foto1 foto2 foto3 foto4 foto5


Поделись в социальных сетях!


Поиск

Интересное к прочтению

                                                         как удалить вирус?

Чтобы удалить вирус надо загрузить незараженную операционную систему, запретить автозагрузку драйверов руткита. Для этого используем консоль восстановления Windows. Загрузка 
Windows XP происходит прямо с установочного диска. Загрузка проходит автоматически. Как только появится картинка с меню, то выбираем второй пункт, далее, нажимаем R. 
Кликаем на нужную систему, если их несколько. Вводим пароль. Зайти в список драйверов и служб можно, используя команду listsvc. В списке обнаруживаем Yoy46, скрыт файл grande48. Тем не менее, он есть, но загрузка не происходит. Запретить и разрешить загрузку драйверов и служб происходить командами disable и enable. Чтобы запретить загрузку Yoy46, используем команду disable Yoy46. Далее, вводим EXIT и система начинает перезагружаться. После рестарта драйвер руткина не будет загружен. Значит можно спокойно удалить его файлы и удалить все записи о нем в реестре. Данные действия можно проводить вручную или использовать антивирусную программу. Для этих целей подходит бесплатная версия антивируса Dr.Web Игоря Данилова. Инсталлятор можно получить здесь http://freedrweb.ru. Сканер можно запустить даже при загрузке системы при помощи Winternals ERD Commander, в режиме выборочной проверки. Сканировать надо только системный диск. В таком режиме сканирование системы идет быстрее. Придется только удалить нужные файлы, когда сканер укажет на них и попросит удаления. 
Некоторые вирусы начинают активироваться при запуске в безопасном режиме загрузки системы. Чтобы этого избежать, надо проверить соответствующую ветку реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Следующие разделы:
Minimal – перечень драйверов и служб, загружаемых в безопасном режиме (Safe Mode)
Network - то же самое, но при наличии сетевых служб.
В настоящий момент существует новый класс rootkit от BackDoor.MaosBoot. Он стал известен в 2007 году. Действует, как троян, внедряется в загрузочный сектор жесткого диска, скрыто устанавливает драйвера в систему. Драйвер руткита записывается в конец физического диска, обходит файловую систему, тем самым скрывается. Многие антивирусные сканеры бессильны в опознавании такой маскировки, не имеют средств борьбы с ним. 
RootkitRevealer не сканирует загрузочный сектор.Это значит, что сканер не увидит руткит . Доктор Web с этой задачей прекрасно справляется. В любом случае, лучше перестраховаться, и при обнаружении подозрительного файла, использовать антивирусную службу virustotal.com. Просто закачиваете подозрительный файл на портал и ждете проверки. Практика показывает, что такая методика проверки очень эффективна. На портале также есть переход на ветку virusinfo.info. Здесь можно найти много полезной информации по обеспечению антивирусной защиты.
Бывают случаи, когда система под действием вируса совсем перестает функционировать. Например, не с того не с сего, начинает загружаться "Диспетчер сеансов" . Это значит, что начинают загружаться высокоуровневые подсистемы ОС. Сначала загружаются CSRSS-процессы (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), и оставшиеся службы с параметром Start=2 из раздела реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

 Диспетчер сеансов регулируется следующей веткой реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
Вирус производит замену dll-файла для CSRSS, тем самым внедряется в систему. Просмотреть обязательно ветку:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems
Можно обнаружить странную запись: ServerDll=basesrv, ServerDll=winsrv. А вместо basesrv.dll можно обнаружить вредоносной файл basepvllk32.dll. Файл basepvllk32.dll надо удалить, только после изменений записей в реестре. Иначе, при обычном удалении компьютер напишиет на экране, что он «умер» и «похороны в пятницу».
Чтобы так не произошло, надо зайти в консоль восстановления, скопировать basesrv.dll из C:\WINDOWS\system32 в папку с именем basepvllk32.dll. Далее, система начнет загружаться и реестр можно вручную скорректировать. Второй способ поправить ситуацию: загрузить систему под управлением Winternals ERD Commander и прописать в реестре ServerDll=basesrv. И выполнить восстановление системы на более раннее состояние.
Второй пример работы системы, пораженной вирусом. Маскировка вируса под отладчик процесса explorer.exe. При этом в реестре создается запись:
 HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
"Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe"
Удаляем антивирусом вредоносный файл, и корректирует реестр. Удаляем файл HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
и рестарт.




ИСПОЛЬЗОВАНИЕ МАТЕРИАЛОВ

При использовании и копировании любых материалов указание явной гиперссылки на веб-сайт источника их получения www.com-serv.ru обязательна! Давайте будем уважать друг друга!