Bazaprogram.ru

Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

В каких папках искать вирусы

В каких папках искать вирусы

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.

В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск — Выполнить

В столбце «Команда» не должно быть подозрительных элементов, например C:Program Filesnovirus.exe

Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).

Как альтернативe команде msconfig можно использовать программу XPTweaker.

В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows — уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса — самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.

Дополнительно:

Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:Temp, C:WINDOWSTemp, C:Documents and SettingsuserLocal SettingsTemp, т.к. существует очень большая вероятность загрузки вируса из этих папок.

Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) — типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun и

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

При нахождении в них подозрительных элементов — мочить гадов! 🙂

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:WINDOWSsystem32h6d8dn.exe или подобную хрень.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба — launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.

Более действенный и быстрый способ — загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe» и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe — программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:WINDOWSsystem32userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Оригинальные параметры записи в реестре должны быть следующими :

Userinit = C:WINDOWSsystem32userinit.exe
UIHost = logonui.exe
Shell = explorer.exe

Вирус может прописать себя например так :

В данном примере файл gertinw.exe — это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!

После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:WINDOWSsystem32) и explorer.exe (находится в C:WINDOWS) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:windowssystem32driversetchosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersPersistentRoutes

HKEY_LOCAL_MACHINESYSTEMControlSet <номера 001 или 002>ServicesTcpipParameters PersistentRoutes

Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.

Где прячутся вирусы и как пользоваться командой msconfig в Windows

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их необходимая часть. Для этого они вносят изменения в реестр Windows.

В зависимости от «продвинутости» создателя вируса, это может быть реализовано по-разному. Рассмотрим самые распространенные случаи:

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск — Выполнить

В столбце «Команда» не должно быть подозрительных элементов, например C:Program Filesnovirus.exe

Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).

Как альтернативe команде msconfig можно использовать программу XPTweaker (скачайте с официального сайта).

В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Читать еще:  Как проверить антивирус касперского

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows — уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса — самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5−10-летней давности.

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке пopнo-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:WINDOWSsystem32h6d8dn.exe или подобную хрень.

В ветке HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:WINDOWSsystem32h6d8dn.exe или подобную хрень.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба — launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.

Более действенный и быстрый способ — загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe» и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe — программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:WINDOWSsystem32userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Оригинальные параметры записи в реестре должны быть следующими:

Вирус может прописать себя например так:

В данном примере файл gertinw.exe — это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!

После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:WINDOWSsystem32) и explorer.exe (находится в C:WINDOWS) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей.

Где находятся вирусы

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:windowssystem32driversetchosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersPersistentRoutes

HKEY_LOCAL_MACHINESYSTEMControlSet <номера 001 или 002>ServicesTcpipParameters PersistentRoutes

Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.

Автор текста: Сергей «Остров»

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Блог Евгения Крыжановского

Я научу вас ремонтировать свой компьютер!

Как удалить вирус вручную с компьютера? Как найти вирусы в компьютере вручную?

Сегодня хочется затронуть тему удаления вируса ручным способом. Также стоит разобрать такое понятие, как трояны, выяснить где они встречаются и как себя проявляют. Каким образом их можно занести в систему компьютера? Об этом и пойдет сейчас речь.

Разновидности вирусов Прежде чем приступить к процедуре избавления от вируса, следует узнать, какие его виды встречаются на компьютере. От этого, как правило, зависит способ лечения. Существует несколько разновидностей компьютерных вирусов, основными из которых являются:

• троян;
• шифровальщик;
• спам.

Троян представляет собой вредоносный файл, способный селиться в операционной системе и наносить ей вред. К примеру, он может повреждать или уничтожать ценные документы. На сегодняшний день известно много вирусов такого вида. Также корректной работе устройства могут мешать разнообразные шифровальщики. Они представляют собой такие файлы, которые способны блокировать систему. Отличительной особенностью этого вируса является то, что документы не разрушаются, а всего лишь зашифровываются.

Обычно в конце шифра можно увидеть e-mail автора, на который требуется перевести деньги, чтобы возвратить документ в первоначальный вид. К еще одной категории вирусов относится спам. Он способен сильно тормозить работу компьютера, особенно при посещении интернета. Такой процесс предусматривает смену стартовой страницы пользователя, а также размещение рекламных баннеров. В таких случаях, как правило, возникает вопрос: как найти вирусы самостоятельно и избавиться от них?

Симптомы заражения Прежде чем приступить к поиску вирусов вручную и удалить их навсегда, стоит разобраться, что указывает на присутствие компьютерной заразы. Главное, обнаружить признаки своевременно, чтобы избежать повреждения значительного числа документов и не потерять операционку. Первым признаком выступают сообщения от антивирусной программы.

Такой сигнал стоит рассматривать как немедленное совершение требуемых действий. Антивирусная программа будет указывать на определенные документы и файлы, а также выдвигать предположения по поводу названий вирусов. Стоит учитывать, что антивирус способен вести себя аналогичным образом по отношению к всевозможным «таблеткам», предназначенных для компьютерных игр. Хотя, это также не рекомендуется оставлять без внимания.

Читать еще:  Вконтакте моя старая страница

Другим признаком заражения системы является появление «тормозов» компьютера. В этот момент пользователи начинают задумываться, как избавиться от вируса вручную. Особенно данный вопрос актуален при отсутствии антивирусных программ. Поэтому при первых признаках торможения системы стоит приступать к активным действиям.

Также на компьютере могут появляться другие программы, которые пользователь не устанавливал. Это достаточно распространенное проявление компьютерного вируса. Помимо этого, можно столкнуться с рекламой в браузере, сменой стартовой страницы и отсутствием возможности ее восстановления, рекламными баннерами, которые являются отовсюду. Все эти сигналы должны обязательно насторожить пользователя и подвигнуть к немедленным действиям.

Процесс поиска Сначала необходимо найти места, в которых размещаются вирусы. Порой осуществить поиск достаточно тяжело. Особенно сложно это сделать, если отсутствует антивирусная программа. Что же предпринять в сложившейся ситуации? Если принято решение избавиться от вируса самостоятельно, потребуется отыскать папку на компьютере, где он хранится.

Бывает, что он сам себя выдает, разработав свои процессы в «Диспетчере задач». Таким образом, следует открыть его, нажав комбинацию клавиш Ctrl + Alt + Del, и перейти во вкладку «Процессы». После этого необходимо найти любую строку, вызывающей подозрения. Как правило, она имеет странное название или прописана с помощью иероглифов. Затем нужно кликнуть по кнопке «Показать расположение файла», и вирус найден.

Однако так просто бывает не всегда. Зачастую вирусы удачно маскируются и прячутся от пользователя. В этом случае стоит отметить пункт «Отображать скрытые файлы и папки» в отображении папок. Благодаря совершению такого действия поиск значительно упрощается. Стоит упомянуть еще один очень важный момент. Вирусы способны «оседать» в папке Windows. К примеру, многие трояны можно встретить в System32, другие вредоносные файлы прописываются в файл host.

Осуществление проверки Избавиться от вирусов можно несколькими способами. Первый заключается в автоматическом удалении. Для этого необходимо запустить проверку компьютера, чтобы выявить заразу. Это выполняется с использованием антивирусной программы. Поэтому стоит задуматься о хорошем антивируснике, чтобы получить высокую эффективность от проверки. Подходящим вариантом является Dr.Web. Также можно попробовать Nod32. Обе программы прекрасно справляются с возложенными на них задачами. Рекомендуется провести глубокую проверку. После получения результатов необходимо попытаться вылечить документы автоматическим способом. Если сделать это не удалось, можно просто стереть их. В случае неэффективности автоматического способа стоит задуматься об удалении вирусов вручную.

Избавление от программы Возможно, возникнет необходимость удаления контента, зараженного вирусом. Это случается чаще, чем хотелось бы. Сначала следует посетить «Панель управления», после чего нужно перейти в раздел «Установка и удаление программ». Нужно подождать некоторое время, пока закончится проверка контента. После этого на экране откроется перечень программ. Желательно избавиться от всех приложений, в которых нет надобности. Особенно это касается контента, который пользователь не устанавливал, а также того материала, какой появился вследствие установки другого софта. Потребуется совершить щелчок по нужной строчке об избавлении от вируса вручную.

Сплошное сканирование Существуют определенные службы и приемы, которые окажут помощь в сложившейся проблеме. В случае наличия сведений о названии вируса, можно найти его при использовании компьютерного реестра. Особенно это относится к спаму. Для перехода в требуемую службу необходимо нажать Win + R, после чего выполнить команду regedit. В результате на экране всплывет окно. В его левой части размещаются папки, имеющие длинные и совсем непонятные названия. Они как раз и являются надежным пристанищем для вирусов.

Можно немного упростить задачу по поиску. Для этого нужно зайти в «Правку» и нажать на «Поиск». Затем следует набрать имя вируса и выполнить проверку. Когда будут получены результаты, все возникнувшие строчки необходимо стереть. Чтобы это осуществить, достаточно поочередно кликать на каждую из них и выбирать требуемую команду. После выполнения всех действий необходимо осуществить перезагрузку устройства.

Статья раскрыла все моменты и способы удаления вируса из компьютера ручным способом. Данные рекомендации пригодятся не только опытным пользователям, но и новичкам для решения этой задачи. Главное, придерживаться представленных советов и все обязательно получится.

Запись опубликована 11.07.2015 автором katrinas11 в рубрике Моя жизнь. Отблагодари меня, поделись ссылкой с друзьями в социальных сетях:

Как без антивируса найти и удалить вирус на ноутбуке или ПК?

Поиском и удалением вирусов на ПК, ноутбуках и даже сайтах, я занимаюсь уже очень много лет, поэтому чтобы найти вирус в системе, не обязательно использовать программное обеспечение, хотя иногда без него не обойтись.

Сегодня я хочу рассказать как можно найти подозрительные программы (вирус или троян) с помощью обычных встроенных утилит Windows. В этой статье не будет разговоров о том как установить антивирус, и выполнить поиск с помощью программного обеспечения, на моём сайте и так много подобных тем.

Этот вариант не гарантирует полного очищения ноутбука или ПК от вирусов, но буквально за несколько минут даст понять есть ли в самой системе нежелательное программное обеспечение, которое мешает работе вашему компьютеру.

1. Системная папка Windows и основная папка системного диска (Диск C:/)
2. Временные файлы браузера и Windows
3. Папка для загрузки файлов в браузере
4. Корзина
5. Файлы восстановления системы

Как узнать есть ли вирус в системе?

Читать еще:  Поиск вход вконтакте

Первый и самый главный способ узнать о наличие вирусов в системе, посмотреть, что именно загружается вместе с запуском Windows. Всё правильно — это Автозагрузка. Причём автозагрузка в Windows бывает двух типов, это автозагрузка приложений из реестра, вторая- загрузка приложений из папки Автозагрузка.

Элементы автозагрузки

В Windows 7, посмотреть элементы автозагрузки можно с помощью утилиты msconfig. Для её запуска необходимо с помощью сочетаний клавиш WIN+R, открыть консоль выполнить.

В консоли пишем команду msconfig, а в новом окне выбираем вкладку Автозагрузка.

Теперь давайте внимательно посмотрим на элементы (программы), отмеченные галочкой. Ничего не смущает? Мне пришлось самостоятельно имитировать работу вируса, и тем самым мы можем увидеть несколько приложений, которые явно не являются безопасным программным обеспечением.

Как определить что это вирус?

1. Начнём с того , что каждое приложение имеет логическое название: superpuper.exe,trojan123.exe,123.exe, svchost.exe,A12312312.exe,autorun.bat — это точно вирус!

2. Обратите внимание на производителя программы, если в данной ячейке «Нет данных», это не значит , что это вирус. Вредоносное ПО, устанавливает производителя, например Microsoft, но может этого и не делать. Поэтому нужно смотреть на название, и производителя одновременно.

3. Программное обеспечение устанавливается в соответствующую папку, в моём случае это папка C:/Program Files/Название программы

4. Драйвера устанавливаются в папку C:/Windows/System32

Что мы видим на данный момент в автозагрузке, есть 3 подозрительных файла:

  • 123 — 123.exe
  • Пустое значение — svchost.exe
  • Driver.exe

Первые два сразу можно отнести к вирусам! Почему?

  • Во-первых отсутствует название программы. 123 — таких программ не существует в природе.
  • Во-вторых отсутствует разработчик.
  • В третьих, файл размещается в главной папке диска C:/, вместо Program Files
  • У одного из файлов не указано название элемента автозагрузки

Так же обратите внимание на файл svchost.exe, он действительно есть в системе Windows, но по умолчанию располагается в папке C:/Windows/system32. Очень часто вирус шифруется под этим именем, но лежит совершенно в другой папке.

Во-первых нужно убрать галочки с этих файлов, и нажать кнопку применить (компьютер не перегружать,даже после запроса)

Во-вторых нужно удалить данные файлы, для этого ищем их на диске. В моём случае два вируса лежат на диске C:/

Выделяем их мышкой, и удаляем

Если файлы не удаляются, скорее всего они висят в процессах, т.е на данный момент находятся в рабочем состояние. Как узнать? В диспетчере задач, есть вкладка «Процессы», переходим в неё, и ищем название вредоносного ПО, в моём случае не удаляется файл virus123.exe

Файл Virus123.exe висит в процессах, поэтому он не удаляется. Для того чтобы снять процесс, жмём правой кнопкой мыши по названию файла, и выбираем в меню «Завершить процесс».

Затем удаляем файл на диске. Если же файл по прежнему не удаляется, значит после его завершения, он автоматически запускается и опять висит в процессах.

Для его удаления понадобится действовать очень быстро, снять процесс, и сразу же попытаться удалить файл на диске. Раньше у меня без проблем получалось выполнить данное действие.

Файл Driver.exe в Автозагрузке.

Я не забыл про этот файл, он расположен в системной папке Windows, и на первый взгляд можно перепутать его с каким-нибудь драйвером для оборудования. На самом деле это ни так. Дело в том, что основная часть драйверов не прописываются в автозагрузку, и подгружаются ещё до загрузки оболочки Windows.

У файла Driver.exe «нет данных» от производителя, да и название файла очень странное. Достаточно сравнить с драйверами компании Intel, и Alp Electric. Есть чёткое название, а так же данные производителя.

Вирусы в папке временных файлов

Временные файлы можно поделить на две части:

1. Временные файлы прикладного программного обеспечения
2. Временные файлы браузера (Chrome,Firefox,Yandex и т.д)

Временные файлы хранятся в папке C:/Users/Ваш пользователь/AppData/local/Temp

Вирусы в корзине

И такое тоже может быть, но в основном они туда попадают после их ручного удаления, поэтому не забываем очистить её простым нажатием правой кнопкой мыши по корзине и выбором пункта меню «Очистить корзину».

Вредоносное ПО в папке с файлами восстановления

Если вирусное ПО уже давно находится в системе, и при этом включена функция восстановления системы, автоматически создаётся копия системных файлов вместе с вирусами.

Если мы временно отключим «Восстановление системы», так же будут удалены вирусы и трояны. Понятное дело, данную функцию можно потом включить. Жмём правой кнопкой мыши по значку «Мой компьютер», в окошке выбираем «Защита системы».

На вкладке «защита системы» выбираем локальный диск C:/ (если защита включена), и нажимаем настроить. Теперь осталось нажать кнопку «Удалить», либо выбрать опцию «Отключить защиту», и нажать кнопку применить.

Все точки восстановления будут удалены, а с ними и вредоносное программное обеспечение. После удаления точек, можем обратно установить опцию «Восстановить параметры системы».

Даже если на вашем ноутбуке или пк не было обнаружено вредоносного ПО, это не значит, что его нет. Не забывайте об антивирусном программном обеспечение, которое на 99% сможет защитить ваш компьютер. Тем кто использует только белые и пушистые сайты, бояться нечего, тем кто постоянно «серфит» по интернету в поисках чего-то нового, обязательно понадобиться по для зашиты ноутбука.

Ссылка на основную публикацию
Adblock
detector