При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.

Где прячутся вирусы

В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:

 




 

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск - Выполнить

Автозагрузка Windows

В столбце "Команда" не должно быть подозрительных элементов, например C:\Program Files\novirus.exe




Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце "Расположение").

 

Как альтернативe команде msconfig можно использовать программу XPTweaker.

XPTweaker

В разделе "Система" перейти на закладку "Загрузка системы", прокрутить скроллом немного вниз до заголовка "Автозагрузка". Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows - уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса - самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.




Дополнительно:

Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp, C:\WINDOWS\Temp, C:\Documents and Settings\user\Local Settings\Temp, т.к. существует очень большая вероятность загрузки вируса из этих папок.

Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) - типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

При нахождении в них подозрительных элементов - мочить гадов! :)

 

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения "explorer.exe" заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба - launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.




Более действенный и быстрый способ - загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, исправить "хрень" у записи параметра Shell (reg_sz) на "explorer.exe" и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

 

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe - программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

 

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригинальные параметры записи в реестре должны быть следующими:

Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe

Где прячутся вирусы

Вирус может прописать себя например так:

Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe

В данном примере файл gertinw.exe - это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!




 

После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:\WINDOWS\system32\) и explorer.exe (находится в C:\WINDOWS\) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.

 

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

и

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet {номера 001 или 002}\Services\Tcpip\Parameters \PersistentRoutes

Удалить их содержимое полностью кроме строки "По умолчанию" с неприсвоенным значением.

Комментарии (2)

This comment was minimized by the moderator on the site

Часто вирусы находятся во временных папках типа Temp, предварительно прописав в автозагрузку линк на их запуск.

Еще бывает, что вирус каждый раз воссоздает себя при запуске Windows из файла, который не определяется, как вирус.

This comment was minimized by the moderator on the site

Частенько ловила порно-баннеры на рабочий стол, когда стояла ОС ХР. Так вот вирус может быть вообще где угодно. Все перечисленные места чаще всего. Но пару раз у меня зараженный файл был прямо на рабочем столе, причем долго его не могла увидеть. Искала где угодно, только не на поверхности. Выглядел, как набор цифр с расширением ехе.

Здесь не опубликовано еще ни одного комментария

Оставьте свой комментарий

  1. Опубликовать комментарий как Гость.
0 Значки
Вложения (0 / 3)
Поделитесь своим местоположением

      Фразы про ЧАСТИ ТЕЛА (BODY PARTS)
      Фразы про ЧАСТИ ТЕЛА (BODY PARTS)

      В очередной раз откроем словарик и начнем удивляться смыслу перевода некоторых английских фраз и выражений. Что поделать? - Сленг! Вот вам выражения, в которых используются части человеческого тела (BODY PARTS), использование их в повседневной английской речи и сравнение с русскими аналогами. 1. TO LEND SMB A HAND (досл. «одалживать руку»). По-русски это означает: помогать кому-либо. Пример: This box is heavy....




      Cовершенствование методов сбора и анализа статистических данных по факторам риска
      Cовершенствование методов сбора и анализа статистических данных по факторам риска

      Межгосударственный авиационный комитет 16 ноября 2011 года, Бексаев Введение Необходимость сбора больших объёмов данных, связанных с безопасностью полётов, и обработки этих массивов в кратчайшие сроки всё больше диктует необходимость использования компьютерных технологий при передаче/приёме и обработке данных. В настоящее время всё чаще для сбора и анализа данных используются электронный документооборот, что...




      Как изменить размер значков на рабочем столе Windows 7
      Как изменить размер значков на рабочем столе Windows 7

      Слепым эту статью не читать! :) После приобретения нового компьютера или ноутбука с становленной операционной системой Windows 7, а, может быть, просто вместо старого и доброго ХРюши (Windows XP) в неизбежном процессе upgrade на Windows 7 на рабочем столе созерцаем неестественно крупные иконки: Мой компьютер, Корзина,... и др. Так как многие пользователи частенько "заваливают" свой рабочий стол различными ярлыками, папками, файлами,...




      Циклы обновления навигационных БД Garmin на 2016-2017
      Циклы обновления навигационных БД Garmin на 2016-2017

      Компания Garmin вполне заслуженно и, поэтому, весьма уверенно уже много лет сохраняет статус лидера в области авиационных навигаторов (как портативных, так и стационарных) для авиации, кораблей и автомобилей. А тесное сотрудничество с Jeppesen и GIS-организациями дает преимущество в плане создания баз данных. На этой странице содержится информация о циклах обновления навигационных БД Garmin на 2016...




      xCode - UIKeyboardTaskQueue may only be called from the main thread
      xCode - UIKeyboardTaskQueue may only be called from the main thread

      Если xCode при компиляции проекта ругается на часть кода и выдает ошибку, например, такую:    Thread 4: Exception: -[UIKeyboardTaskQueue waitUntilAllTasksAreFinished] may only be called from the main thread.   Это означает, что данный кусок кода должен выполняться в главном потоке, а не в дополнительном.




      Нормативные документы по аэронавигационным данным
      Нормативные документы по аэронавигационным данным

      Doc 9674 – Руководство по всемирной геодезической системе WGS-84; DOC 8126 – Руководство по службам аэронавигационной информации; DOC 9613 – Руководство по требуемым навигационным характеристикам (RNP); Doc 9674 – Руководство по всемирной геодезической системе WGS-84; JAA TGL10 – Temporary Guidance Leaflets (Временные наставления по P-RNAV); Eurocontrol. Document 003-93, Area Navigation...




      Как настроить Wi-Fi Router DLINK DIR-300 NRU B5 под Билайн
      Как настроить Wi-Fi Router DLINK DIR-300 NRU B5 под Билайн

      В мае 2011 года я написал и разместил на сайте статью "Как настроить Wi-Fi Router DLINK DIR-300 NRU под Билайн". Писал этот мануал в первую очередь для себя, чтоб качественная шпаргалка всегда была под рукой. Со временем статью немного дополнил и откорректировал в соответствии с новой информацией и фактическим опытом настройки данного типа рутеров. Чуть более чем за полгода эта статья была просмотрена 35 тысяч раз, к ней было написано 5 страниц комментариев к статье: как благодарных, так и...



Яндекс.Метрика
Сайт работает на быстром VPS/VDS хостинге от FASTVPS