Чем проверяют программисты вирусы

Обновлено: 23.04.2024

Заражение сайта вирусами может привести к серьёзным последствиям: краже личных данных пользователей, перебоям в работе или блокировке страниц. И если сегодня у вас на сайте стоит надёжная защита, это не означает, что в будущем злоумышленники не придумают новые программы, которые смогут обойти её. Поэтому важно постоянно проверять свой ресурс на возможные заражения. Сделать это можно через специальные веб-сервисы, которые анализируют сайт и дают полную информацию о том, заражён он или нет.

Рассказываем подробно, что такое проверка сайта на вирусы, как понять, что ваш сайт заражён и на каких сервисах это можно проверить.

Как понять, что сайт заражён

Вирус на сайте — это код, который мошенники запускают на сайт и используют в корыстных интересах. Этот код назвали вирусом, так как он не просто вредит сайту, на который попал, но и заражает его посетителей.

Понять, что сайт заражён, можно по таким признакам:

Если заметили хотя бы пару признаков, проверьте сайт на вирусы, чтобы как можно быстрее вылечить его.

Существует метод оценки безопасности компьютерных программ и сетей через моделирование хакерских атак — пентест. Специалист находит уязвимые места сайта, тестирует их на возможность проникновения вирусов. Эти ценные для любого IT-специалиста знания можно получить на курсах по тестированию проникновений

Как сайт может заразиться

Как сайт может заразиться

Вредоносный код или вирус попадает на сайт разными путями. В большинстве случаев заражение происходит незаметно, вы даже не сразу можете обнаружить последствия. Взлом бывает целевым — когда хакеры специально хотят украсть данные с вашего сайта и нецелевым — если сайт встретился с автоматическими вирусами.

Нецелевой взлом

Сайт заражается автоматически вирусами, которые специально программируют на поиски уязвимости интернет-ресурсов. Подавляющее большинство интернет-площадок взламывают именно так.

Вот как автоматический вирус попадает на сайт:

  • Через незащищённые системы управления. Иногда у CMS нет встроенной программы для защиты от вирусов или она работает недостаточно эффективно. Например, нет такой защиты как ввод капчи или лимита на попытки ввода пароля.
  • Через устаревший или бесплатный софт. В первом случае вы не обновляете программное обеспечение, его системы защиты легко преодолеть современным вирусам. Во втором случае бесплатные программы не могут обеспечить необходимой степени защиты, у них просто не предусмотрено таких опций.
  • Из-за ошибок в коде. Сайт может быть неправильно настроен: везде используются одинаковые пароли, разработчик забывает ограничить доступ к файлам непроверенным пользователям.

Целевой взлом

Целевой взлом означает, что кто-то специально направил хакеров на ваш сайт. Такой взлом могут заказать конкуренты, чтобы парализовать работу вашей площадки или украсть данные пользователей. Хакер пытается найти точку входа на конкретном сайте: ищет уязвимые места в коде или подбирает пароли. Это дорогой способ, поэтому и используется он не так часто.

Какие бывают вирусы

Какие бывают вирусы

Разновидностей вирусов много, и хакеры постоянно придумывают новые вредоносные коды. Вот самые популярные способы заражения сайтов:

Вирусное ПО. Также бывает вредоносное программное обеспечение. Оно отличается от вирусного кода. Вредоносное программное обеспечение вы можете случайно установить на устройство, и на нём будет много разных вирусов, а вредоносный код — это веб-скрипт, он атакует сайты. Если такой код проникнет на сайт, злоумышленники используют его и для проникновения заражённого ПО на устройство.

Примеры вирусных ПО:

Как проверить сайт на вирусы

Проверка зависит от объекта исследования: проверяется контент или элементы сайта.

Проверка контента. Весь контент, который размещён на сайте, сам по себе — цель для взломщиков. Они размещают заражённые файлы в комментариях, отзывах или чатах. Более сложный, но тоже частый вариант — заражение вирусом файлов, которые есть на страницах.

Проверка элементов кода. В сравнении с проверкой контента это более глубокий метод. Способ помогает найти все вирусные элементы и вовремя их удалить. Такую проверку нужно проводить регулярно, особенно если сайт коммерческий и на нём есть система приёма платежей.

Чтобы проверить сайт, используются сервисы, которые сканируют весь контент и все элементы кода и выявляют подозрительные каталоги, файлы. Вам не нужно ничего скачивать и устанавливать на устройство: достаточно скопировать url, вбить его в специальной строке сервиса и запустить проверку.

Подборка сервисов для проверки сайта на вирусы

Онлайн-сканер проверяет веб-ресурс и даёт подробный отчёт: что за вирус, как попал на площадку, где находится и на что влияет. Рассмотрим самые удобные и надёжные варианты.

QUTTERA

Изначально сканер ориентирован на проверку зарубежных сайтов, но с проверками веб-ресурсов рунета также справляется неплохо. Он поможет проверить репутацию сайта, посмотреть, находится ли он в чёрных списках. Также сканер помогает увидеть троян и завирусованные файлы. Проверка выполняется в течение нескольких минут. Сервис бесплатный.

На сервисе есть видео о том, как проверить сайт на наличие вирусов

На сервисе есть видео о том, как проверить сайт на наличие вирусов

VirusTotal

Агрегатор нескольких антивирусных программ, который рекомендуется использовать в сочетании с другими сервисами. Он показывает оценку проверки 65 антивирусных систем. Сервис анализирует подозрительные файлы, находит червей, троянов и другие виды вирусных программ. Чтобы проверить веб-ресурс, достаточно добавить ссылку или загрузить файл на сервис. Можно проверять отдельные страницы. Есть мобильное приложение. Сервис бесплатный.

Введите url сайта или страницы в строку поиска, чтобы сервис проанализировал её

Введите url сайта или страницы в строку поиска, чтобы сервис проанализировал её

Kaspersky VirusDesk

Сканер от лаборатории Касперского позволяет проверять файлы с компьютера — для этого их нужно перетащить в специальное окно. Доступна стандартная проверка ссылок, которая оценивает репутацию сайта. Сканер изучает текущее состояние содержимого веб-ресурса: контент, файлы и скрипты. Проверка занимает несколько секунд. Сервис бесплатный.

Интерфейс сканера максимально понятный — разберётся даже новичок

Интерфейс сканера максимально понятный — разберётся даже новичок

Dr.Web онлайн

Сервис проверяет адреса отдельных страниц и сайтов, то есть урлы. Результаты проверки представляются в виде подробного отчёта, в котором указана информация о возможных вирусах, перенаправлениях на другие площадки и данные о проверке ресурсов, которые использует сайт. Сканер проверяет самые уязвимые для вирусов файлы. Проверка проводится по свежим базам данным сканера. Сервис бесплатный.

На главной странице сервиса ничего лишнего: только строка для проверки и ссылки на страницы с полезной информацией

На главной странице сервиса ничего лишнего: только строка для проверки и ссылки на страницы с полезной информацией

Antivirus Alarm

Русскоязычный сканер, который поможет проверить сайт на вирусы и вылечить его. Для проверки нужно ввести url в соответствующую строку. В сравнении с другими сервисами сканер Antivirus Alarm проверяет долго. Он сканирует ссылки и файлы, а результаты проверки предоставляет в виде подробного отчёта и инструкции, как удалить вирус и вылечить сайт. Сервис бесплатный, но есть платная услуга — устранение вируса.

На сервисе можно проверить сайт, вылечить и установить защиту. Рекомендуем познакомиться с каждым разделом — в них много полезной информации

На сервисе можно проверить сайт, вылечить и установить защиту. Рекомендуем познакомиться с каждым разделом — в них много полезной информации

Осваивайте методы защиты компьютерных программ и сайтов от вирусов и хищения конфиденциальной информации. Становитесь специалистом по этичному хакингу на курсах по кибербезопасности

Подведём итог

Проверять сайт на вирусы нужно постоянно. Отследить момент заражения чаще всего невозможно, вы можете обнаружить последствия деятельности вируса: кражу личных данных пользователей, рассылку спама, блокировку отдельных страниц, всего ресурса или устройства.

Взлом бывает нецелевым и целевым. Первый вариант встречается чаще, так как такие взломы всегда массовые и рассчитаны на поражение большого количества сайтов. Целевое заражение происходит чаще всего по заказу, например, конкурентов. Проверить сайт на наличие вирусов можно на специальных онлайн-сервисах. Они в большинстве случаев бесплатные, но на некоторых есть платные опции.


Поговорим о компьютерных вирусах? Нет, не о том, что вчера поймал ваш антивирус. Не о том, что вы скачали под видом инсталлятора очередного Photoshop. Не о rootkit-e, который стоит на вашем сервере, маскируясь под системный процесс. Не о поисковых барах, downloader-ах и другой малвари. Не о коде, который делает плохие вещи от вашего имени и хочет ваши деньги. Нет, всё это коммерция, никакой романтики…

В общем, для статьи вполне достаточно лирики, перейдем к делу. Я хочу рассказать о классическом вирусе, его структуре, основных понятиях, методах детектирования и алгоритмах, которые используются обеими сторонами для победы.

Мы будем говорить о вирусах, живущих в исполняемых файлах форматов PE и ELF, то есть о вирусах, тело которых представляет собой исполняемый код для платформы x86. Кроме того, пусть наш вирус не будет уничтожать исходный файл, полностью сохраняя его работоспособность и корректно инфицируя любой подходящий исполняемый файл. Да, ломать гораздо проще, но мы же договорились говорить о правильных вирусах, да? Чтобы материал был актуальным, я не буду тратить время на рассмотрение инфекторов старого формата COM, хотя именно на нем были обкатаны первые продвинутые техники работы с исполняемым кодом.

Начнём со свойств кода вируса. Чтобы код удобней было внедрять, разделять код и данные не хочется, поэтому обычно используется интеграция данных прямо в исполняемый код. Ну, например, так:


Все эти варианты кода при определенных условиях можно просто скопировать в память и сделать JMP на первую инструкцию. Правильно написав такой код, позаботившись о правильных смещениях, системных вызовах, чистоте стека до и после исполнения, и т.д., его можно внедрять внутрь буфера с чужим кодом.

  • Куда положить вирус? Необходимо найти достаточно места, чтобы вирус туда поместился, записать его туда, по возможности не разломав файл и так, чтобы в области, в которой вирус окажется, было разрешено исполнение кода.
  • Как передать управление на вирус? Просто положить вирус в файл недостаточно, надо еще совершить переход на его тело, а после завершения его работы вернуть управление программе-жертве. Или в другом порядке, но, в любом случае, мы же договорились не ломать ничего, да?

Исполняемый файл (PE или ELF) состоит из заголовка и набора секций. Секции – это выровненные (см. ниже) буферы с кодом или данными. При запуске файла секции копируются в память и под них выделяется память, причем совсем необязательно того объёма, который они занимали на диске. Заголовок содержит разметку секций, и сообщает загрузчику, как расположены секции в файле, когда он лежит на диске, и каким образом необходимо расположить их в памяти перед тем, как передать управление коду внутри файла. Для нас интересны три ключевых параметра для каждой секции, это psize, vsize, и flags. Psize (physical size) представляет собой размер секции на диске. Vsize (virtual size) – размер секции в памяти после загрузки файла. Flags – атрибуты секции (rwx). Psize и Vsize могут существенно различаться, например, если программист объявил в программе массив в миллион элементов, но собирается заполнять его в процессе исполнения, компилятор не увеличит psize (на диске содержимое массива хранить до запуска не нужно), а вот vsize увеличит на миллион чего-то там (в runtime для массива должно быть выделено достаточно памяти).

Флаги (атрибуты доступа) будут присвоены страницам памяти, в которые секция будет отображена. Например, секция с исполняемым кодом будет иметь атрибуты r_x (read, execute), а секция данных атрибуты rw_ (read,write). Процессор, попытавшись исполнить код на странице без флага исполнения, сгенерирует исключение, то же касается попытки записи на страницу без атрибута w, поэтому, размещая код вируса, вирмейкер должен учитывать атрибуты страниц памяти, в которых будет располагаться код вируса. Стандартные секции неинициализированных данных (например, область стека программы) до недавнего времени имели атрибуты rwx (read, write, execute), что позволяло копировать код прямо в стек и исполнять его там. Сейчас это считается немодным и небезопасным, и в последних операционных системах область стека предназначена только для данных. Разумеется, программа может и сама изменить атрибуты страницы памяти в runtime, но это усложняет реализацию.

Также, в заголовке лежит Entry Point — адрес первой инструкции, с которой начинается исполнение файла.

Необходимо упомянуть и о таком важном для вирмейкеров свойстве исполняемых файлов, как выравнивание. Для того чтобы файл оптимально читался с диска и отображался в память, секции в исполняемых файлах выровнены по границам, кратным степеням двойки, а свободное место, оставшееся от выравнивания (padding) заполнено чем-нибудь на усмотрение компилятора. Например, логично выравнивать секции по размеру страницы памяти – тогда ее удобно целиком копировать в память и назначать атрибуты. Даже вспоминать не буду про все эти выравнивания, везде, где лежит мало-мальски стандартный кусок данных или кода, его выравнивают (любой программист знает, что в километре ровно 1024 метра). Ну а описание стандартов Portable Executable (PE) и Executable Linux Format (ELF) для работающего с методами защиты исполняемого кода – это настольные книжки.

  • поставить указатель точно на начало какой-нибудь инструкции (просто так взять рандомное место в исполняемой секции и начать дизассемблирование с него нельзя, один и тот же байт может быть и опкодом инструкции, и данными)
  • определить длину инструкции (для архитектуры x86 инструкции имеют разные длины)
  • переместить указатель вперед на эту длину. Мы окажемся на начале следующей инструкции.
  • повторять, пока не решим остановиться
  1. Выбираем вкусный исполняемый файл (достаточно толстый, чтобы в него поместилось тело вируса, с нужным распределением секций и т.п.).
  2. Читаем свой код (код тела вируса).
  3. Берем несколько первых инструкций из файла-жертвы.
  4. Дописываем их к коду вируса (сохраняем информацию, необходимую для восстановления работоспособности).
  5. Дописываем к коду вируса переход на инструкцию, продолжающую исполнение кода-жертвы. Таким образом, после исполнения собственного кода вирус корректно исполнит пролог кода-жертвы.
  6. Создаем новую секцию, записываем туда код вируса и правим заголовок.
  7. На место этих первых инструкций кладем переход на код вируса.

Думаю, не надо описывать вам компоненты современного антивируса, все они крутятся вокруг одного функционала – антивирусного детектора. Монитор, проверяющий файлы на лету, сканирование дисков, проверка почтовых вложений, карантин и запоминание уже проверенных файлов – все это обвязка основного детектирующего ядра. Второй ключевой компонент антивируса – пополняемые базы признаков, без которых поддержание антивируса в актуальном состоянии невозможно. Третий, достаточно важный, но заслуживающий отдельного цикла статей компонент – мониторинг системы на предмет подозрительной деятельности.

Итак (рассматриваем классические вирусы), на входе имеем исполняемый файл и один из сотни тысяч потенциальных вирусов в нем. Давайте детектировать. Пусть это кусок исполняемого кода вируса:

  • сокрытие кода самого вируса;
  • сокрытие его точки входа.

Сокрытие точки входа (Entry Point Obscuring) в результате послужило толчком для появления в вирусных движках автоматических дизассемблеров для определения, как минимум, инструкций перехода. Вирус старается скрыть место, с которого происходит переход на его код, используя из файла то, что в итоге приводит к переходу: JMP, CALL, RET всякие, таблицы адресов и т.п. Таким образом, вирус затрудняет указание смещения сигнатуры.

Гораздо более подробно некоторые алгоритмы таких движков и детектора мы посмотрим во второй статье, которую я планирую написать в ближайшее время.

Рассмотренный в статье детектор легко детектирует неполиморфные (мономорфными их назвать, что ли) вирусы. Ну а переход к полиморфным вирусам является отличным поводом, наконец, завершить эту статью, пообещав вернуться к более интересным методам сокрытия исполняемого кода во второй части.

В практике исследования исполняемых файлов с возможным вредоносным функционалом имеется богатый арсенал инструментария — от статического анализа с дизассемблированием до динамического анализа с отладчиками. В настоящем обзоре я не буду пытаться дать информацию по всем возможным приёмам, поскольку они требуют некоторых специфических знаний, однако я хотел бы вооружить неискушённого пользователя набором приёмов, которые позволяют довольно быстро провести анализ неизвестного файла.

Итак, ситуация: у нас есть странный файл с подозрением на вредоносность, при этом существующий мультисканеры типа VirusTotal не дают никакой информации. Что же делать?

ОНЛАЙН-ПЕСОЧНИЦЫ

В сети имеется ряд проектов по информационной безопасности, реализующий свои решения в качестве отдельно работающих виртуализированных систем для исполнения кода с последующим анализом произведённых изменений. Как правило, у этих проектов имеются онлайн-версии таких систем с бесплатным использованием. Вы можете благополучно загрузить подозрительный файл и через некоторое время получить полную информацию о том, что он делает, будучи запущен в системе.

ThreatExpert
Система ThreatExpert осуществляет сравнение снимков системы до и после запуска, а также перехват некоторых API в ходе выполнения кода. В результате, Вы получаете отчёт со следующей информацией:

• Какие новые процессы, файлы, ключи реестра и мутексы были созданы в ходе выполнения кода.
• C какими хостами и IP проводилось соединение, также приводятся шестнадцатеричные и ASCII-дампы данных обмена.
• Имеется ли детект популярных антивирусов на присланный файл и файлы, созданные в ходе выполнения.
• Какова возможная страна происхождения кода на основании языковых ресурсов и прочих следов, найденных в коде.
• Возможная категория угрозы (кейлоггер, бэкдор и т.д.) и её уровень.
• Скриншоты новых окон, если таковые были отображены в ходе выполнения.

Возможна регистрация на сайте, в таком случае история всех Ваших анализов будет сохранена, и Вы в любой момент можете её вызвать. Возможна установка программы Submission Applet и автоматическая отправка файлов на анализ из контекстного меню Проводника.

CWSandbox — разработка University of Mannheim, которые продают эту систему. Однако, анализ можно провести в онлайн бесплатно.
Особенностью этой песочницы является то, что анализ выполняется в результате инжектирования библиотеки песочницы в исполняемый код и перехвата всех API-вызовов. Понятно, что если выполняется вызов нативных API либо работа в режиме ядра, песочница не работает. Тем не менее, благодаря тому, что проводится анализ реально работающего файла, CWSandbox иногда даёт большую информпцию, чем все остальные.

Бесплатная онлайн версия имеет ряд ограничений, по сравнению с коммерческой:

• Возможен анализ только РЕ-файлов. Платная версия позволяет анализировать BHO, zip-архивы, документы Microsoft Office.
• В бесплатной версии возможна только загрузка через веб-интерфейс. В платной возможен прим файлов на анализ по почте, через honeypot и др.
• В платной версии возможен выбор проведения анализ в виртуальной среде или на реальной системе.
• Коммерческая версия включает в себя анализ файлов, скачиваемых в ходе выполнения кода, созданный в системных папках или инжектированных в другие процессы.

Anubis
Anubis — один из самый распространённых вариантов песочницы, ставший популярный благодаря исчерпывающему содержанию отчётов и скорости ответа. Некоторые особенности этой системы:

• Возможность указания URL вместо самого вредоносного файла. В таком случае система загрузит указанный URL в Internet Explorer и проанализирует поведение системы.
• Вместе с исследуемым файлом можно загрузить дополнительные библиотеки (в zip-архиве без пароля или с паролем “infected”). Этот приём очень удобен для анализа вредоносных динамических библиотек (если єто так же интересно — отпишитесь в комментах, можно будет посвятить отдельную статью).
• Отчёт предоставляется в различных форматах — HTML, XML, plain text, PDF, также возможно скачивание полного сетевого дампа, полученного в ходе анализа.
• Возможна загрузка файлов в Anubis посредством SSL (удобно, если вас блокирует антивирус на проксе).

Joebox
И наконец — он. Joebox, Великий и Ужасный. Будучи результатом трудов Стэфана Бульманна, на мой взгляд Joebox — самая мощная система для анализа. Особенностью этой системы является то, что она единственная осуществляет перехваты SSDT и EAT ядра в ходе анализа файлов. С одной стороны, это приводит к потере небольшого количества информации вызовов верхнего уровня (например, создание новых процессов посредством ShellExecute или WinExec), однако с другой стороны позволяет изучать вредоносные файлы, работающие с нативными API или в режиме ядра. Кроме того, Joebox предоставляет следующие возможности в анализе:

• Joebox поддерживает загрузку и изучение поведения исполняемых файлов, DLL, драйверов ядра, документов Microsoft Word, PDF-файлов и др.
• Вы можете выбрать среду выполнения кода:Windows XP, Windows Vista, или Windows 7.
• Вы можете выбрать выполнение кода в виртуальной среде либо на реальной системе (в последнем случае реализуется решение на базе FOG)
• Возможно получение полного дампа сетевого трафика, накопленного в ходе анализа.
• Имеется поддержка модулей популярных песочниц amun и nepenthes для автоматической загрузки новых образцов из песочниц в Joebox.
• Имеется поддержка скриптов AutoIT19 для организации контролируемой среды выполнения вредоносных файлов в Joebox.

Особенную важность, на мой взгляд, имеет именно поддержка скриптового языка. На сайте проекта имеется описание возможных функций и их толкование, укажу только на наиболее популярные.

Точно так же можно анализировать BHO — достаточно прописать нужные ключи в реестр. Однако часто возникает проблема: AppInit_DLLs справедлив только для вновь созданных процессов, как быть, если инжект нужно сделать в explorer.exe? Для этого подойдёт следующий скрипт:
Script
Func KillProcess($process)
Local $hproc
Local $pid = ProcessExists($process)
If $pid = 0 Then
Return
EndIf
$hproc = DllCall(
“kernel32.dll”, “hwnd”, “OpenProcess”,
“dword”, BitOR(0x0400,0x0004,0x0001),
“int”, 0, “dword”, $pid)
If UBound($hproc) > 0 Then
If $hproc[0] = 0 Then Return
Else
Return
EndIf
$hproc = $hproc[0]
Local $code = DllStructCreate(“dword”)
$ret = DllCall(
“kernel32.dll”, “int”, “TerminateProcess”,
“hwnd”, $hproc, “uint”, DllStructGetData($code,1))
Return
EndFunc
_JBSetSystem(“xp”)
_JBStartAnalysis()
_JBStartSniffer()
$NewFile = @SystemDir & “/” & “malware.dll”
FileCopy(“c:\malware.dll”, $NewFile, 1)
RegWrite(
“HKLM\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows”,
“AppInit_DLLs”, “REG_SZ”, “malware.dll”)
KillProcess(“explorer.exe”)
; убиваем процесс, который автоматически будет перезапущен winlogon.exe
Sleep(10000)
_JBStopSniffer()
_JBStopAnalysis()
EndScript

3. Если необходимо, чтобы обращение в сеть происходило из определённой страны, можно сконфигурировать прокси в выполняемой среде Joebox:
Script
_JBSetSystem(“xp”)
_JBStartAnalysis()
_JBStartSniffer()
$ProxyServer = “1.2.3.4:8080”
; определяем нашу проксю
RegWrite(
“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”,
“ProxyServer”, “REG_SZ”, $ProxyServer)
RegWrite(
“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”,
“ProxyEnable”, “REG_DWORD”, 1)
; и включаем её в настройках
_JBLoadProvidedBin()
Sleep(10000)
_JBStopSniffer()
_JBStopAnalysis()

Безусловно, наличие такой гибкости и богатства возможностей делает Joebox одним из самых востребованных песочниц — и в этом его худшая сторона. Мне приходилось ждать иногда по несколько дней, пока придёт результат анализа. Что же, авторы предлагают купить свою собственную копию этой замечательной песочницы, но довольно за дорого. Как же построить свою собственную систему для анализа файлов без особенных затрат — об этом будет в следующей статье, если, конечно, Хабраобщество одобрит этот опус и у меня окончательно не растает карма ;)

P.S. Примеры других онлайн-песочниц:

Спасибо ahtox74 за напоминание.

P.S. автор не несет ответственности за ваши кривые руки

и не способность понять элементарные вещи. Все изменения, которые вы будете вносить в настройках

вашего компьютера, вы делаете на свой страх и риск!

Привет, друзья! Ну, надеюсь я вас не напугал своим вступлением) Просто хотелось хоть как-то оградить нас с вами от недалеких особ, неспособных к пониманию простых вещей.

Данный пост о том как почистить свой комп от вирусов. Способ проверенный и дает гарантию на удаление всех известных микробов (вирусов) на вашем компуктере. (99,9%) Да-да, как Domestos для наших унитазов.

- ДА ЗАДОЛБАЛ ТЫ. ДАВАЙ УЖЕ НАЧИНАЙ.

- Все все, простите, хватит воды начинаю: )

И так первое, что необходимо сделать это зайти в классическую панель управления.

Нажать на слово "категория" и выбрать вид "крупные значки."

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

в появившемся меню кликнуть по значку "Параметры проводника" в windows 7 данная иконка называется "Параметры папок"

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

После чего откроется окно, в котором:

1 перейти на вкладку вид

2 спуститься в самый низ колесиком мышки в окошке "дополнительные параметры" (подчеркнуто зеленым) и снять все галочки с нижних пунктов параметров.

3 поставить точку напротив параметра "показывать скрытые файлы, папки и диски"

4 Нажимаем кнопку применить.

5 Жмем ок и выходим из Панели управления.

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Таким образом у нас с вами появляется доступ к скрытым системным файлам и папкам. Под которые успешно маскируются вирусы выдавая себя за безобидные родные файлы windows.

Далее заходим в "мой компьютер" и заходим на системный диск. (Это тот раздел жесткого диска на котором установлена windows) обычно этот диск называется Локальный диск C:

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

После того как зашли в диск первое, что важно сделать это один раз кликнуть левой не правой а ЛЕВОЙ. кнопкой мыши по папке "$RECYCLE.BIN" после того как папка под светится голубой рамкой, зажмите на клавиатуре сочетание клавиш Shift+delete ( клавишу "+" нажимать не надо, ну это так на всякий случай) и нажать кнопку "продолжить" в появившемся окне. Если появляется надпись на подобие "Действие не может быть выполнено, так как этот файл открыт в. " то поставьте галочку напротив фразы "Выполнить для всех текущих элементов" и нажмите кнопку "Пропустить." рис. 2 Важно. Проверьте в появившемся окне (подчеркнуто зеленым рис.1) должно быть написано "$RECYCLE.BIN " Потому как данное сочетание клавиш "Shift+delete" это УДАЛЕНИЕ!, которое минует "Корзину". Просто, чтобы вы случайно не удалили какую-нибудь другую важную папку. Кстати о корзине. Папку которую мы удаляем это системная папка корзины. В ней довольно часто поселяются вирусы. Удалять эту папку можно без ОПАСЕНИЯ, так как корзина никуда не денется более того данная папка автоматом восстанавливается. А вот вирусы которые в ней есть (если они вдруг есть) удаляются.

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Теперь после удаления папки "$RECYCLE.BIN" переходим к папке "windows" НЕТ! НЕТ! ее мы не удаляем))) Просто заходим в данную папку. Там нас интересуют две папки это "Prefetch" и папка "Temp" сами папки мы тоже не удаляем, а просто сначала открываем папку "Prefetch" и нажимаем комбинацию клавиш ctrl+A (A английскую) эта функция выделит все файлы разом в папке. После чего зажимаем уже знакомую нам комбинацию клавиш Shift+delete затем можно смело нажать клавишу Enter. Снова появится окно как на рисунке 2) с фразой: " Действие не может быть выполнено. " Действуем также, ставим галочку напротив "выполнить для всех. " и жмем кнопку пропустить. Также данные файлы смело удаляем! Не буду углубляться что это за файлы, так как и так пост довольно длинный. Скажу одно эти файлы создаются системой для так называемого ускорения загрузки самой системы и программ. Они не являются важными и система прекрасно их при необходимости восстанавливает без какого либо ущерба. Но данную папку также важно почистить от этих файлов так как среди них также могут сидеть вирусы. После чего выходим из этой папки "Prefetch" и заходим в папку "temp" поступаем с файлами в этой папки также как и с предыдущими. То-есть удаляем. нажимаем комбинацию клавиш ctrl+A

затем Shift+delete и клавишу Enter. Надеюсь этот момент мы с вами уяснили что сами папки "Prefetch" и "temp" мы не удаляем а удаляем файлы внутри этих папок.

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Идем дальше. Теперь выходим из папки "windows" и заходим в папку "пользователи"

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

В папке пользователи нужно зайти в папку с вашим именем учетной записи. У меня она называется "maksk" у вас естественно она называется по другому.

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Далее нас интересует папка "AppData"

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

И теперь в данной папке мы видим три раздела. рисунок ниже

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Открываем сначала папку Local, в ней также полно разных папок, для начала можно смело удалить файлы, которые находятся в самом низу начинаясь от папки "temp" Важно! Удаляем только файлы а не папки. Так же чтобы не повторятся сразу уясним один момент все удаления делаем комбинацией клавиш Shift+delete и подтверждаем клавишей Enter. Только ТАК! И еще чтобы не повторяться все файлы, которые мы будем удалять в дальнейшем не являются критически важными. Так что ничего не бойтесь. А если все же боитесь то можете погуглить за что отвечает тот или иной файл/папка.

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Как вы уже наверно заметили в этой папке также присутствует папка "temp" и кто бы мог подумать, папку темп тоже нужно открыть и удалить все файлы в ней.

После того как почистили папку темп выходим из папки "Local" и заходим в папку "LocalLow" и проверяем есть ли в ней папка "temp" если есть, вот тут ВНИМАНИЕ! удаляем всю папку целиком. Далее выходим из папки "LocalLow" и открываем папку "Roaming" в ней так же ищем папку "temp" и если она там присутствует то смело удаляем всю папку. То есть что в итоге? А в итоге то что папка "temp" может быть только в папке "Local"! в папках "LocalLow" и "Roaming" папок темп быть не должно. Если они там есть их удаляем полностью. (Ломай ее полностью..))

Ну что друзья мои? Можем передохнуть. Пол дела сделали)

Вот вам шутка: В деревне программистом называют того, кто умеет включать компьютер)

И так после того как я окончательно разочаровал вас в своем чувстве юмора, можем продолжать)

Теперь дошло время и до специальных программ. Все программы и ссылки на их скачивания являются официальными и бесплатными! И первая ссылка на чистящую программу CCleaner, это не антивирус до них мы еще дойдем. Короче вот вам ссылка на официальный сайт https://www.ccleaner.com/ru-ru/ccleaner/download заходим спускаемся в самый низ сайта и нажимаем на кнопку CCleaner.com под словом "скачать"

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

после того как скачаете установочный файл данной программы, запустите его от имени администратора. Делается это так: Наводим курсор на скаченный файл и жмем правую кнопку мыши. Выбираем пункт в контекстном меню "запустить от имени администратора" и устанавливаем программу себе на комп.

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Обязательно во время установки выберите русский язык. А то потом запутаетесь.

После того как программа установится на комп, появится ярлык на рабочем столе. Запускаем его так же от имени админа. И попадаем вот в такой интерфейс программы:

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

выставляем все галочки так как показано на рисунке выше. после чего переходим во вкладку приложения и ставим галки как на рисунке ниже

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

далее нажимаем на кнопку анализ внизу окна программы после того как программа проанализирует все ненужные файлы жмем кнопку очистить, которая внизу с право.

Внимание! Перед очисткой закройте свой браузер, для корректной работы программы CCleaner

После очистки переходим в раздел реестр. и выставляем все галочки в данном разделе как на рисунке ниже

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Следующим этапом будет переход в раздел сервис. рисунок ниже. В данном раздела будьте очень внимательны и осторожны, дабы не удалить и не отключить чего важного. В разделе сервис есть так называемые подразделы нас интересует в частности подраздел "автозагрузка" так как вирусы очень часто используют файлы автозапуска. Соответственно при каждом включении компьютера вирус вместе с запуском системы начинает свое гадкое дело на наших ПК.

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Итак, мы перешли в раздел сервис 1, перешли на подраздел автозагрузка 2 и находимся во вкладке windows 3. В данной вкладки если есть что-то на подобии mail.ru или название каких либо неизвестных вам приложений. выберите их наведя курсор на элемент а нажав один раз левой кнопкой мыши. После чего в верхнем правом углу панели программы нажмите кнопку отключить. Главное не жмите удалить. Объясню почему. Просто если вы случайно просто отключите какое-нибудь нужное вам приложение посчитав его за вредоносное то вы всегда сможете его включить обратно. А вот если вы удалите то будет сложно потом найти нужный файл чтобы он потом запускался. Но как правило в данной вкладке обычно все можно отрубать без каких либо последствий. Кроме антивируса. и драйверов. Просто в любом случае я обязан был вас предупредить о возможных подводных камнях. Далее переходим на вкладку "запланированные задачи" рисунок ниже.

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

здесь тоже можем вырубить все подозрительное кроме опять же драйверов и антивируса. В любом случае если что-то потом не будет работать просто включите обратно что отключили.

Все! На этом CCleaner можно закрывать и идти скачивать следующую утилиту.

Переходим по данной ссылки https://ru.malwarebytes.com/adwcleaner/ и скачиваем adwcleaner эта мощная и надежная бесплатная утилита, которая прекрасно чистит браузер от надоедливых вирусных рекламных баннеров, и раздражающих переадресаций. Таких как например пытаетесь зайти на пикабу, а вам открывается сайт "казино вулкан" вот эта прога прекрасно лечит браузер от заразы. Как ей пользоваться. Все очень просто, запускаем скаченный файл от имени администратора, соглашаетесь с лицензионным соглашением и запускаете кнопку сканировать. Вот и все) прога быстро отсканит браузер и найдет всякую вредоносную заразу и нежелательные расширения с плагинами. Выглядит утилита вот так: рисунок ниже.

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Теперь еще один важный момент. Иногда вирусы поселяются в корневой папке браузера и даже могут быть прописаны в настройках реестра windows. Поэтому что делаем дальше. находим ярлык браузера на рабочем столе. Важно не тот значок который как правило у вас внизу экрана монитора на панели задач, а именно ярлык на рабочем столе он нам и нужен. кликаем по ярлыку браузера правой кнопкой мыши и в контекстном меню выбираем параметр свойства. В открывшемся окне нас интересуют два пути. Это объект и рабочая папка. Они выделены красным на рисунке ниже. и смотрим в пути Объект строка должна заканчиваться словом chrome.exe" если у вас гугл хром, если яндекс, то соответственно яндекс и так далее. В зависимости от того какой у вас браузер. если после окончания exe" у вас стоит еще какая-нибудь лабуда по типу опять же пресловутый маил или амиго или еще какая надпись. Смело ее стираете, до надписи chrome.exe" или что там у вас за браузер. В пути рабочая папка в конце должна быть надпись Application"

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

Далее ниже мы видим кнопку расположение файла кликаем на нее

В открывшемся окне должны быть только эти два файла. которые указанны ниже. на рисунке. Если есть другие особенно с окончанием .bat, tmp или .cmd то смело удаляем.

Удаление вирусов с компьютера Антивирус, Компьютерная помощь, Компьютер, Ccleaner, Malwarebytes, Чистка, Длиннопост

запустить от имени админа и установить на ПК. После установки программа появится на рабочем столе. Открываем ярлык и видим вот такой интерфейс. Первое что нужно сделать это нажать на кнопку "текущая версия" она находится в правом нижнем углу интерфейса программы, если ее не видно просто раскройте окно программы во весь экран. чтобы программа обновила вирусную базу данных сигнатур. Затем перейти в раздел параметры и во вкладке "защита" включить галочку проверка на наличие руткитов. затем закрываем прогу. И делаем вот что. зажимаем комбинацию клавиш ⊞ Windows+R появится строка поиска в данную строку пишем такое слово msconfig и жмем ок. Откроется окно конфигурации и ставим галочку напротив безопасного режима, жмем применить и ок перезагружаем комп и оказываемся в безопасном режиме. И вот теперь можно запустить антивирус и нажать кнопку "запустить проверку" после проверки если будут найдены вирусы антивирус попросит вас перезагрузить еще раз комп. Сделайте перезагрузку. Если комп после перезагрузки снова загрузится в безопасном режиме просто повторите процедуру с нажатием клавиш ⊞ Windows+R вписываем msconfig и убираем

галку с безопасного режима жмем применить потом окей и перезагружаемся. Поздравляю вы успешно сломали себе комп! ШУТКА)) Если делали все с умом и строго следовали руководству то комп почищен от вирусов. Да, друзья простите что дальше нет рисунков. К сожалению пост получился очень большой и я исчерпал лимит блоков. Надеюсь что у вас все получится, главное внимательно читайте и перепроверяйте полученную информацию. Также не забудьте после всего проделанного зайти снова в панель управления выбрать параметры проводника перейти во вкладку "вид" и поставить обратно галочки и точку напротив параметра "не показывать системные файлы папки и диски"

Рад был вам помочь. Если что не понятно пишите комментарии подскажу расскажу. Всего вам доброго увидимся в следующих постах)

Читайте также: