Как удалить новый вирус

Вирус на Андроид. Как найти и удалить опасное приложение

Как удалить новый вирус

Практически вся наша современная жизнь завязана на смартфоне. Мы храним на устройстве логины, пароли, контакты, данные кредитных карт и прочую конфиденциальную информацию, которая интересует злоумышленников.

С помощью вирусов и других вредоносных приложений они пытаются похитить эти данные в своих корыстных целях.

Удалить вирус с Андроид совсем не сложно если следовать простой инструкции, но сначала нужно узнать, есть ли вирус на телефоне.

Признаки вируса на телефоне

Любое нестандартное поведение телефона может свидетельствовать о наличии вируса.

Если ваш телефон:

  • Быстро разряжается
  • Греется даже когда ничего не запущено
  • Сам запускает приложения
  • На экране появился рекламный баннер, который не закрывается кнопкой «Домой»
  • Информирует, что обнаружено вредоносное ПО
  • Перестал запускать некоторые приложения, например антивирус
  • Показывает сообщение «в приложении com.android.systemUI произошла ошибка»
  • Не открывает настройки и другие системные приложения
  • Стал совершать звонки без вашего ведома на короткие номера, за которые списывают деньги

Могут быть и другие проблемы, которые могут быть признаком заражения Андроида вирусом.

Давайте рассмотрим все способы удаления вируса начиная от самого простого

С помощью антивирусного приложения

Если есть возможность запустить антивирус, в первую очередь воспользуемся им. К счастью многие производители смартфонов добавляют антивирусное ПО в прошивку смартфона. Например у Samsung он находится по пути настройки => обслуживание устройства => безопасность

Запустите встроенный антивирус

Нажмите «Сканировать» и дождитесь выполнения операции

Антивирус просканирует все установленные приложения и, если вирус будет найден, сообщит вам об этом и предложит варианты действий с ним.

Посмотрите аналогичную функцию на вашей модели телефона. Если не нашли, то попробуйте скачать антивирус с Play Market:

Или любой другой на ваш выбор. Установите антивирус, просканируйте систему и в конце перезагрузите смартфон.

Удаление вируса в безопасном режиме

Если в обычном режиме удалить вирус не получается, попробуем сделать это в безопасном режиме.

Как перейти в безопасный режим

После того, как зашли в безопасный режим, откройте настройки и выберите раздел «Безопасность»

Откройте вкладку «Администраторы устройства» и снимите галочки со всех приложений. Вирус может препятствовать снятию галочки, если это произошло следует повторить попытку. Если в администраторах было подозрительное приложение, попробуйте удалить его через диспетчер приложений.

Вирус может маскироваться под стандартное приложение, такое как «Сообщения» или «Контакты», смело их удаляйте. Если это системное приложение, кнопки «Удалить» не будет, таким образом навредить телефону вы не сможете.

Ещё раз проскандируйте систему антивирусом и перезагрузите смартфон.

Восстановление настроек до заводских

Не самый лучший вариант, так как с помощью него можно удалить не только вирус, но и все пользовательские данные. С помощью этого способа телефон вернётся к состоянию, в котором он был при покупке. Таким образом шансы избавиться от вредоносного приложения стремятся к 100%.

  • Откройте настройки смартфона и найдите раздел со словами «Восстановление и сброс»
  • Выберите параметр «Сброс данных» для полной очистки внутренней памяти телефона. Если у вас установлена карта памяти, извлеките её и, используя micro SD адаптер, проверьте на вирусы на компьютере. Если вирусы не будут найдены, сохраните все важные файлы и отформатируйте корту памяти.
  • Сброс данных займёт какое-то время. Телефон перезагрузится и включится на этапе первоначальной активации
  • Активируйте телефон и проверьте его работоспособность.

Перепрошивка смартфона

В редких случаях, удалить вирус на Андроид не получается даже сбросом настроек, так как вирус проникает в операционную систему очень глубоко. В такой ситуации остаётся только прошивка смартфона. Если вы используете смартфон Samsung, на сайте есть подробная инструкция по прошивке телефонов этой марки. Для других моделей инструкции ищите на нашем сайте или на форуме 4pda.

Как не допустить заражения телефона

В одной из своих статей, я уже рассматривал вопрос, стоит ли использовать антивирус на Андроид и пришёл к следующим выводам:

Если вы не хотите подхватить вирус, следуйте некоторым правилам:

  • Откажитесь от использования взломанных программ.
  • Скачивайте приложения только из проверенных источников, таких как Play Market или andapps.ru
  • Своевременно устанавливайте обновления системы, которые помимо внешних изменений, несут в себе патчи безопасности, закрывающие уязвимости системы
  • Периодически используйте встроенное ПО для сканирования системы на наличие вирусов

Следование этим простым правилам сделает использование смартфона комфортным и максимально безопасным.

Источник: https://andapps.ru/androidsecret/virus-na-android-kak-najti-i-udalit-opasnoe-prilozhenie

На Android-смартфонах появился вирус, который невозможно удалить

Как удалить новый вирус

Очередные малоприятные новости IT-технологий, связанные со всеми нами любимыми смартфонами. В мобильных телефонах, работающих на базе системы Android, появился новый вид вредоносных программ, которые не просто будут раздражать пользователей, но более того, их фактически будет невозможно удалить с устройства!

Смотрите также Может ли ваш автомобиль подхватить компьютерный вирус?

И хоть это новейшее вредоносное ПО «xHelper» пока затронуло небольшое количество пользователей Android (около 45 000 по всему миру, по оценкам Symantec), тот факт, что никто не имеет четких советов о том, как удалить электронного вредителя, является тревожным. Постепенно вирус будет распространяться через Android-экосистему по все большему количеству смартфонов, и в эту неприятную ситуацию можете попасть и вы.

А значит, было бы неплохо узнать, на что способно вредоносное ПО и как избежать его установки.

Как выявить наличие новой вредоносной программы xHelper?

Как описывает программу сайт Malwarebytes, xHelper скрывает себя под обычное приложение, мимикрируя под пакет обычного и легального приложения на устройстве.

xHelper может объявиться на мобильном устройстве в двух вариантах: «full-stealth» (полностью скрытный вариант) или «semi-stealth» (полускрытый вариант ПО). «Полускрытый» при установке можно обнаружить по следующим маркерам:

1. Программа создает значок в уведомлениях под названием «xhelper»
2. Не создает значок приложения или ярлык
3. Через пару минут начинается добавление дополнительных значков в уведомления: [GameCenter] Free Game

При нажатии на любое из этих уведомлений оно направит вас на веб-сайт, который позволяет играть в игры непосредственно через браузер.
Эти веб-сайты кажутся безвредными, но, конечно, авторы вредоносных программ собирают прибыль от оплаты за клик при каждом перенаправлении.

Второй вариант работы вредоносной программы – «полностью скрытный».

Никаких уведомлений и ничего такого, обнаружить наличие вредоносного ПО можно будет, только если вы перейдете через Настройки > Приложения и уведомления > Информация о приложении (навигация может отличаться на вашем конкретном устройстве Android) и прокрутите вниз, чтобы увидеть установленное приложение «xHelper».

Что делает xHelper?

К счастью, xHelper не является опасным вредоносным ПО в том смысле, что он не крадет ваши пароли, данные кредитной карты или что-либо еще, что вы делаете на своем устройстве, и не отправляет информацию злоумышленнику. Вместо этого он просто спамит вас всплывающими рекламными объявлениями на вашем устройстве и раздражающими pop-up уведомлениями, которые все пытаются заставить вас установить больше приложений из Google Play.

Зачем, это мы уже выяснили. Пока вы будете играть, ваш телефон, а вернее нехорошая программа на нем, будет кликать по рекламе и зарабатывать деньги разработчикам.

И еще, как сообщает ZDNet, «фишка» заключается в том, что программа xHelper якобы потенциально может загружать и устанавливать приложения от вашего имени, а потом уже дает крайне обширные возможности для владельцев нелегального ПО.

Как удалить неудалимое?

Удивительно, но даже ведущие разработчики антивирусного ПО пока не выработали единой схемы стопроцентного удаления программы.

