Может ли антивирус не найти вирус. Где прячутся вирусы и как пользоваться командой msconfig в Windows. Вредоносный файл под видом изображения

Итак, сегодня мы поговорим с вами о том, как удалить вирус вручную с компьютера. Помимо этого, посмотрим, какие могут встречаться трояны, как они проявляют себя и откуда могут быть занесены на компьютер. Давайте же поскорее приступим к изучению нашей сегодняшней темы.

Виды вирусов

Что ж, но перед тем, как удалить вирус вручную с компьютера, стоит поговорить с вами о том, какая зараза вообще встречается на компьютере. Ведь в большинстве случаев именно от этого зависит то, каким образом следует проводить лечение. Так что, давайте начнем.

Первый вирус - это троян. Из себя представляет вредоносный файл, который "селится" в операционной системе, да еще и вредит ей. Например, повреждает или уничтожает важные документы. Сейчас их очень много.

Второй довольно распространенный вид вируса - это разнообразные шифровальщики. Это такие файлы, которые попадают в систему и блокируют ее. Но не разрушая, а всего лишь зашифровывая документы. В конце такого шифра, как правило, оставляется e-mail создателя, на который надо перевести энную сумму денег ради возврата документов в первоначальный вид.

Третий вирус, который можно подцепить - это, конечно же, разнообразные надстройки браузера, или спам. Как правило, они очень сильно да еще и мешают работе в интернете. Это происходит из-за того, что у пользователя может смениться стартовая страница, плюс ко всему, в браузере всюду будут расположены рекламные баннеры. Когда пользователи видят эту картину, то они задумываются, как найти вирусы в компьютере вручную, а потом убрать их. Сейчас мы попытаемся разобраться с этим.

Признаки заражения

Итак, перед тем как найти вирусы вручную и избавиться от них раз и навсегда, давайте попробуем разобраться, что может указывать вам на наличие компьютерной заразы в системе. Ведь если вовремя обнаружить сигналы, то можно избежать повреждения большого количества файлов и потери "операционки".

Первый, наиболее явный признак - это не что иное, как сообщения вашей антивирусной программы. Она будет "ругаться" на какие-то документы и файлы, выдавая вам название предполагаемого вируса. Правда, иногда антивирус так ведет себя по отношению к различным крякам и "таблеткам" к компьютерным играм. Тем не менее, без внимания это оставлять нельзя.

Второй вариант развития событий - у вас начинает "тормозить" компьютер. Именно тогда пользователи начинают активно думать, как удалить вирус вручную, особенно, если у них нет антивируса. Так что, как только вы заметили, что ваша система стала "тугодумом", начинайте бить тревогу.

Очередной вариант развития событий - на компьютере стали появляться новые программы, которые вы не устанавливали. Довольно распространенный ход среди компьютерной заразы.

Кроме того, на инфицирование компьютера может указывать еще и реклама в браузере. Смена стартовой страницы без возможности восстановления, рекламные баннеры везде и всюду - все это довольно тревожные сигналы. Так что, давайте поскорее посмотрим, как происходит с компьютера вручную.

Поиск

Что ж, первым делом стоит начать с поиска тех мест, где кроется зараза. Иногда сделать это очень трудно. Особенно, если у вас нет антивирусной программы. В общем, давайте посмотрим, что можно сделать в сложившейся ситуации.

Итак, когда вы решили самостоятельно побороть вирус, то вам придется найти папку на компьютере, в которой он хранится. Иногда зараза сама выдает себя, создав свои процессы в Откройте его (Ctrl + Alt + Del), после чего перейдите во вкладку "процессы". Теперь найдите там любую подозрительную строчку (она будет как-то странно называться, или вообще подписана иероглифами) и нажмите на кнопку "показать расположение файла". Готово, вирус найден.

Правда, не все всегда так легко и просто. Если вы думаете, как удалить вирус вручную с компьютера, то вам стоит знать и то, что компьютерная зараза зачастую хорошо скрывается. В отображении папок отметьте пункт "отображать и папки". Теперь осуществлять поиск будет значительно проще.

Помните и то, что очень часто "оседают" в папке Windows. Например, большинство троянов встречается в System32. Некоторая зараза способна "прописаться" в файл host. Излюбленные места вирусов мы знаем. Но как же избавиться от них?

Проверки

Первый вариант развития событий - это удаление заразы автоматически. Точнее, полуавтоматически. Речь идет о на наличие вирусов при помощи антивирусной программы.

Для того чтобы обеспечить себе надежную защиту данных, запаситесь хорошим антивирусом. Отлично подходит Dr.Web. Если он вам не понравился, можете испробовать еще и Nod32. Он тоже довольно хорошо справляется с задачей.

Проведите глубокую проверку. После того, как программа выдаст вам результаты, постарайтесь вылечить документы автоматически. Не получилось? Тогда сотрите их. Правда, если вы думаете, как удалить вирус вручную с компьютера, то, скорее всего, проверки антивирусом вам не помогли. Давайте посмотрим, что же еще можно сделать.

Стираем программы

Второй шаг на пути к исцелению системы - это, конечно же, удаление разнообразного контента, который вам наставил вирус. Это довольно частое явление. Так что, загляните в "панель управления", а оттуда проследуйте в "установку и удаление программ". Немного подождите, пока завершится проверка контента на компьютере.

Когда перед вами появится список программ, удалите все, чем вы не пользуетесь. Особое внимание уделите контенту, который вы не устанавливали. Или же тому, что появился "прицепом" после завершения установки какой-нибудь другой "проги". Кликните по нужной строчке правой кнопкой мышки, после чего выберите команду "удалить". Готово? Тогда можно думать дальше, как удалить вирус вручную с компьютера.

Тотальное сканирование

А теперь давайте прибегнем к некоторым службам и приемам, которые обязательно помогут нам. Если вы знаете название вируса (особенно, если вы столкнулись со спамом), то вам подойдет поиск заразы при помощи компьютерного реестра.

Для того чтобы перейти в необходимую службу, нажмите сочетание клавиш Win + R, а затем выполните команду "regedit". Посмотрите, что перед вами появится. С левой стороны окна расположены папки с длинными и непонятными названиями. Именно в них зачастую прячутся вирусы. Но мы немного упростим себе задачу по поиску. Достаточно зайти в "правку", а затем нажать на "поиск". Наберите имя вируса, после чего осуществите проверку.

После получения результатов все появившиеся строки требуется стереть. Для этого кликайте поочередно на каждую из них, после чего выбирайте необходимую команду. Все готово? Тогда перезагрузите компьютер. Теперь вы знаете, как удалить вирус вручную с компьютера.

Друзья из этой статьи вы узнаете, как будет вести себя компьютер при заражении вирусом, и как провести лечение с помощью восстановления системы.

На сегодняшний день разнообразие компьютерных вирусов в сети интернет поражает воображение, но создатели антивирусов тоже не дремлют — не дают произвести максимальную атаку на наши с вами железные детища.

Признаки заражения компьютера

К сожалению антивирусы не идеальны и бывают случаи когда вирус проползает на компьютер, о чем мы сегодня и поговорим.

Первым делом обращаем внимание на поведение компьютера. Следующие сигналы могут говорить о заражении компьютера вирусом.

1. Без вашего вмешательства происходит запуск программ.
2. Компьютер выдает неожиданные звуковые сигналы.
3. Знакомые ругаются, получая от вас письма с вирусами.
4. Если вы сами часто получаете почту без обратного адреса.
5. Компьютер тормозит и часто зависает.
6. Программы зависают и произвольно закрываются.
7. Windows очень долго загружается или не загружается совсем.
8. В диспетчере задач на вкладке Процессы вы видите csrcs.exe ? Это троянская программа, только не перепутайте с системным процессом разница в одной букве csrss .
9. Браузер на половину теряет ручной контроль — сам открывает страницы, глючит, ведет себя не адекватно.

Методы лечения

Если вы замечаете, что компьютер ведет себя как описано выше, то делаем следующее:

Первым делом сканируем систему установленным антивирусом. Если не может обнаружить вирус, пробуем другие антивирусы: Avast , Kaspersky или Nod32 .

Видео о вирусах

Как удалить вирус при помощи восстановления системы

Если антивирус не смог обнаружить или удалить вирус, пробуем восстановить систему. Перезагружаем компьютер и жмем клавишу F8. В окне выбора вариантов загрузки выбираем Загрузиться в безопасном режиме.

Вы можете запустить Восстановление системы альтернативным способом. В окне с вариантами загрузки системы Выбираем загрузиться в безопасном режиме с поддержкой командной строки. После загрузки в командной строке водим и нажимаем Enter:

• для Windows 7 или Vista: %systemroot%\system32\rstrui.exe;
• для Windows XP: %systemroot%\system32\restore\rstrui.exe.

После запуска следуем всем указаниям программы для успешного восстановления. Если это не помогло проще будет переустановить Windows.

Как обнаружить и удалить вирус с компьютера в видео

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их необходимая часть. Для этого они вносят изменения в реестр Windows.

В зависимости от «продвинутости» создателя вируса, это может быть реализовано по-разному. Рассмотрим самые распространенные случаи:

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig , запущенной через меню Пуск - Выполнить

В столбце «Команда» не должно быть подозрительных элементов, например C:\Program Files\novirus.exe

Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).

Как альтернативe команде msconfig можно использовать программу XPTweaker (скачайте с официального сайта).

В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows - уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса - самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5−10-летней давности.

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке пopнo-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

explorer.exe или подобную хрень.

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Параметр Shell (reg_sz) вместо значения «explorer.exe » заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба - launcher.exe . Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.

Более действенный и быстрый способ - загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe » и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe - программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe . Размер оригинального файла составляет 26,0 КБ (26 624 байт) , на диске: 28,0 КБ (28 672 байт) .

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit , UIHost и Shell , расположенных по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригинальные параметры записи в реестре должны быть следующими:

Userinit = C:\WINDOWS\system32\userinit.exe

UIHost = logonui.exe

Shell = explorer.exe

Вирус может прописать себя например так:

Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe

В данном примере файл gertinw.exe - это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!

После удаления нужно заменить файлы userinit.exe , logonui.exe (находятся в C:\WINDOWS\system32\ ) и explorer.exe (находится в C:\WINDOWS\ ) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей.

Где находятся вирусы

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts . Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet {номера 001 или 002}\Services\Tcpip\Parameters \PersistentRoutes

Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter .

без использования каких-либо программ — антивирусов

Здесь мы покажем вам, как можно самостоятельно обнаружить и затем удалить файлы, способные нанести вред вашему компьютеру, или вирусы самостоятельно (вручную) без использования каких-либо антивирусных программ.

Это несложно . Давайте начнём!

Как удалить вирус самостоятельно

Действовать необходимо на правах администратора.

Для начала надо открыть командную строку. Для этого нажмите сочетание клавиш WINDOWS + R и в появившемся окне в строке введите cmd и нажмите ОК .

Команда cmd в командной строке

Либо, нажав кнопку Пуск в нижнем левом углу экрана монитора, в строке поиска начните набирать «командная строка », а затем по найденному результату кликните правой кнопкой мышки и выберите «Запуск от имени администратора ».

Вызов командной строки через поиск

Запуск командной строки от имени администратора

Кратко о том, какие цели у наших будущих действий:

С помощью команды attrib нужно найти такие файлы, которые не должны находиться среди системных файлов и потому могут быть подозрительными.

Вообще, в C: / drive не должно содержаться никаких .exe или .inf файлов. И в папке C:\Windows\System32 также не должны содержаться какие-либо, кроме системных, скрытые или только для чтения файлы с атрибутами i, e S H R .

Итак, начнём ручной поиск подозрительных, файлов, то есть вероятных вирусов, самостоятельно, без использования специальных программ.

Откройте командную строку и вставьте cmd . Запустите этот файл от имени администратора.

Открываем cmd

Прописываем в строке cd/ для доступа к диску. Затем вводим команду attrib . После каждой команды не забываем нажимать ENTER:

Команда attrib в командной строке

Как видим из последнего рисунка, файлов с расширениями .exe или .inf не обнаружено.

А вот пример с обнаруженными подозрительными файлами:

Вирусы в системе Windows

Диск С не содержит никаких файлов .еxе и. inf , пока вы не загрузите эти файлы вручную сами . Если вы найдёте какой-либо файл, подобный тем, которые мы нашли, и он отобразит S H R , тогда это может быть вирус .

Здесь обнаружились 2 таких файла:

autorun. inf

sscv.exe

Эти файлы имеют расширения .еxе и. inf и имеют атрибуты S H R . Значит, эти файлы могут быть вирусами .

Теперь наберите attrib -s -h -г -а -i filename. extension . Или в нашем примере это:

attrib — s — h — г — а -i autorun. inf

Эта команда изменит их свойства, сделав из них обычные файлы. Дальше их можно будет удалить.

Для удаления этих файлов введите del filename. extension или в нашем случае:

del autorun.inf

То же самое надо проделать со вторым файлом:

Удаление вирусов вручную

Теперь перейдём к папке System32.

Впишите cd win* и нажмите ENTER.

Снова введите s ystem32. Нажмите ENTER.

Затем впишите команду attrib . Нажмите ENTER.

Появился вот такой длинный список:

Снова вводим внизу команду attrib , не забывая нажать потом ENTER :

И находим вот такие файлы:

Подозрительные файлы в папке Windows

При перемещении вверх-вниз экран перемещается очень быстро, поэтому когда мелькнёт что-то новое, приостановитесь и вернитесь назад‚ чтобы проверить каждый файл, не пропустив ни одного.

Подозрительные файлы в папке Windows

Выписываем себе все найденные S H R файлы :

1. atr. inf
2. dcr. exe
3. desktop. ini
4. idsev.exe

Выполните команду attrib 3 или 4 раза, чтобы убедиться, что вы проверили всё.

Ну, вот. Мы самостоятельно нашли целых 4 вредоносных файла! Теперь нам нужно удалить эти 4 вируса.

C:\Windows\System32>attrib -s -h -r -a -i atr.inf

C:\Windows\System32>del atr.inf

C:\Windows\System32>attrib -s -h -r -a -i dcr.exe

C:\Windows\System32>del dcr.exe

C:\Windows\System32>attrih -s -h -r -a -i desktop.ini

C:\Windows\\System32>del desktop.ini

C:\Windows\System32>attrib -s -h -r -a -i idsev.exe

C:\Windows\System32>del idsev.exe

Удаляем вирусы с компьютера самостоятельно

Аналогичную операцию надо провести с другими папками, вложенными в каталог Windows.

Нужно просканировать ещё несколько таких каталогов, как Appdata и Temp . Используйте команду attrib , как показано в этой статье, и удалите все файлы с атрибутами S H R, которые не имеют отношения к системным файлам и могут заразить ваш компьютер.

Проблема инфицированных изображений и вирусов, замаскированных под них, является достаточно важной ввиду существующих алгоритмов поиска угроз, использующихся в большинстве антивирусов. Антивирусы, использующие преимущественно сигнатурный анализ, и наделенные всеми преимуществами и недостатками этой технологии, часто вынуждены игнорировать бинарные файлы для сохранения высокой скорости сканирования. Именно эта черта антивирусов приводит к удобным возможностям для злоумышленников в деле инфицирования веб-ресурсов и серверов путем сокрытия инфекций в бинарных файлах и, чаще всего, именно в файлах изображений. В этой статье мы рассмотрим наиболее часто встречающиеся типы подобного инфицирования, способы обнаружения подобных файлов и методы их устранения, либо очистки, а также расскажем о том, как Virusdie помогает в борьбе с подобными файлами.

Часто, картина инфицирования сайтов и серверов, предполагает инфицирование исполняемых файлов, либо создание новых. В то же время, в отдельную группу стоит выделить инфекции, маскирующиеся под файлы изображений, либо модернизирующие их. Сложность поиска и устранения подобных заражений заключается не только в самом принципе их выявления, но и в последствиях, к которым может привести их автоматическое устранение или простое удаление файлов.

Вредоносный файл под видом изображения

Подобные описанному ниже случаю встречаются достаточно часто. На сервер злоумышленником загружается файл с типичным расширением изображения (например, *.ico, *.png, *.jpg и т.д.), содержащий код.

Вызов вредоносного файла прописывается в одном из исполняемых при работе CMS сайта файле. Это может быть как основной файл index.php, так и один из файлов шаблона CMS. Обнаружить визуально подобный файл достаточно легко. Обычно, уже само имя подобного файла может даже неподготовленного пользователя навести на мысль о его подозрительности, например, favicon_9b3623.ico . Вы можете легко удостовериться во вредоносности файла, просто открыв его в редакторе. В случае, если ли вы, открыв файл изображения, увидите осмысленный код,- файл вредоносен.

Однако, если в этом случае выявление самого вредоносного объекта не составляет труда, устранение подобного заражения требует особого внимания. В большинстве случаев, простое удаление файла приведет к неработоспособности веб-сайта, поскольку несуществующий файл вызывается в одном из файлов CMS. Для того, чтобы без последствий устранить найденное заражение, вы можете сделать поиск по файлам сайта, задав в качестве объекта поиска фрагмент контента, содержащий имя файла найденной угрозы (например, favicon_9b3623.ico ).

После нахождения файлов, содержащих вызов инфицированного объекта, вам останется просто удалить строки обращения к зараженному файлу. В этом случае, при удалении инфекции, маскирующейся под файл изображения, пройдет безболезненно для работы вашего сайта.

Вредоносный код в реальном файле изображения

Случаи инфицирования реальных файлов изображений гораздо более редки, нежели создание вредоносных файлов, содержащих php-код в явном виде и лишь имеющих расширение, соответствующее изображению. Но опасность подобных заражений заключается в их сложном детектировании, почти исключающим возможность обнаружения подобных файлов вручную.

Часто, фрагмент дописывается в конец бинарного файла изображения. Имя самого же файла остается неизменным, а часто, сохраняется и оригинальное время последней легальной модификации файла для избежания детектирования, основанного на выявлении измененных файлов на сервере за определенный период времени. Описываемый случай достаточно нетривиален для детектирования и, тем более, для устранения.

С задачами подобного класса различные антивирусные средства работают различными методами, множество из которых основано на комплексном подходе, учитывающим различные факторы. Например, к файлу, в процессе сканирования, применяются одновременно как репутационные методы, так и эвристические и, в некоторых случаях, даже сигнатурные.

В большинстве случаев, оптимальным вариантом устранения выявленного заражения будет, как в подобном случае, именно восстановление немодифицированного файла из резервной копии или устранение фрагмента кода. Однако, вам следует быть осторожными и предварительно проверить, не содержит ли исходная копия этого файла изображения вредоносных включений.

Подход Virusdie к анализу файлов изображений

С 5 апреля 2018 года мы запускаем программу тестирования новых алгоритмов, позволяющих не только детектировать описанные выше случаи инфицирования, но и устранять большинство из них в автоматическом режиме без последствий для работоспособности сайтов. Первичное тестирование будет производиться на всей линейке продуктов Virusdie, но помечаться найденные фалы будут как «Подозрения». Также, во время тестирования новой логики детектирования, автоматическое устранение найденных объектов не будет доступно во избежании нарушения работоспособности веб-ресурсов клиентов.

Для устранения найденных заражений вы всегда можете воспользоваться нашими советами, приведенными выше в этой статье.