В последнее время настоящей чумой компьютеров стали флешечные вирусы. Существует сотни модификаций различных троянов, которые проникают на компьютеры жертв и воруют у них пароли к различным сервисам. Однако борьба с ними антивирусных компаний малоэффективна, ввиду того, что они не успевают добавлять сигнатуры вредоносного кода в свои базы с той же скоростью, с которой вирусы распространяются на компьютерах жертв. Ситуацию также усугубляет тот факт, что компьютеры, на которые попали вирусы с флешки, зачастую не имеют выхода в сеть для того, чтобы получить последние обновления антивирусных баз. Единственным правильным выходом из этой ситуации является осведомленность пользователя о методах проникновения, заражения флеш-вирусов и методах борьбы с ними.
Начнем с того, что в ОС Windows программы запускаются, а вирусы являются программами. Это означает, что ни один вирус не попадет на компьютер, пока он не будет запущен. В случае с флеш-вирусами запуск осуществляет сам пользователь. Это значит, что сам по себе процесс подключения инфицированного флеш-носителя к компьютеру является безвредным, но вот дальнейшие действия пользователя провоцируют запуск зловредной программы и заражение компьютера.
Все вирусы лезут на компьютер с флешек через одну и ту же дырку и называется она Автозапуск. Автозапуск – старейшая технология Windows, которая позволяет определить поведение компьютера в зависимости от содержимого носителя. Конкретно, за это поведение отвечает файл autorun.inf, расположенный в корне носителя. Заполнив его содержимое соответствующим образом можно указать Windows, какие действия нужно произвести в случае манипуляций пользователя с данным носителем. То есть, в этом файле хранится информация о том, что должно происходить, когда например пользователь пытается открыть его в окне «Мой компьютер» или какие действия предлагаются пользователю в окне автозапуска.
Вирусы прописывают в файл autorun.inf именно 2 последних действия путем добавления строчек:
[autorun]
Open=Virus.exe
Shell\Open=Virus.exe
Или их вариаций. Как следствие – при попытке открыть диск, пользователь запускает зловредную программу. В связи с этим существует один вполне очевидный способ избежать заражения компьютера – отключить функцию автозапуска на сменных носителях. Делается это следующим образом:
Пуск->Выполнить печатаем regedit, жмем enter.
Затем в дереве реестра переходим на следующую ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files
Затем создаем новый параметр типа строка, который называется *.*
Теперь никакой файл не может запуститься.
Теперь идем в ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
И создаем там 2 параметра типа DWORD
NoDriveTypeAutoRun со значением 91 в hex (145 целое число)
NoSaveSettings со значением 0.
Теперь Ваша машина кажется вполне защищенной от нечаянного запуска вируса.
Для упрощения этих действий можете скачать также этот файлик реестра и запустить его:
Файл реестра для запрета Автозапуска на носителях
Теперь всякие попытки проникновения на Ваш компьютер вирусов пресечены, однако вставленные компакт диски не выводят сами меню диска. Ну и ничего страшного.
Теперь рассмотрим ситуацию вторую: вирус уже проник в компьютер. К сожалению, однозначного алгоритма удаления вирусов не существует. Но некоторые советы я, пожалуй, дам.
Алгоритм поиска вируса на компьютере:
-
Определить имя файла вируса.
Я предпочитаю делать это следующим образом:
Пуск->Выполнить, команда cmd жмем Enter.Запускаем диспетчер задач (Ctrl+Shift+Esc), и вырубаем все что можно (в особенности explorer.exe ) кроме svchost.exe и cmd.exe, после чего и сам диспетчер задач(taskmgr.exe).
Теперь перед нами осталась одна лишь командная строка.