Даже если сбросить настройки вашего устройства, программа никуда не уйдет, останется на смартфоне.

И что самое пугающее, программистам даже приблизительно неизвестны возможные механизмы, позволяющие программе оставаться, «вшиваться» в электронную оболочку устройства!

Вот как описывают ситуацию в Symantec:

«Ни один из образцов, которые мы проанализировали, не был доступен в магазине Google Play, и хотя возможно, что вредоносное ПО Xhelper загружается пользователями из неизвестных источников, мы считаем, что это не может быть единственным каналом распространения.

Из нашей телеметрии мы увидели, что эти приложения чаще устанавливаются на определенные бренды телефонов, что заставляет нас полагать, что злоумышленники могут сосредоточиться на конкретных брендах. Тем не менее мы считаем маловероятным, что Xhelper поставляется предустановленным на устройствах, учитывая, что эти приложения не имеют никаких признаков системных приложений.

Кроме того, многие пользователи жаловались на форумах на постоянное присутствие этой вредоносной программы на своих устройствах, несмотря на выполнение сброса до заводских настроек и ручного удаления ПО.

Поскольку маловероятно, что приложения являются системными приложениями, это говорит о том, что другое вредоносное системное приложение постоянно загружает вредоносное ПО.

Какое? В настоящее время проводим расследование».

То есть на данный момент ни один установленный официальный антивирус не сможет решить проблему с раздражающим вирусом, имеющим значительный потенциал развития.

Как избежать попадания xHelper на устройство?

Сейчас лучшее, что вы можете сделать, чтобы предотвратить попадание такого рода вредоносных программ на мобильный телефон, – это относиться с аккуратностью к серфингу в Интернете и загрузке приложений.

Убедитесь, что вас не перенаправили на мошеннический веб-сайт, который поощряет вас на загрузку неизвестных, непроверенных и опасных приложений или приложений, маскирующихся под безопасные, на ваше устройство.

Если вы сомневаетесь, устанавливайте только приложения из Google Play Store и желательно только от проверенных крупных издателей. Не загружайте приложения и не устанавливайте их вручную на свое устройство, полностью доверять разработчику приложения глупо!

Источник: https://1gai.ru/autonews/523775-na-andorid-smartfonah-pojavilsja-virus-kotoryj-nevozmozhno-udalit-kak-izbezhat-problem.html

MrsMajor 3.0 – Страшный вирус, новая версия. Как его удалить?

Как удалить новый вирус

Статья о страшном вирусе MrsMajor2.0, второй версии, которая была написана еще в 2018 году, как ни странно была и остаётся популярной. Не так давно, появилась уже третья версия этого файла, а также запросы, которые поступают в Метрику дают об этом понять, насколько многих это интересует.

MrsMajor 3.0 это вирус с графическим интерфейсом, который одновременно и жуткий и интересный. Сегодня, как раз рассмотрим 3 версию этого вируса, которая может удивить не меньше, чем предыдущая. И как итог, попробуем запустить на виртуальной машине данный вирус, и понять, как он работает, и как от него мы сможем защититься.

Запуск

На нашем рабочем столе находится архив под названием MrsMajor_3.0.rar, который мы разархивируем. Внутри имеем всего один файл MrsMajor 3.0.exe, весом в 382 КБ. В этот раз нас встречает ярлык в виде необычной матрёшки, с привычными вирусу цветами красный и чёрный.

После запуска встречаем окно авторизации с надписью MrsMajor 3.0 Dropper, с текстом «Type your authorization code bellow to continute:». Вводим ключ для авторизации и нажимаем кнопку «Decrypt».

Выскакивает красное окно с надписью «Attention», с текстом «Be patient while MrsMajor infects your system. This usually takes about 23 seconds. Your computer will be forced to restart afterwards».
Это говорит о том, что мы должны подождать 23 секунды, дабы вирус заразил нашу систему.

Ниже вопрос «Do you want to view the screen of Rules?», спрашивает хотим ли мы посмотреть экран правил. По нажатию кнопки «Nah, wait here» выкидывает те самые правила.

«Searching keywords on google such as “antivirus download”, “malwarebytes download”, “do I have a virus” is not allowed. If you do, you’ll get prompted with a blue screen explaining you why your computer just ran into a crash.

Using 3rd party tools is not allowed. You’ll get a BSoD again. Once the malware runs blood, you’ll get your LogonUI overwritten. If you fix your LogonUI, you’ll get your boot sector overwritten just your System32 files.

So don’t do that ig.

This program can’t be ran on a real machine. (VM Only). Have fun!»

Здесь простая информация о том, чтобы мы в поиске Google не искали связанное с антивирусами, и о том, что если загуглить у Вас появится синий экран смерти.

В целом эти правила можно не успеть дочитать, так как Ваш ПК начнёт перезагрузку. Кстати перед перезагрузкой было заметно создание файла ReadMe (MrsMajor 3.0).txt на рабочем столе с ярлыком глаза, и весом в 606 байт.

После перезагрузки

После перезагрузки ПК, нас встречает та самая криповая девочка Аннабель, рядом с ней уровень крови «Blood Left», фоновая музыка, и через пару мгновений кровавый экран. Все остальные иконки, которые располагались на рабочем столе также применили вид жуткого глаза.

Откроем тот самый файл ReadMe (MrsMajor 3.0).txt, хотя читать конечно уже не так легко, через кровавый экран. При этом мы пока не будем пытаться избавиться от этого вируса, и посмотрим, что будет дальше.

В файле ReadMe написано, о том, что мы запустили вирус Миссис Мажор 3.0, и наша система сейчас инфицирована.

И если мы запустим какое-либо ПО для отладки, например, «Process Hacker», «Fiddler» и т.д., то это приведёт к синему экрану смерти. Поиск таких слов как «Антивирус», также не разрешен.

Нужно следить за уровнем крови, после того как этот уровень закончится, нашей системе будет конец.

Прошло 2 минуты, и в целом забавно то, что данная версия вируса заливает весь экран красными красками, в итоге использовать какое-то ПО становится сложнее.

Через «Пуск» мы можем открыть «Мой компьютер».Комбинация клавиш Ctrl+Shift+Esc, диспетчер задач не вызывает.Клавишами Ctrl+Alt+Delete, диспетчер задач также не вызывает, хотя это логичная блокировка. Win+R и Win+X, у нас также не работают.

Открытие командной строки (cmd.exe) из папки Windows, также работать не будет.

Кстати, подождав пока уровень крови закончитсянам выскакивает синий экран смерти. И даже если система выполнилавосстановление, то всё равно уходит в синий экран.

Ну а после перезагрузки наконец всплыло на весьэкран окно о том, что мы не очень умны. А ситуация с диском ещё более хуже. («You are not very smart. Are you? Situation of your disk is even worse now»).

И это правда,так как дело даже не доходит до загрузки Windows, и данная заставка находится в загрузочномсекторе жёсткого диска. Все разделы у нас сейчас удалены, а данные потеряны.

Иглядя уже на эту картинку становится ясно, что вирус действительно серьёзный.

Но раз уж мы находимся на виртуальной машине, то нас это дело не очень пугает. Откатываемся назад, нажав кнопку «Revert this virtual machine to snapshot» на нашей виртуальной машине. И восстанавливаемся к последней рабочей копии системы.

Лечение MrsMajor 3.0

Ну а теперь попробуем ликвидировать уже данный вирус стандартными средствами Windows. Попробуем не использовать программы «Process Hacker», «CCleaner» и антивирусы.

Кстати, при попытке поиска антивируса в браузере, если ввести «antivirus download», то система действительно зависает, однако синего экрана не было.

Копирование файла cmd.exe (командной строки) на рабочий стол, не помогло открыть приложение. Зато помогло, плюс к этому, переименование файла! Допустим «123.exe», и таким образом её получается уже открыть!

Если проделать тоже самое с taskmgr.exe (диспетчером задач), переместить на рабочий стол и переименовать, то выдаёт ошибку.

Попробуем вытащить powershell.exe (это та же командная строка, только с гораздо большим функционалом, чем стандартная cmd.exe). Находим его, перемещаем и переименовываем.

