При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.

Где прячутся вирусы

В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:

 




 

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск - Выполнить

Автозагрузка Windows

В столбце "Команда" не должно быть подозрительных элементов, например C:\Program Files\novirus.exe




Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце "Расположение").

 

Как альтернативe команде msconfig можно использовать программу XPTweaker.

XPTweaker

В разделе "Система" перейти на закладку "Загрузка системы", прокрутить скроллом немного вниз до заголовка "Автозагрузка". Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows - уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса - самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.




Дополнительно:

Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp, C:\WINDOWS\Temp, C:\Documents and Settings\user\Local Settings\Temp, т.к. существует очень большая вероятность загрузки вируса из этих папок.

Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) - типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

При нахождении в них подозрительных элементов - мочить гадов! :)

 

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения "explorer.exe" заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба - launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.




Более действенный и быстрый способ - загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, исправить "хрень" у записи параметра Shell (reg_sz) на "explorer.exe" и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

 

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe - программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

 

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригинальные параметры записи в реестре должны быть следующими:

Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe

Где прячутся вирусы

Вирус может прописать себя например так:

Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe

В данном примере файл gertinw.exe - это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!




 

После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:\WINDOWS\system32\) и explorer.exe (находится в C:\WINDOWS\) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.

 

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

и

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet {номера 001 или 002}\Services\Tcpip\Parameters \PersistentRoutes

Удалить их содержимое полностью кроме строки "По умолчанию" с неприсвоенным значением.

Комментарии   

#1 Иван 04.06.2012 15:50
Часто вирусы находятся во временных папках типа Temp, предварительно прописав в автозагрузку линк на их запуск.

Еще бывает, что вирус каждый раз воссоздает себя при запуске Windows из файла, который не определяется, как вирус.
#2 Светлана 25.12.2014 01:06
Частенько ловила порно-баннеры на рабочий стол, когда стояла ОС ХР. Так вот вирус может быть вообще где угодно. Все перечисленные места чаще всего. Но пару раз у меня зараженный файл был прямо на рабочем столе, причем долго его не могла увидеть. Искала где угодно, только не на поверхности. Выглядел, как набор цифр с расширением ехе.

Добавить комментарий

     

Защитный код
Обновить


      Как распознать музыку
      Как распознать музыку

      Бывает, услышишь мелодию и сразу хочется узнать, что это за композиция, кто автор, кто исполнитель этого шедевра??? К сожалению иногда играть в игру "Угадай мелодию" довольно сложно - за 2000 с лишним лет люди придумали столько песен, столько мелодий..., что все запомнить ну просто не реально. Тем более, что многие из них, особенно попсовые иногда очень похожи.




      Курс авиационного английского
      Курс авиационного английского "AirSpeak" (Небесный разговор)

      AirSpeak - наверное самый известный курс обучения летного и диспетчерского состава фразеологии радиообмена. Ситуации, приведенные в этом курсе - максимально приближены к реальной эксплуатации воздушных судов и обслуживания воздушного движения. Рассмотрены, конечно, только самые основные и элементарные случаи. Но основной упор данного курса делается на количество повторений и понимание основ...




      Невидимый список аэродромов и их схем в FliteStar/FliteMap
      Невидимый список аэродромов и их схем в FliteStar/FliteMap

      Если на компьютере установлена прикладная навигационная программа Jeppesen FliteStar/FliteMap совместно с программой Jeppesen JeppView, то в программе FliteStar/FliteMap становится активной опция в меню "View - Airport List" и в ней становится также воможным просматривать схемы аэродромов. В процессе эксплуатации программы может возникнуть ситуация, когда список аэродромов и их схем перестанет отображаться - не просто спрятана панель...




      Сбербанк онлайн - дырка в приложении для iPad
      Сбербанк онлайн - дырка в приложении для iPad

      Многие клиенты сбербанка пользуются сервисом "Сбербанк онлайн" для управления своими финансами и платежами. У данного сервиса есть детище - приложение для iPad, имеющее похожее название - "Сбербанк ОнЛ@йн". В принципе, приложение "Сбербанк ОнЛ@йн" не плохое и довольно удобное. По сравнению с доступом через сайт к сервису "Сбербанк онлайн" гораздо проще реализована авторизация - нужно ввести только собственный пароль. Из...




      Боевой листок второго отделения
      Боевой листок второго отделения

      2003 год, Краснодарский край, город Ейск, военные сборы гр. 51/98 УВАУ ГА Приближалось лето!!! Одна из туристических фирм города Ульяновска предложила нам прекрасно провести время на курорте Краснодарского края - в солнечном городе Ейске. Посоветовавшись группой, мы решили приобрести путёвки...




      Кодирование Grid MORA в БД Arinc-424
      Кодирование Grid MORA в БД Arinc-424

      The Grid MORA - (Grid Minimum Off Rate Altitude) - минимальная абсолютная высота вне маршрута (сетчатая). Имеет код раздела и подраздела - A и S соответственно при кодировании в БД ARINC-424. По сути, AS-записи содержат таблицу высот. Каждая запись (строка) содержит 30 блоков, а поля "Начальная широта" и "Начальная долгота" совместно определяют нижний левый угол для первого блока каждой записи.




      Идеальный тестер
      Идеальный тестер

      Любой сотрудник некрупной IT-компании подтвердит, что четверг – самый скучный день недели. В самом деле - в понедельник все разгребают пришедшую за выходные почту, ругаются с поставщиками кофе и воды для кулера, и курят на лестнице, рассказывая друг другу анекдоты для борьбы со сном и похмельем. Во вторник задачи розданы, силы свежи, и код пишется на одном дыхании. В среду количество полезной...



Яндекс.Метрика