Теперь последовательно печатаем
cd C:\
dir *.exe /ash /b
Смотрим список файлов, и записываем имена.cd C:\Windows\
dir *.exe /ash /b
Смотрим список файлов, и записываем имена.cd C:\Windows\System32\
dir *.exe /ash /b
Смотрим список файлов, и записываем имена.Теперь у нас есть список файлов, которые скорее всего являются вирусами. Поясню немного эти действия. Сначала вызываем командную строку Windows, это делается запуском оболочки cmd. Затем мы смотрим 3 папки и в каждой из них выводим список исполняемых файлов с атрибутами скрытый и системный. Именно эти атрибуты всегда имеют вирусы, чтобы не быть видными пользователю. Почему я делаю это именно при помощи cmd? Потому что эта оболочка не имеет оконных процедур, которые часто используются вирусами.
Итак, у нас теперь есть имя файла, которое скорее всего нам нужно.
-
Теперь попробуем его удалить.
Печатаем для каждого из найденных имен вирусов:
taskkill /IM имя_файла.exe /T /FЭта команда принудительно завершает все процессы, этого вируса (на случай, если через в диспетчере они не видны или не завершаются).
-
Теперь сделаем этот вирус неспособным запускаться, для этого просто переименуем все исполняемые файлы:
ren директория\имя_файла.exe директория\имя_файла.exe.bak
-
Перезагрузим компьютер:
shutdown –r -
После перезагрузки жмем Пуск->Выполнить и печатаем msconfig.exe
Перед нами консоль управления компьютером. Идем на вкладку Автозагрузка и снимаем галки напротив всех файлов, которые кажутся подозрительными.
- Еще раз перезапускаем компьютер.
Этих мер вполне достаточно для того, чтобы выцепить 90% сегодняшних вирусов.
За такие посты надо награды давать, на полном серьезе!
Привет! Сам IT-ишник(думал,т.к. в профессии 6 лет), но этот пост – просто без упрёка.Чётко,доходчиво, как для колхоза…Заучу,заучу обязательно!
Редко оставляю комментарии, но действительно интересный сайт, удачи Вам!
“Дорогу одолеет идущий”. Желаю вам ни когда не останавливаться и быть творческой личностью – вечно!
Хороший пост, обычно делал все тоже самое но через Totalcmd и в безопасном режиме… всем остальным советую проверять так же папочки:
Documents and Settings
!!RECYCLER!!
и по возможности зачищять System Volume Information,
есть только один вопрос, при проникновении одного из вирусов на комп у меня появилась невозможность стандартным проводником видеть скрытые файлы, как эту проблему можно решить?
Krolm отличная статья, можно взять на заметку..
Действительно очень интересно и доходчиво! Спасибо огромнейшее, желаю Вам успеха!
Часто вирусы групповой политикой блокируют эту возможность. Немного погуглив можно найти решение:
При этом он не просто изменяет значение ключа [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
«Hidden»=dword:00000001
и
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
«CheckedValue»=dword:00000001
но меняет и тип ключа с «Параметр DWORD» на «Строковый параметр»
делая невозможным его редактирование стандартными средствами и блокируя изменения через «Сервис\Свойства папки\Вид».
Лечение:
Удаляем все файлы вируса и файл Autorun.inf удаляем ручками через поиск или в хорошем тоталкомандаре, перезагружаем компьютер.
В regedit удаляем неправельные ключи типа «Строковый параметр»
«Hidden»=0
«CheckedValue»=0
и создаём новые типа «Параметр DWORD»
«Hidden»=dword:00000001
«CheckedValue»=dword:00000001
в приведённых выше ветках.
а как бороться с тем вирусом который отключает диспетчер задач. нашел в сети как снова включить диспетчер через администратирование, но по прежденему нельзя запустить установку программ, то есть антивирус не установить и ряд других программ.
Хорошая статья, полезный сайт.
Добавлю, на флешках, которые часто втыкаю в разные компьютеры создаю папку autorun.inf – еще не видел ни одного вируса, который смог бы записать в корень файл автозапуска. И периодически с флешек удаляю из корня всякие *.exe и проверяю на месте ли еще эта папка (на всякий случай).