Открываем и вводим команду «ps». Смотрим список процессов.

При этом имейте ввиду, что экран понемногу наполняется красными красками, что мешает работе, время идёт и действовать нужно быстрее.

Нашёлся в списке процесс tobi0a0c.exe (его ID – 2164).
Пробуем убить этот процесс, вводим команду «kill 2164». Выяснилось, что здесь стоит защита, и компьютер снова зависает и выдаёт синий экран. Основной процесс убить не вышло.

Перезагружаемся, заходим снова в powershell.exe и ищем что-нибудь ещё.
Процесс dwm.exe отвечает за графическую часть вируса (кровь на экране, пиксели и уровень крови), если этот процесс убить, то получается заморозить уровень, и обновить графическую часть.

Пробуем открыть msconfig.exe (конфигурацию системы).
Вводим команду «msconfig» через PowerShell, и приложение открывается, но в автозагрузке и службах мы ничего плохого не наблюдаем.

Ищем в стандартном поиске по файлам, приложение tobi0a0c.exe в папке Windows.Находится он по пути: C:\Windows\winbase_base_procid_none\secureloc0x65Размер: 5,06 МБ

Ну а как только мы переходим в папку winbase_base_procid_none, то система подвисает и в итоге снова срабатывает Blue screen – синий экран.

Перезагружаем, ищем еще раз этот файл в поиске, и пробуем открыть его уже через «Расположение файла». И попадаем прямо туда куда нам и нужно.

В этой папке находятся 4 приложения, 2 звуковых Wav файла, vbs-файл скрипт запуска, указатель и иконка глаза. Это как раз всё то, что связано с этим вирусом. Возможно, как раз файл bsector3.exe затирает загрузочный сектор.

Список файлов MrsMajor 3.0, в папке secureloc0x65 :

  • tobi0a0c.exe (5 191 КБ)
  • ui65.exe (116 КБ)
  • ui66.exe (2 969 КБ)
  • bsector3.exe (72 КБ)
  • mainbgtheme.wav (2 466 КБ)
  • 0x000F.wav (2 466 КБ)
  • WinRapistI386.vbs (1 КБ)
  • rcur.cur (5 КБ)
  • winsxs.ico (492 КБ)

Попробуем удалить файлы из этой папки. Удалить получается всё кроме файла tobi0a0c.exe, который на данный момент запущен. Но в любом случае мы удалили часть важных файлов, среди которых был запускаемый скрипт-файл.

Перезагружаем теперь нашу виртуальную машину, и смотрим что из этого вышло.

Результат отличный! При загрузке выходит окно с надписью Windows Script Host и текстом о том, что «Файл сценария не удаётся найти», по пути на файл WinRapistI386.vbs.

Как итог, после удаления данных файлов вируса, заметно сразу, что потрепались иконки наших ярлыков, звуковые файлы мы удалили, также графическая часть восстановлена.

Проверим работает ли диспетчер задач.
Открываем PowerShell, и вводим команду taskmgr, и нам выводит окно, о том, что диспетчер задач отключен администратором.

Также если ввести команду regedit, выводит окно «Редактирование реестра запрещено администратором системы».

Чтобы решить эти проблемы, вводим некую команду gpedit.msc (Редактор групповой локальной политики).

Проходим по пути «Конфигурация пользователя» – «Административные шаблоны» – «Система» – «Запретить доступ к средствам редактирования реестра». И ставим «Отключить».

Проходим также по пути «Конфигурация пользователя» – «Административные шаблоны» – «Система» – «Варианты действий после нажатия Ctrl+Alt+Del» – «Удалить диспетчер задач». И ставим «Отключить».

Как итог комбинация клавиш Ctrl+Shift+Esc теперьбудет работать и запускать диспетчер задач. Редактор реестра также будетработать.

Теперь удалим из автозагрузки оставшееся событиеот скрипта который мы удалили, что бы оно не выскакивало, при следующейзагрузке системы. При этом, мы не найдём это событие в Автозагрузке, через msconfig, его там нет! Егонет не в списке автозагрузки, не в планировщике задач, при этом событие каждыйраз срабатывает при включении ПК! Это странно.

