Как надежно лечиться от вирусов?
Данная статья была написана в октябре 2008 года и касается Windows XP. Тем не менее, большинство представленных методов могут быть применены и в современных операционных системах.
К сожалению, в настоящее время вирусы настолько прогрессируют, что антивирусное ПО не поспевает за темпами развития и появления новых вирусов. Зачастую обновления для лечения того или иного вируса могут появиться спустя значительное время. За это время вирус может нанести непоправимый ущерб. Поэтому мы приведем универсальный алгоритм, который позволит вам удалить вирус вручную в большинстве случаев. Зачастую можно обойтись даже без антивирусной программы, хотя ее наличие будет весьма полезно.
Признаки и причины заражения
Основные причины заражения вирусами в настоящее время таковы:
- посещение присланной ссылки (причем сейчас многие вирусы могут, например, своровать пароль от ICQ, зайти под вашей учетной записью, и разослать всем вашим друзьям ссылку, и большинство из них откроют эту ссылку, ничего не подозревая), содержащей загрузчик вируса;
- использование зараженных сменных носителей (флешек, дискет и т.п.);
- заражение компьютера через сеть (если у вас есть папки, открытые в общий доступ на запись).
Могут быть и другие причины - например, иногда вирусы присылают прямо в Email-письме - но сейчас такие случаи редки, т.к. на почтовых серверах устанавливают антивирусное ПО, которое в большинстве случаев успешно обнаруживает зараженные письма и удаляет их.
Какие признаки могут свидетельствовать о появлении вирусов на компьютере?
- явные признаки: например, смена обоев рабочего стола (может появиться явное сообщение о том, что ваш компьютер заражен), появление новых значков в системном трее (зачастую они маскируются под антивирусное ПО, сообщая о заражении компьютера тысячами вирусов) и т.д.
- необычная сетевая активность: вы ничего не делаете в интернете (не открываете страницы, не качаете файлы, не работает ICQ или другие мессенджеры), а в сетевом соединении в трее видно, что постоянно идет обмен. Тут присутствует некоторая вероятность "ложной тревоги" - сейчас многие программы без вашего ведома запрашивают обновления, или отсылают информацию об ошибках на сайт разработчика. Вы тоже можете забыть о том, что у вас установлен какой-нибудь потребитель траффика. Более-менее надежный признак, который позволяет отличить "своих" от вирусов - это то, что вирусы, как правило, занимаются отправкой писем с вашего адреса (как вариант - осуществляют распределенные DOS-атаки) - в этом случае исходящий трафик будет гораздо больше входящего (при обычной работе в интернете исходящий трафик составляет примерно 10-15% от входящего, если вы не загружаете никаких файлов на хостинги).
- косвенные признаки: например, постоянно "хрюкает" дисковод, самопроизвольно открывается/закрывается лоток привода CD-ROM, перестали работать какие-то системные функции или компоненты (например, диспетчер задач);
- операционная система вообще не загружается (или загружается только в безопасном режиме).
Примеры:
1. Неожиданно откуда-то появилась программа-сканер (которую вы не устанавливали), которая нашла множество "вирусов" (обычно файлы с вирусами не появляются в столь огромных количествах на самом деле):
2. Еще одна взявшаяся из ниоткуда программа "антивирус":
Перед тем как начать
Нам понадобится следующий набор:
- 1. Программа Process Explorer от фирмы Sysinternals (сейчас ее купила Microsoft). Скачать ее можно по следующей ссылке: https://technet.microsoft.com/ru-ru/sysinternals/processexplorer.aspx. Программа бесплатная, установка не требуется.
- 2. Программа Autoruns от фирмы Sysinternals. Позволяет просмотреть драйверы, программы, сервисы и т.д., которые автоматически загружаются в вашей операционной системе. Скачать можно здесь: https://technet.microsoft.com/ru-ru/sysinternals/bb963902. Программа бесплатная, установка не требуется.
- 3. Total commander (или любой другой подобный файл-менеджер). Будем использовать его для просмотра файлов, главное отличие от проводника Windows - в нем будут видны все файлы без исключения. В проводнике же вирусы могут предусмотрительно запретить отображение скрытых и системных файлов, а в некоторых случаях вы не сможете изменить параметры просмотра. Программа условно-бесплатная, ссылка: http://www.ghisler.com/download.htm. Установите программу после скачивания.
- 4. Установочный диск с Windows XP. В случае, если компьютер не загружается - нужен диск именно той версии - того же языка (русский или английский) и той же редакции (professional, home и т.п.). Если загрузка проходит успешно, то подойдет любой дистрибутив Windows XP.
- 5. Компьютер с доступом в интернет. Может и не понадобиться - в зависимости от ситуации. Можно загрузиться и с зараженного компьютера в безопасном режиме с поддержкой сетевых устройств, однако отдельный компьютер является более предпочтительным вариантом.
На случай, если вирусы настолько серьезно повредили операционную систему, что она не загружается даже в безопасном режиме (уходит на перезагрузку до окончательной загрузки), а переустанавливать ее нет возможности или желания - тогда можно выполнить т.н. "накатку" поверх системы. Более подробно данный процесс описан в статье "восстановление работоспособности Windows".
После обновления Windows система начнет загружаться, хотя вирусы будут по-прежнему в ней присутствовать. Поэтому все равно необходимо будет выполнить описанные далее операции.
Приступаем
Для начала нужно загрузиться в обычном режиме (если такая загрузка работает). Запускаем Process Explorer и внимательно смотрим на все запущенные процессы. Дерево процессов можно поделить на две основные области: область системных процессов (розовая) и пользовательских (фиолетовая или желтая). Во многих случаях вирусы работают как отдельные процессы. Отличительные признаки от настоящих программ:
- в 95% случаев у процесса вируса нет ни описания (колонка Description), ни компании-разработчика (колонка Company Name);
- в 95% случаев у процесса вируса нет своей иконки - показывается обычная белая иконка приложения;
- частенько вирусные процессы стоят отдельно - не в основном дереве процессов.
Пример:
cxot.exe - вирус: стоит отдельно от общего дерева пользовательских процессов, и для него не указано ни описания, ни имя компании-производителя.
Еще пример:
Здесь 3 процесса вирусов. Обратите внимание, что они зачастую имеют имена, состоящие из беспорядочного набора букв и цифр. На данном этапе нужно лишь записать имена подозрительных процессов - аккуратно, с точностью до буквы. Можно кликнуть правой кнопкой по процессу и в меню Properties посмотреть путь, где находится файл процесса:
Могут быть и обычные программы, которым свойственны описанные выше признаки. При выявлении таких подозрительных процессов желательно, чтобы вы все же помнили, какое ПО у вас установлено - чтобы понять, что конкретный подозрительный процесс - это программа, которая установлена на компьютере. Если процесс каждется вам подозрительным, попробуйте остановить его - кликните по нему левой кнопкой мышки и нажмите Del на клавиатуре (или правой кнопкой мыши, в меню выбрать "Kill Process"). Если признаки наличия вируса (сетевая активность, иконка в трее или еще что-нибудь) пропадут - значит это действительно вирус. Однако, отсутствие подозрительных процессов еще не означает, что вирусов нет. Многие вирусы сейчас умеют "прицепляться" к общим системным процессам, например, explorer.exe или svchost.exe. Или же вирусы могут загружаться в виде драйверов.
Если у вас установлен антивирус, то обновите его базы, пока есть подключение к интернету.
После того, как вы выписали все подозрительные процессы и пути к ним, нужно перезагрузить операционную систему в безопасном режиме (перед моментом появления логотипа Windows нажимайте F8). Почему в безопасном режиме? Во-первых, в безопасном режиме повышается вероятность успешного лечения антивирусной программы - в обычном режиме большое число зараженных системных файлов заблокировано. Во-вторых, многие вирусы не работают в безопасном режиме, что облегчит их поиск и уничтожение.
После загрузки снова запускаем Process Explorer. Если подозрительные процессы присутствуют - останавливаем их нажатием клавиши Del (или правой кнопкой мыши, в меню выбрать "Kill Process"). Действия на случай, если процесс не дает себя завершить, будут описаны далее.
Теперь запускаем установленный Total Commander (или любой другой подобный файл-менеджер, но не проводник Windows). Убеждаемся, что он отображает скрытые и системные файлы - например, заходим в корень системного диска (чаще всего - диск C: ), и смотрим: видны ли загрузочные файлы операционной системы (например, ntldr, NTDETECT.COM и т.п.) - "скрытость" помечается восклицательным знаком:
Если скрытые файлы не видны, то нужно включить их отображение в настройках (для Total Commander - Configuration->Options->Dislpay->Show hidden/system files (for experts only) ):
Затем устанавливаем сортировку по дате (кликаем по колонке Date):
Просмотрите следующие папки:
C:/Windows
C:/Windows/System
C:/Windows/System32
C:/Windows/System32/Drivers
C:/Windows/System32/Config/Systemprofile
C:/Windows/Temp
C:/Documents and Settings/ваш_логин/Local Settings/Temp
Очень хорошо, если вы помните дату заражения. В каких-то из этих папок обязательно будут присуствовать подозрительные файлы: со свежей датой создания (с большой вероятностью она будет совпадать с датой заражения - поэтому мы и выставили сортировку по дате), с расширением exe или dll (в редких случаях - bat, com, scr, vbs), и размером порядка 20 Кб (может и больше, но очень редко размер не превышает 100 Кб). Их имена могут совпадать с именами подозрительных процессов, которые вы выписали ранее. Если у вас есть сомнения, действительно ли какой-то файл является вирусом, вы можете ввести его имя в поисковике (Google, например), и в результатах поиска сразу станет понятно: вирус это или системный файл. Если интернета под рукой нет или сомнения по-прежнему остаются (вдруг это системный файл), то файлы можно не удалять, а переименовывать - запуститься они уже все равно не смогут. Если же вы твердо уверены, что этот файл - вирус - то смело можете его удалять (не забудьте потом очистить корзину).
После того, как вы пройдете по всем перечисленным папкам, посмотрите - остались ли у вас из выписанных подозрительных процессов файлы, которых вы не встречали. Если остались - нужно их найти и тоже удалить. Например, в Total Commander для вызова поиска нажмите Alt+F7. Возможно, в тех местах, где вы их обнаружите, будут и еще подобные подозрительные файлы - с той же датой создания и теми же подозрительными признаками. Их тоже удаляем.
Возможно, некоторые файлы удалить у вас не получится - система сообщит, что доступ к ним запрещен. Это означает, что какой-то из вирусов все равно запущен и блокирует доступ. Он может быть запущен либо в виде прикрепленного процесса к какому-нибудь системному (поэтому в Process Explorer вы его не увидите), либо в виде драйвера (в этом случае в Process Explorer его также не будет видно).
Даже если все файлы получилось удалить (а если нет - то тем более), запускаем программу Autoruns. В ней проходимся по всем вкладкам (кроме Everything - она просто собирает в себе все остальные) и смотрим подозрительные записи по тем же признакам, что и в Process Explorer - без имени производителя, описания и со стандартной белой иконкой. Особенно вероятность их появления высока в разделах Logon, Services, Drivers (чаще всего), Boot Execute и Logon - в них надо быть особенно внимательным. Пример:
Обратите внимание, что справа написано File Not Found - это значит, что файл уже был удален. Если вы твердо уверены, что это вирус - то удаляйте запись (правая кнопка, Delete). Если есть подозрения, вирус это на самом деле или нет (например, в примере выше RavTimeXP - это утилита, информации о которой нет из-за того, что файл был удален - скорее всего, в результате некорректной деинсталляции), снова обращаемся к поисковику в интернете. В случаях подозрений можно не удалять запись, а просто снять галочку - запись останется, но активироваться при загрузке не будет.
Если в процессе просмотра будут обнаружены еще какие-нибудь вирусы и в колонке Image Path будет указан путь - запоминаем этот путь, и в случае твердой уверенности, что это вирус - идем по этому пути и удаляем файл.
После всех этих операций перезагружаем компьютер снова в безопасном режиме. Если были какие-то файлы, которые не удалось удалить в прошлый раз - пробуем сделать это еще раз. Вполне возможно, что они были загружены в виде, например, драйверов, а снятая галочка отменила загрузку этого "драйвера" (а на самом деле - вируса) и теперь файл можно удалить (или переименовать в случае неуверенности) беспрепятственно.
Бывают и такие ситуации, когда даже все проделанные выше действия все равно не помогли и какой-то файл удалить не получается (и точно известно, что это вирус - например, по информации в интернете). Это означает, что вирус очень хитро внедряется в какой-нибудь процесс или драйвер - так, что его не видно даже в утилите Autoruns. В этом случае вставляем установочный диск с Windows XP и загружаемся с него. После загрузки выбираем не установку Windows, а консоль восстановления (буква "r"). После приглашения выбираем операционную систему, в которую нужно выполнить вход (обычно она одна), вводим пароль администратора и попадаем в консоль. Набираем следующую команду:
del полный_путь_к_файлу
Например:
del c:/windows/system32/winctrl32.dll
Т.к. загрузились мы с загрузочного диска и операционная система сейчас неактивна, неактивны и вирусы - это позволит их удалить. Эту операцию нужно проделать со всеми файлами, которые не удалось удалить в безопасном режиме. Если вы пропустите хотя бы один, то высока вероятность того, что при загрузке он восстановит всех своих товарищей и все придется начинать сначала.
После этого перезагружаемся снова в безопасном режиме. Снова просматриваем процессы, каталоги, строки в Autoruns и убеждаемся, что никого подозрительного не осталось. Если после перезагрузки все файлы с вирусами восстанавливаются - значит, где-то мы кого-то упустили и он восстанавливает все остальные файлы. Придется начать весь процесс сначала и быть более внимательным.
Если подозрительные файлы и процессы исчезли и не появляются - запускаем в безопасном же режиме антивирус, если вы обновляли его базы, и делаем полное сканирование компьютера. Возможно, он обнаружит еще кого-то, кого мы пропустили при ручной чистке.
Наконец, только после всех проделанных операций можно попробовать перезагрузиться в обычном режиме. Снова просмотреть в нем процессы - не появились ли снова подозрительные? Если появились - опять же, нужно повторить все с самого начала более внимательно. Если нет - то, скорее всего, вас можно поздравить с избавлением от вирусов!
Последствия
Многие вирусы, чтобы затруднить их обнаружение и удаление, меняют настройки системы. Например, они могут заблокировать диспетчер задач или запретить отображение скрытых папок (и не будет получатся включить его обратно), или сделать еще множество других пакостей. Как правило, они достигают этого изменением некоторых значений в системном реестре. И даже когда вы удалите эти вирусы, эти проблемы останутся - т.к. удаление вируса не влечет восстановление тех настроек реестра, которые были до его заражения. Здесь сложно дать конкретный совет, кроме одного - искать решение вашей проблемы в интернете. Например, в случае проблемы с диспетчером задач вам поможет поисковый запрос вида "не открывается диспетчер задач" и т.п.
Как избежать дальнейшего заражения?
Как мы писали выше, основных причин заражения сейчас три - это ссылки в интернете, флешки и заражение через локальные сети. Чтобы избежать заражения по первой причине, относитесь крайне аккуратно ко всем ссылкам, которые присылают вам. Даже если ссылка пришла от вашего друга - при малейшем подозрении переспросите его, не торопитесь по ней проходить. Велика вероятность, что у него был украден пароль и теперь от его имени всем друзьям рассылают вредоносные ссылки. Особенно с опаской относитесь к ссылкам, которые заканчиваются на exe, scr.
Чтобы не заразиться через флешку, мы рекомендуем открывать их не через проводник Windows, а через файл-менеджер, подобный Total Commander. Если на флешке вы увидите файл autorun.inf и какой-нибудь скрытый exe-файл размером порядка 20 Кб, то с высокой вероятностью можно сказать, что это - вирус. Не вздумайте его запускать, предварительно не проверив происхождение файла (по его имени) в интернете.
Чтобы не заразиться через локальные сети, крайне осторожно относитесь к папкам на вашем компьютере, которые вы открыли в общий доступ на запись. Любые подозрительные exe, bat, scr, vbs-файлы, скрытые и небольшого объема могут представлять опасность - лучше их не запускать.
Комментарии
Maxim (27/01/2009 22:03)
Вооот
Адильхан (12/08/2009 0:33)
спосибо большое вы мне очень помогли автор красавчик!!!
Евгений (25/08/2009 13:39)
Очень полезная статья! Большое спасибо автору!
Andrei (25/09/2009 20:59)
Спасибо познавательно!!!!!!!!!!
Kolt (02/10/2009 21:14)
А ещё можно скачать AVZ - очень, очень удобно, если руки прямые)
Novi4ok (22/10/2009 11:42)
спасибо огромное!!!
Дмитрий (08/02/2010 22:13)
спасибо автору очень полезная статья!)
Василий (09/04/2010 13:54)
Простейшие методы лечения флешек и предохранения - при заражении autorun.inf флешка не хочет форматироваться обычным способом, форматируется только с командной строки (файловая система ntfs из за дефектной флеш), сначала в fat32 (format I:/fs:fat32 ), а затем в ntfs ( Convert I: /fs:ntfs /nosecurity /x ), где I буква диска флешки. Потом смело записываем папку с названием вируса.
Павел (08/07/2010 18:25)
Спасибо очень полезная инфа
олег (03/09/2010 2:04)
даже интересно и полеззно и помагает спасибо
Eretik (05/03/2011 7:10)
спс за инфу !!!