весь процес спочатку і бути більш уважним.
Якщо підозрілі файли і процеси зникли і не з'являються - запускаємо в безпечному ж режимі антивірус, якщо ви оновлювали його бази, і робимо повне сканування комп'ютера. Можливо, він виявить ще когось, кого ми пропустили при ручному чищенні.
Нарешті, тільки після всіх виконаних операцій можна спробувати перезавантажитися в звичайному режимі. Знову переглянути в ньому процеси - чи не з'явилися знову підозрілі? Якщо з'явилися - знову ж таки, потрібно повторити все з самого початку більш уважно. Якщо ні - то, швидше за все, вас можна привітати з позбавленням від вірусів!
наслідки
Багато віруси, щоб утруднити їх виявлення і видалення, змінюють настройки системи. Наприклад, вони можуть заблокувати диспетчер задач або заборонити відображення прихованих папок (і не буде вийдуть включити його назад), або зробити ще безліч інших капостей. Як правило, вони досягають цього зміною деяких значень в системному реєстрі. І навіть коли ви видалите ці віруси, ці проблеми залишаться - тому що видалення вірусу не тягне відновлення тих налаштувань реєстру, які були до його зараження. Тут складно дати конкретну пораду, крім одного - шукати рішення вашої проблеми в інтернеті. Наприклад, в разі проблеми з диспетчером завдань вам допоможе пошуковий запит виду "не відкривається диспетчер задач" і т.п.
Як уникнути подальшого зараження?
Як ми писали вище, основних причин зараження зараз три - це посилання в інтернеті, флешки і зараження через локальні мережі. Щоб уникнути зараження по першій причині, ставитеся вкрай акуратно до всіх посилань, які надсилають вам. Навіть якщо посилання прийшла від вашого друга - при найменшій підозрі перепитаєте його, не поспішайте з нею проходити. Велика ймовірність, що у нього був вкрадений пароль і тепер від його імені всім друзям розсилають шкідливі посилання. Особливо з острахом ставитеся до посилань, які закінчуються на exe, scr.
Щоб не заразитися через флешку, ми рекомендуємо відкривати їх не через провідник Windows, а через файл-менеджер, подібний Total Commander. Якщо на флешці ви побачите файл autorun.inf і який-небудь прихований exe-файл розміром близько 20 Кб, то з високою ймовірністю можна сказати, що це - вірус. Не здумайте його запускати, попередньо не перевіривши походження файлу (по його імені) в інтернеті.
Щоб не заразитися через локальні мережі, вкрай обережно ставитеся до папок на вашому комп'ютері, які ви відкрили в загальний доступ на запис. Будь-які підозрілі exe, bat, scr, vbs-файли, приховані і невеликого обсягу можуть становити небезпеку - краще їх не запускати.
Коментарі
Maxim (27/01/2009 22:03)
вооот
Адільхан (12/08/2009 0:33)
спосибо велике ви мені дуже допомогли автор красавчик !!!
Євген (25/08/2009 13:39)
Дуже корисна стаття! Велике спасибі автору!
Andrei (25/09/2009 20:59)
Спасибі пізнавально !!!!!!!!!!
Kolt (02/10/2009 21:14)
А ще можна скачати AVZ - дуже, дуже зручно, якщо руки прямі)
Novi4ok (22/10/2009 11:42)
величезне дякую!!!
Дмитро (08/02/2010 22:13)
спасибі автору дуже корисна стаття!)
Василь (09/04/2010 13:54)
Найпростіші методи лікування флешок і запобігання - при зараженні autorun.inf флешка не хоче форматироваться звичайним способом, форматується тільки з командного рядка (файлова система ntfs з дефектної флеш), спочатку в fat32 (format I: / fs: fat32), а потім в ntfs (Convert I: / fs: ntfs / nosecurity / x), де I буква диска флешки. Потім сміливо записуємо папку з назвою вірусу.
Павло (08/07/2010 18:25)
Дякую дуже корисна інфа
олег (03/09/2010 2:04)
навіть цікаво і полеззно і допомагає спасибі
Eretik (05/03/2011 7:10)
спс за инфу !!!
Написати коментар
Які ознаки можуть свідчити про появу вірусів на комп'ютері?Чому в безпечному режимі?
Знову переглянути в ньому процеси - чи не з'явилися знову підозрілі?
Як уникнути подальшого зараження?