Поэтому ищем WinRapistI386.vbs по поиску в редакторе реестра. Как оказалось это событие скрипта vbs прописалось к запуску рабочего стола (Shell).

Поэтому, редактируем значение этого параметра Shell, оставив только explorer.exe

После этих действий, событие исчезнет, и не будет появляться при перезагрузке.
Ну а иконки я думаю Вы и сами легко сможете исправить через «Свойства». На этом всё!

MrsMajor 2.0.exe (BossDaMajor) — страшный вирус-троян с красным экраном (4 5,00 из 5)
Загрузка… « Предыдущая запись Следующая запись »

Источник: https://lenium.ru/mrsmajor3-exe-novaja-versija-strashnogo-virusa-kak-ego-udalit/

Как удалить компьютерный вирус на Windows?

Как удалить новый вирус

У всякого, кто подхватит вирус в голове автоматически начинает крутиться вопрос «Как удалить вирус?». В данной статье постараемся найти ответ на такой обширный вопрос.

Скажу сразу, что прочитав и поняв то, что тут написано, Вы не сможете спокойно удалить любой вирус.

Тут приведены только одни из основных, базовых телодвижений, которых вполне может хватить чтобы удалить большую часть из встречающихся вирусов в операционной системе Windows.

Что такое компьютерный вирус?

Для начала, что такое вирус? Компьютерный вирус — это компьютерная программа, цель которой нанести вред компьютеру, либо пользователю.

Как глаголит Википедия, с чем я соглашусь, отличительным свойством любого вируса является их способность к распространению на всё новые жертвы — компьютеры.

Очень редко заражается только один компьютер, вирусы нацелены на многие миллионы компьютеров, как, например, вирус LoveLetter.

Как распространяются компьютерные вирусы?

Распространяются компьютерные вирусы всеми возможными способами, которыми можно незаметно передать тело вируса на новую жертву. А так как это программа, то все возможные методы его размножения должны быть прописаны либо в самом теле вируса, либо в любых других дополнительных модулях.

И чтобы обеспечить возможность размножения, вирус либо его репродуктивные органы должны быть включены. Ведь в выключенном состоянии вирус не активен. Неспроста же предлагается выключать компьютер с вирусом до прихода специалиста. Надеюсь я убедил Вас в том, что еще одним отличительным свойством вируса является их стремление всегда быть включенным.

А как быть всегда включенным? Физически включить компьютер вирус не сможет. Но он может позаботиться о том, чтобы вирус запускался при каждом включении компьютера. Как этого достичь? Нужно объяснить это системе. А за это отвечает Автозагрузка. Туда то и вносится информация о том, какие приложения нужно загружать вместе с операционной системой.

 И именно там и стоит начинать поиски, после чего сможем перейти к удалению вируса. Проблема только усложняется тем, что способов прописаться в Автозагрузке предостаточно.

Конфигурация системы

Для того, чтобы открыть окно утилиты Конфигурация системы, Вам нужно открыть меню Выполнить и ввести команду msconfig. Тут нас будет интересовать вкладка Автозагрузка. В операционной системе Windows 8 данная вкладка перенесена в Диспетчер задач.

В этой вкладке будет содержаться информация о программах, которые следует загружать вместе с операционной системой. Наличием галочки либо полем Включено будут отмечены те программы, которые загружаются вместе с операционной системой.

Там же Вы можете найти информацию про то, где эта программа находится и другую сопутствующую информацию.

Папка Автозагрузка

Откройте в Проводнике папку C:\Users\%Username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.

Если у Вас русская Windows, возможно некоторые папки будут иметь русские названия, но даже на английском Вы доберетесь до нужной папки.

В данной папке находятся ярлыки тех приложений, которые должны загружаться вместе с учетной записью выбранного пользователя. Надеюсь Вы смекнули, что %Username% — должно быть заменено на имя пользователя?

Редактор реестра

Открываете Редактор Реестра(если вызывать из меню Выполнить, то Вам понадобится команда regedit). Раскройте раздел

[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[/code]

В данном узле находятся записи о программах, которые так же должны быть запущены вместе с операционной системой. Благодаря этим записям, Вы можете получить такие сведения о запускаемой программе, как его имя и место пребывания.

В том же Редакторе реестра раскройте раздел

[code]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run[/code]

В данном узле указаны приложения, которые запускаются вместе с активным пользователем. Доступная информация та же, что и в третьем случае.

Кроме этих двух основных разделов, могут быть использованы следующие ветки:

[code]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce[/code] [code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce[/code]

которые так же применяются для автозагрузки, только для единичного запуска программы, после чего запись удаляется.

Так же стоит проверить параметры Userinit, Shell, System, VmApplet, которые находятся по пути

[code]HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon[/code]

Последние два параметра могут отсутствовать, но для первых двух значения должны быть c:\windows\system32\userinit.exe и c:\windows\explorer.exe. Любые другие значения, скорее всего, проделки вирусного ПО.

Службы Windows

Кроме привычных пользователям приложений, в операционной системе Windows существуют так же и другой вид программ — службы. Они отличаются от обычных приложений тем, что, в основном, не могут использовать рабочий стол пользователя, а значит с ними нет никакой интерактивности, и о их существовании и работе обычный пользователь может даже не догадываться.

Но для многих вирусов такие ограничения только на руку, а так же, что более важно для нашей статьи по удалению вирусов, службы так же могут автоматически запускаться после включения компьютера. Даже более того, все службы стартуют много быстрее, чем привычные нам приложения.

Поэтому нам нужно проверить и все службы Windows, чтобы найти наш вирус и удалить впоследствии.

Для этого открываем оснастку Службы(для этого нажмите Win+R и выполните команду services.msc). Далее появится довольно большой список со столбцами Имя, Описание, Состояние, Тип запуска и Вход в систему.

Для простоты поиска вируса, отсортируйте все службы по Состоянию службы(просто нажмите на соответствующую строку) так, чтобы сверху оказались все службы в состоянии Выполняется. Это справедливо, учитывая то, что наш вирус включен и работает. Далее необходимо проштудировать весь список служб, которые на данный момент выполняются.

Тут вам стоит обращать внимание на Имя службы и его Описание. Как правило у вирусных процессов резко выделяющееся название и такое же описание, а часто описания и вовсе нет. Кроме этого, вирусы не оснащают языковой поддержкой, а это значит, что с описанием и названием на русском языке будут вирусы только от хакера русского происхождения.

Но мир велик(хотя и Россия немаленькая), а значит шанс что автор вируса не наш человек весьма велик и, скорее всего, вирус будет иметь описание на английском языке!

Если у вас имеются какие-то сомнения по поводу какой-то службы, нажмите на нее два раза и у вас откроется окно с дополнительными свойствами данной службы. Там необходимо наибольшее внимание уделить на поле Исполняемый файл службы, который вряд ли у безопасных приложений будет вести куда-либо кроме c:\program files или c:\windows.

На крайний случай берете название процесса и идете гуглить яндекс, чтобы узнать подробнее о заинтересовавшем вас службе. Поверьте, о легитимных службах вы узнаете сразу.

Выявив вредителя среди служб, нажмите на службу дважды и выберите Тип запуска Отключено, а так же можете остановить работу службы. Так же запомните место исполняемого файла и удалите данный исполняемый файл с компьютера.

Планировщик заданий

И последнее из основных мест для автозагрузки как легитимных приложений, так и вирусов — это планировщик заданий. Открыть его вы можете последовательно открыв Панель управления — Администрирование — Планировщик задач.

В открывшемся окне Планировщика задач перейдите в папку Библиотека планировщика задач и в центральной части вы увидите все запланированные задания. Некоторые, скорее большинство, из них — легитимны. Но среди них так же можно найти и зловреда.

Алгоритм действий в данном случае схож с предыдущими действиями: знакомитесь с названием и описанием задачи, а так же с исполняемым файлом. Для получения этой информации, вам необходимо один раз нажать на службу и ознакомиться с приведенной информацией во вкладке Общие и Действия.

Если вы нашли подозрительную задачу, которая может быть делом рук вируса, выделите эту запланированную задачу и нажмите кнопку Delete(либо правый клик мышкой и выберите пункт Удалить).

Удаляем вирус

Итак, Вы более чем уверены, что какая-то программа из автозагрузки — это вирус. Как же его удалить, этот вирус? Я не советую Вам сразу удалять файлы из расположения подозрительной программы. Для начала необходимо проверить Вашу теорию. В первом варианте, просто скиньте галочку с подозрительного пункта, либо переведите его в состояние Выключено.

Во втором варианте, перенесите ярлык из данной папки в любую другую. После чего перезагрузите компьютер и проверьте его. Если вируса нет, то узнайте путь, по которому прописана отключенная программа и только тогда удалите вирус. Так же необходимо удалить ярлык или запись во вкладке Автозагрузка.

В случае промашки, верните ярлык на место, а состояние в Включено, таким образом Вы защитите себя от ненужных изменений.

А вот с записями из Реестра будет немного сложнее. В первых двух вариантах мы могли в один клик просто отключить загрузку программы и в случае промаха, тут же включить. Тут у нас нет права на ошибку. По крайней мере, при ошибке нам будет сложнее вернуть все как было. В Редакторе реестра мы можем просто удалить запись о подозрительном объекте.

Но перед этим сохраните его имя, значение и тип — тогда Вы сможете вернуть его на место. Удалив запись, перезагрузите компьютер. После чего проверьте, жив ли еще вирус. Если нет, вспомните место нахождения вируса и удалите его.

Если же неудача, восстановите удаленный параметр с помощью сохраненных данных и пункта Создать из контекстного меню Редактора реестра.

UPDATE: Так же хочется уточнить про один момент, который используют вирусы. После того как Вы удалите запись об автозагрузке какого-то элемента, вирус, например, перед выключением компьютера, может проверить наличие необходимой ему записи в автозагрузке. Если вирус не находит эту запись, он добавляет её.

Таким образом, даже если Вы удалили вирус(действительно вирус) из автозагрузки и перезагрузили компьютера, но вирус опять проявил себя, то стоит проверить, нет ли ранее удаленной записи на прежнем месте. Если запись имеется, это только увеличит вероятность того, что Вы нашли вирус. Безобидные программы себя так не ведут.

UPDATE2: Так же хочется добавить про вирусы, которые позволяют удалять свой исполняемый файл, но тут же его восстанавливают, стоит лишь обновить папку.

Такие вирусы полностью резиденты и полностью находятся в оперативной памяти компьютера, поэтому им нельзя ничего противопоставить, пока сам вирус работает.

Необходимо обрезать корни — выгнать вирус из автозагрузки — и только после этого удалять файлы вирусов.

UPDATE3: Некоторые вирусы не дают возможности удалить свои исполняемые файлы, а при попытке завершить их процессы, плодят еще несколько своих вирусных процессов, после чего отмирают.

Это как со сказочной Гидрой, у которой вырастают новые две головы, на место одной, сраженной. Но бить таких гидр можно весьма умело и весело — стоит переименовать запускаемый файл и гидра уже не сможет плодить новые процессы.

А дальше дело техники — отрубаете все вирусные процессы и удаляете тело вируса.

Чтобы удалить вирус, который постоянно прописывает себя в автозагрузку, необходимо загрузить компьютер в таком режиме, в котором вирус не был бы активен. Самый легкий способ — загрузить компьютер в Безопасном режиме, про который я писал в статье про удаление вируса Omiga Plus, который прописывается во всех браузерах пользователя. В худшем случае, загружать компьютер с внешнего носителя.

Видите, Вы не совсем бессильны перед «всесильными» и страшными вирусами. То, что вирусы используют в своих целях, может стать прекрасным инструментом для их же уничтожения. Бить врага его же оружием, это прекрасно! Пусть вирусы бояться Вас, а не Вы их!

P.S. Еще раз повторюсь: не все вирусы можно вычислить данным способом! Таким базовым способом можно найти и удалить только основную кучку вирусов.

Источник: http://about-windows.ru/virusy-i-xakery/virusy/kak-udalit-virusy/

Очень просто
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: