Учу вирус или нет

Обновлено: 18.04.2024

Довольно часто встречается ситуация, что компьютерные вирусы маскируются под системные процессы. Один из самых распространенных вариантов - вирус svchost.exe . Из-за того, что копий этого процесса в работе операционной системы Windows должно быть запущенно довольно много, вредоносному коду удается затеряться среди нормальных процессов системы.

Вы должны иметь представление о самом предназначении процесса svchost.exe, и уметь определять вирус, маскирующийся под этот процесс. Это необходимо для успешного удаления.

Для чего нужен процесс svchost.exe

Данный процесс используется системой Windows, для обеспечения работоспособности ее функций. Процесс обеспечивает работу сервисов и программ, которые работают с динамическими DLL библиотеками. При проверке запущенных процессов через диспетчер задач, вы увидите несколько копий svchost.exe - это совершенно нормально.

В качестве папок, в которых может располагаться системный процесс svchost.exe могут быть следующие варианты:

  • %system-disk%\windows\
  • %system-disk%\Мои документы\
  • %system-disk%\Windows\System32\drivers
  • %system-disk%\Windows\System32\
  • %system-disk%\Program Files\Common Files

Где переменная %system-disk% означает букву диска, на котором установлена операционная система Windows. Чаще всего это диск " С ".

Чтобы проверить месторасположения процесса, в диспетчере задач кликните на него правой кнопкой мыши, и выберите пункт " Открыть место хранения файла " или " Свойства ".

Проверяем место расположения процесса svchost

Если вы выбрали просмотр папки, где располагается процесс, она откроется в окне диспетчера файлов. Если вы решили просмотреть этот параметр через свойства, то вам нужен пункт " Расположение ".

Обратите внимание ! Нельзя диагностировать заражение процесса, основываясь только на его месторасположении, на системном диске.

Joint Commission International

Участник программы государственных гарантий бесплатного оказания гражданам медицинской помощи

Сертификат Росздравнадзора


Клиника является первым частным медицинским учреждением России и единственным в Москве и области, успешно прошедшим процедуру сертификации Росздравнадзора (Сертификат №0023/01КБМД от 10.10.2019 г.).

ВИЧ и СПИД – отличия, длительность развития, прогнозы

СПИД – это конечная стадия ВИЧ, которая характеризуется сильно сниженным иммунитетом. Важно не путать два этих понятия. С момента инфицирования ВИЧ болезнь до стадии СПИДа без лечения может развиваться в течение 9-11 лет (в среднем). При постановке диагноза СПИД без лечения продолжительность жизни короткая – в среднем до 19 месяцев.

Если вовремя начать лечение, то на стадии ВИЧ можно прожить очень долгую жизнь – продолжительность жизни таких пациентов благодаря современному лечению составляет 20-50 лет. И хоть при стадии СПИД ситуация гораздо сложнее, но многие пациенты при должном лечении и крепком организме могут прожить более 10 лет.

Очевидно, что прием терапии – важнейший фактор для лечения ВИЧ и полноценной долгой жизни. Более того, именно лечение позволяет значительно снизить вирусную нагрузку и сделать зараженного человека неопасным для партнера, а также членов семьи.

Пути передачи ВИЧ

Основные пути заражения ВИЧ:

  • незащищенный секс с зараженным человеком (самый распространенный путь передачи ВИЧ). Заразиться можно как после однократного контакта, так и после нескольких;
  • использование иглы для введения наркотиков после зараженного человека. Либо другие варианты ситуаций, при которых происходит контакт крови здорового человека с кровью зараженного;
  • передача от матери к плоду во время родов или от матери ребенку во время вскармливания. Важная ремарка: если женщина лечится и находится под контролем врачей, у нее есть все шансы родить здорового малыша;
  • переливание инфицированной крови. В современных клиниках и больницах это уже исключено, поскольку все материалы проходят очень серьезную проверку.

Также выделяют так называемые группы риска – это люди, которые больше других подвержены заражению ВИЧ:

  • люди, ведущие беспорядочную половую жизнь;
  • гомосексуалисты;
  • наркоманы, которые колют инъекции;
  • люди с партнером, зараженным вирусом.

Такие люди должны постоянно сдавать анализ. В ряде случаев им рекомендованы профилактические препараты (только по рекомендации врача).

Говоря о том, как можно заразиться ВИЧ, следует уточнить, в каких случаях это невозможно:

  • во время бытовых контактов;
  • при использовании посуды инфицированного;
  • при укусе насекомого;
  • при поцелуе.

Контакт с ВИЧ-зараженным на бытовом уровне (в семье, на работе, в другом формате общения) абсолютно безопасен и не несет никакой угрозы для окружающих.

Основные стадии заболевания

ВИЧ

Стадии ВИЧ делятся на следующие:

  • инкубационная. Это стадия, на которой происходит заражение и последующее размножение вируса в крови. Она длится до шести недель, иногда меньше. Даже будучи зараженным, на этом этапе человек не увидит явных признаков, а анализ крови не покажет, что в крови есть антитела;
  • первичная. Здесь уже могут появиться первые признаки инфекции. Длится вторая стадия в течение 3 недель – в это время появляются антитела, вирус определяется лабораторно;
  • субклиническая. Появляется первый признак болезни – увеличенные лимфоузлы. Ппациент чувствует себя полностью здоровым, на самочувствие не жалуется;
  • появление вторичных заболеваний. Иммунитет начинает давать сбои, из-за чего проявляются самые разные болезни: от частых простуд и кандидоза до пневмоний, туберкулеза;
  • терминальная. Стадия предполагает истощение (довольно быстрое и прогрессирующее), а также последующую смерть больного.

Стадии не имеют единственно верных временных рамок – они могут отличаться у разных людей. Например, часто ВИЧ-инфицированные годами чувствуют себя хорошо или не обращают внимание на небольшие признаки. Болезнь обнаруживается только на стадии сильного ухудшениям самочувствия или благодаря случайным анализам.

Симптомы ВИЧ

Выяснив, как передается ВИЧ, нужно разобраться с симптомами. Проблема в том, что эти симптомы проявляются на ранней стадии, затем пропадают и долгое время больше не беспокоят человека – буквально годами. А еще они очень похожи на проявления других болезней, что может вводить в заблуждение.

Так, на первом этапе, когда вирус себя проявил, человек может чувствовать:

  • боль в горле, повышение температуры;
  • болезненность кожи, суставов, костей4
  • озноб, лихорадку.

Одновременно с этим увеличиваются шейные лимфоузлы, могут проявиться разные высыпания. Все это часто принимается за признаки ОРВИ или других подобных болезней.

Новые симптомы ВИЧ возвращаются через несколько лет спокойной и здоровой жизни. К ним относятся:

  • сильная усталость, быстрая утомляемость;
  • увеличение лимфоузлов – не только шейных, а уже нескольких групп;
  • снижение веса. Обычно оно выглядит беспричинным, человек не понимает, в чем дело;
  • лихорадка, озноб, потливость (преимущественно ночная);
  • проблемы с ЖКТ – обычно проявляются жидким стулом без видимых на то причин.

На этом этапе, как правило, и обнаруживается заболевание – потому что пациент обращается к врачу, а специалист назначает дополнительное обследование.

Как диагностируют ВИЧ в Москве

ВИЧ

Для диагностики вируса есть два теста: предварительный ИФА и максимально точный иммуноблот. Точность ИФА составляет около 90%. Его рекомендуют проводить через 3-6 месяцев после контакта с вирусом, тогда он дает максимальную точность. Обычный тест ИФА основан на анализе крови, есть также экспресс-тесты, которые помогают получить информацию на основе мочи или слюны. Такие тексты покупают исключительно в аптеке (ни в коем случае не в интернете!), поскольку необходимо использовать официально утвержденные изделия.

Важно: тест не показывает, как передается ВИЧ в конкретной ситуации – то есть определить путь заражения можно только путем анализа собственных действий.

Лечение ВИЧ

Лечение сводится к назначению антиретровирусной терапии. Пациенту составляют схему приема препаратов – и ее нужно соблюдать максимально точно, не отклоняясь от программы. В противном случае вирус может выработать устойчивость к лечению и не поддаваться дальнейшему подавлению.

Показателями качественного лечения являются снижение вирусной нагрузки, а также увеличение в крови клеток CD4+, которое говорит об активности иммунитета.

Лекарства для лечения выдаются в медицинских учреждениях, пациенты ставятся на учет и получают препараты бесплатно, в установленном порядке. Информация о заболевании является конфиденциальной – она не направляется на работу, место учебы или в другие места. Пациент имеет право оставить ее втайне (если это не предусмотрено отдельными рабочими договорами).

При соблюдении правил приема терапии вирус в крови постепенно снижается, со временем пациент становится полностью безопасным для своего полового партнера и не способен никого заразить.

Профилактика ВИЧ-инфекции

Первое и главное правило – регулярно проверяться на ВИЧ даже в том случае, если вы не имели подозрительных контактов. Рекомендуется обследоваться раз в полгода – тем более для этого есть удобные экспресс-тесты.

Внимательно нужно относиться и к выбору партнеров. Не стоит верить на слово человеку, который говорит, что он точно не болеет – лучше попросить результаты исследования и самостоятельно убедиться, что ему можно доверять. Но помните, что в течение полугода даже зараженная кровь может не давать положительных результатов.

Профилактика ВИЧ заключается в следующих моментах:

  • защищенный секс с непостоянными половыми партнерами, а также постоянными, если нет уверенности в том, что партнер не болен или хранит верность;
  • исключение из жизни наркотиков, беспорядочных половых связей;
  • соблюдение общей гигиены. Не стоит делиться бритвой, зубной щеткой, кусачками для ногтей и другими предметами, которые могут контактировать с маленькими ранками.

Главная профилактика заключается в том, чтобы знать об инфекции и всегда помнить об опасности заражения.

Популярные вопросы-ответы про ВИЧ

Как проявляется ВИЧ у мужчин и женщин?

Симптомы ВИЧ у женщин ровно такие же, как и симптомы ВИЧ у мужчин. Проявления могут отличаться только на уровне заболеваний мочеполовой сферы, когда организм уже сильно ослаблен – например, у женщин чаще проявляется молочница. В остальном специфических признаков по полу не наблюдается.

Лечится ли ВИЧ?

Технически можно сказать, что ВИЧ не лечится – пациентам постоянно показана специальная терапия. Но те результаты, которых она позволяет добиться, делают из пациента здорового человека, который может спокойно прожить десятки лет без особых проблем – нужно только постоянно принимать препараты и следить за здоровьем.

ВИЧ давно не является смертельным заболеванием!

ВИЧ – это болезнь наркоманов и людей с беспорядочным образом жизни?

Кто такие ВИЧ-диссиденты?

Это люди, которые вопреки научным данным и здравому смыслу отрицают существование вируса. Они отказываются от лечения, что неминуемо ведет к ранней смерти. Такие люди опасны и тем, что из-за отсутствия лечения распространяют вирус среди своих половых партнеров, не предупреждая их о возможной опасности (поскольку не считают, что она есть).

Успех лечения ВИЧ и долгой жизни заключается в том, чтобы как можно раньше обратиться за помощью и начать терапию. В этом случае человека ждет долгая жизнь без страхов и сложностей.

В этой статье рассказано о вирусах, заражающих ЕХЕ-файлы. Приведена классификация таких вирусов, подробно рассмотрены алгоритмы их работы, отличия между ними достоинства и недостатки.

Вирусы — это хорошая гимнастика для ума, хотя многие думают, что написать вирус на языке высокого уровня весьма трудно. Это не совсем так. Писать на языке Pascal довольно легко, правда величина полученного кода вызывает благоговейный трепет.

Для каждого типа вирусов представлены исходные тексты с подробными комментариями.Также приведены основные сведения о структуре и принципах работы ЕХЕ-программы.

Структура и процесс загрузки ЕХЕ-программы

В отличие от СОМ-программ, ЕХЕ-программы могут состоять из нескольких сегментов (кодов, данных, стека). Они могут занимать больше 64Кбайт.ЕХЕ-файл имеет заголовок, который используется при его загрузке.Заголовок состоит из форматированной части, содержащей сигнатуру и данные, необходимые для загрузки ЕХЕ-файла, и таблицы для настройки адресов (Relocation Table). Таблица состоит из значений в формате сегмент:смещение. К смещениям в загрузочном модуле, на которые указывают значения в таблице, после загрузки программы в память должен быть прибавлен сегментный адрес, с которого загружена программа.

При запуске ЕХЕ-программы системным загрузчиком (вызовом функции DOS 4Bh) выполняются следующие действия:

1. Определяется сегментный адрес свободного участка памяти,размер

которого достаточен для размещения программы.

2.Создается и заполняется блок памяти для переменных среды.

3.Создается блок памяти для PSP и программы (сегментЮОООЬ — PSP;

В поля PSP заносятся соответствующие значения.

4.Адрес DTA устанавливается равным PSP:0080h.

5.В рабочую область загрузчика считывается форматированная часть

заголовка ЕХЕ-файла.

6.Вычисляется длина загрузочного модуля по формуле:

7.Определяется смещение загрузочного модуля в файле, равное

8.Вычисляется сегментный адрес (START_SEG) для загрузки -обычно это PSP+lOh.

9.Считывается в память загрузочный модуль (начиная с адреса

10.Для каждого входа таблицы настройки:

a)читаются слова I_OFF и I_SEG;

c)читается слово по адресу RELO_SEG:I_OFF;

d)к прочитанному слову прибавляется START_SEG;

e)результат запоминается по тому же адресу (RELO_SEG:I_OFF).

11.Распределяется память для программы в соответствии с МахМет

12.Инициализируются регистры, выполняется программа:

b) АХ=результат проверки правильности идентификаторов драйверов, указанных в командной строке;

ЕХЕ-вирусы условно можно разделить на группы, используя в качестве признака для деления особенности алгоритма. Вирусы, замещающие программный код (Overwrite) Такие вирусы уже стали раритетом. Главный их недостаток — слишком грубая работа. Инфицированные программы не исполняются, так как вирус записывается поверх программного кода, не сохраняя его. При запуске вирус ищет очередную жертву (или жертвы), открывает найденный файл для редактирования и записывает свое тело в начало программы, не сохраняя оригинальный код. Инфицированные этими вирусами программы лечению не подлежат.

Эти вирусы получили свое название из-за алгоритма размножения:

к каждому инфицированному файлу создается файл-спутник. Рассмотрим более подробно два типа вирусов этой группы:

Вирусы первого типа размножается следующим образом. Для каждого инфицируемого ЕХЕ-файла в том же каталоге создается файл с вирусным кодом, имеющий такое же имя, что и ЕХЕ-файл, но с расширением СОМ. Вирус активируется, если при запуске программы в командной строке указано только имя исполняемого файла. Дело в том, что, если не указано расширение файла, DOS сначала ищет в текущем каталоге файл с заданным именем и расширением СОМ. Если СОМ-файл с таким именем не найден, ведется поиск одноименного ЕХЕ-файла. Если не найден и ЕХЕ-файл, DOS попробует обнаружить ВАТ (пакетный) файл. В случае отсутствия в текущем каталоге исполняемого файла с указанным именем поиск ведется во всех каталогах, доступных по переменной PATH. Другими словами, когда пользователь хочет запустить программу и набирает в командной строке только ее имя (в основном так все и делают), первым управление получает вирус,код которого находится в СОМ-файле. Он создает СОМ-файл еще к одному или нескольким ЕХЕ-файлам (распространяется), а затем исполняет ЕХЕ-файл с указанным в командной строке именем. Пользователь же думает, что работает только запущенная ЕХЕ-программа.

Вирус-спутник обезвредить довольно просто — достаточно удалить

СОМ-файл.

Вирусы второго типа действуют более тонко. Имя инфицируемого

ЕХЕ-файла остается прежним, а расширение заменяется каким-либо

другим, отличным от исполняемого (СОМ, ЕХЕ и ВАТ), Например,

файл может получить расширение DAT (файл данных) или OVL (про-

граммный оверлей). Затем на место ЕХЕ-файла копируется вирусный код. При запуске такой инфицированной программы управление получает вирусный код, находящийся в ЕХЕ-файле. Инфицировав еще один или несколько ЕХЕ-файлов таким же образом, вирус возвращает оригинальному файлу исполняемое расширение (но не EХЕ, а СОМ, поскольку ЕХЕ-файл с таким именем занят вирусом), после чего исполняет его. Когда работа инфицированной программы закончена, ее запускаемому файлу возвращается расширение неисполняемого. Лечение файлов, зараженных вирусом этого типа, может быть затруднено,если вирус-спутник шифрует часть или все тело инфицируемого файла,а перед исполнением его расшифровывает.

Вирусы, внедряющиеся в программу (Parasitic) Вирусы этого вида самые незаметные: их код записывается в инфицируемую программу, что существенно затрудняет лечение зараженных файлов. Рассмотрим методы внедрения ЕХЕ-вирусов в ЕХЕ-файл.

Способы заражения ЕХЕ-файлов

Самый распространенный способ заражения ЕХЕ-файлов такой: в конец файла дописывается тело вируса, а заголовок корректируется (с сохранением оригинального) так, чтобы при запуске инфицированного файла управление получал вирус. Похоже на заражение СОМ-файлов, но вместо задания в коде перехода в начало вируса корректируется собственно адрес точки запуска программы. После окончания работы вирус берет из сохраненного заголовка оригинальный адрес запуска программы, прибавляет к его сегментной компоненте значение регистра DS или ES (полученное при старте вируса) и передает управление на полученный адрес.

Следующий способ — внедрение вируса в начало файла со сдвигом кода

Вирусы, замещающие программный код ( Overwrite ) Как уже говорилось, этот вид вирусов уже давно мертв. Изредка появляются еще такие вирусы, созданные на языке Assembler, но это, скорее, соревнование в написании самого маленького overwrite-вируса. На данный момент самый маленький из известных overwrite-вирусов написан Reminder’ом (Death Virii Crew group) и занимает 22 байта.

Алгоритм работы overwrite-вируса следующий:

1. Открыть файл, из которого вирус получил управление.

2. Считать в буфер код вируса.

4. Искать по маске подходящий для заражения файл.

5. Если файлов больше не найдено, перейти к пункту 11.

6. Открыть найденный файл.

7. Проверить, не заражен ли найденный файл этим вирусом.

8. Если файл заражен, перейти к пункту 10.

9. Записать в начало файла код вируса.

10. Закрыть файл (по желанию можно заразить от одного до всех фай-

лов в каталоге или на диске).


Исполняемый объект не найден

После такого воздействия файлы запустить становится невозможно, а сама операционная системы немедленно сообщает пользователю, что искомый объект не найден, хотя на самом деле с жесткого диска он никуда не девается.

Нюансы воздействия угрозы на компьютерную систему

То, что вирусы вроде Some_exe.exe или его аналоги (например, разновидности Virus.Win32.Expiro) нацеливаются исключительно на исполняемые файлы, - далеко не самое страшное, что может подстерегать пользователя современного компьютера. Большинство таких угроз обычно маскируется под системные процессы, например, svchost.exe, и напрямую на EXE-файлы могут не воздействовать, предоставляя это право некоторым антивирусам. Да-да! Именно так! При первичном заражении подвергшийся атаке исполняемый объект начинает распознаваться штатным сканером уже как вирус, после чего может не только блокироваться, но еще и удаляться антивирусом.

Антивирус Avast!

Определение местоположения файла вирусного процесса

На всякий случай проверьте все копии процесса svchohst.exe на предмет расположения отвечающего за него файла через меню ПКМ (оригинальный объект должен находиться исключительно в папке System32 и нигде более). Такие копии тоже нужно завершить и, если есть возможность, сразу удалить подозрительные вирусные объекты на жестком диске (при условии, что они не будут заблокированными).

Откат системы

Проверка антивирусным ПО

В принципе, для нейтрализации вирусов этого типа можно воспользоваться и портативными утилитами, среди которых наибольшей функциональностью отличаются приложения KVRT и Dr. Web CureIt! при условии немедленного обновления антивирусных баз сразу же после запуска апплетов.

Утилита Kaspersky Rescue Disk

Однако самой мощной программой, которая позволяет находить и удалять вирусы из всех возможных локаций в компьютерной системе, включая даже оперативную память, является дисковая утилита Kaspersky Rescue Disk, при помощи которой можно загрузиться еще до старта операционной системы и выполнить полное сканирование с последующим лечением.

Проверка раздела автозагрузки

Раздел автозагрузки в Windows 10

Поиск и удаление компонентов вируса на жестком диске

Отображение скрытых объектов и расширений файлов

Примечание: для наиболее результативного поиска рекомендуется сразу включить отображение скрытых файлов и каталогов, поскольку в большинстве случаев вирусные угрозы скрываются именно в таких локациях и представлены именно в таком виде.

Действия в системном реестре

В редакторе реестра (regedit) в первую очередь необходимо обратить внимание на папки автозагрузки Run и RunOnce в ветках HKLM и HKCU (их можно найти через обычный поиск при помощи сочетания Ctrl + F). В этих разделах следует удалить все подозрительные записи и ключи.

Установка правильных значений ключей реестра

Кроме того, в ветке HKLM через разделы SOFTWARE, Microsoft и WindowsNT следует найти папку CurrentVersion с подкаталогом Winlogon, где для параметра Shell должно быть указано значение Explorer.exe, а для ключа Userinit – полный путь к одноименному исполняемому файлу (Userinit.exe) в директории System32. Если значения отличаются, их следует изменить. И только теперь можно выполнить полный рестарт системы. По идее, от вирусов указанного типа и следа не останется.

Заключение

Таковы вкратце основные методы поиска и нейтрализации вирусных угроз, воздействующих на исполняемые файлы. Подводя краткий итог всему вышесказанному, остается сказать, что при ручном удалении угроз, если они по каким-либо причинам не смогут быть нейтрализованы антивирусными средствами, после их удаления и полной перезагрузки системы на всякий случай все равно следует произвести сканирование компьютера, но при этом желательно сменить сканер или использовать несколько однотипных программ от разных разработчиков.

Читайте также: