Если все плохо...

Если Ваш компьютер основательно заражен и обычные способы не помогают - сттоит задуматься о полной переустановке системы.

Если в корне диска поместить файл autorun.inf, тогда при двойном щелчке на данном диске в проводнике выполняются команды, записанные в этот файл, а не стандартное действие проводника, открывающее этот диск/папку для просмотра. Это один из способов заражения и распространения вируса по дисковому пространству. Запущенный вредоносный код, как правило, содержится в другом (других) файлах, они могут иметь расширение *.exe или *.dll, работают и как обычные программы, и как часть операционной системы (службы/сервисы). Это позволяет вирусу постоянно контролировать свою жизнеспособность (способность загрузиться при перезапуске операционной системы), записывая команды на запуск своего кода в ветках реестра с помощью командных файлов (расширение *.bat, *.cmd, *.vbs и т.д.), в папке "автозагрузка" меню "программы" стартового меню, раскидывая по дискам и папкам файлы autorun.inf или autorun.vbs.

 Для противодействия антивирусным программам вредоносный код может быть разделен на части, не определяемые антивирусными сканерами в разные файлы. Сборка их осуществляется либо в момент запуска, либо непосредственно в памяти компьютера. Запущенная программа может изолироваться от сканера, может контролировать или блокировать его работу.

Таким образом, зараженный компьютер представляет собой «минное поле» очень сложной конфигурации. Реестр содержит массу ссылок на запуск вирусного кода, по дисковому пространству рассыпаны autorun-ловушки, причем в первую очередь поражаются наиболее посещаемые папки. Тело вируса (вредоносный код) может быть разложен в несколько файлов с безобидными расширениями, либо замаскированные под системные файлы. Отдельные части его могут не определяться как вирус сканерами. Поэтому лечение операционной системы в полном смысле зачастую просто невозможно, то есть нельзя восстановить систему в состояние, предшествующее заражению. Иногда после удаления вредоносных программ и библиотек работа операционной системы или (чаще) её оболочки становится невозможной. Это вызывается поражением системных файлов (это можно исправить, выполнив переустановку ОС в режиме обновления) или поражением реестра (это исправить гораздо труднее).

Учитывая все вышеизложенное, максимально безопасный путь – вынуть/отсоединить пораженный диск (диски), установить «чистый» (либо диск с данными, которые Вы согласны потерять) диск. Установить операционную систему на этот диск с полным форматированием, установить на неё разные сканеры, ad-ware и утилиты:

1) http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/qsg

2) http://www.lavasoft.com/download_and_buy/product_comparison_chart.php

3) антивирусные сканеры (Касперский, Нортон, DrWeb, NOD32 и т.д.)

4) http://technet.microsoft.com/ru-ru/sysinternals/bb896653(en-us).aspx

5) http://technet.microsoft.com/ru-ru/sysinternals/bb963902(en-us).aspx

6) http://technet.microsoft.com/ru-ru/sysinternals/bb896645(en-us).aspx

Примечание: Для загрузки используйте стандартное ПО (explorer), чтобы уменьшить вероятность заражения от дополнительных программ неизвестного происхождения.

Посмотрите, что запускается и откуда. Если Вы использовали чистый установочный диск, то в списке процессов и автозапуске не увидите ничего лишнего. Это можно использовать как эталон. Желательно не устанавливать систему с диска сомнительного происхождения, сборки, выполненной «гуру» из интернета, поскольку эти диски могут изначально вносить Вам в систему вредоносные или шпионские программы.

Теперь отключаем автозапуск с дисков.

1)Запускаем редактор реестра: Пуск-выполнить-regedit

2)В открывшемся окне находим раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies

3)В нем создаем подраздел Explorer (на polices щёлкаем правой кнопкой, выбираем создать-раздел)

4)В разделе Explorer (Щелкаем по вновь созданному разделу – в правом окне видим только одну строчку, под ней в пустое место щелкаем правой кнопкой) создаём параметр DWORD, который назовем NoDriveTypeAutoRun.

5)Его значение установим равным ff (правой кнопкой щелкнем в него, выберем изменить значение).

Или с помощью утилиты TweakUI, убрав все отметки в разделе My computer – Autoplay (с жестких дисков тоже и с дисков, отсутствующих в настоящее время в системе, то есть убрать отметки во всех чек-боксах)

http://download.microsoft.com/download/f/c/a/fca6767b-9ed9-45a6-b352-839afb2a2679/TweakUiPowertoySetup.exe

Примечание: эти способы изменяют РАЗНЫЕ ключи реестра, поэтому желательно сделать и то, и то.

Перезагружаемся. Для проверки вставляем установочный диск, если он не стартует автоматически – все нормально, мы добились, чего хотели.

Убеждаемся, что наши антивирусные средства работают и имеют свежие базы.

Включаем отображение скрытых и системных файлов. Пуск-панель управления –Свойства папки, Закладка «Вид», там ставим точки рядом с Показывать скрытые файлы и папки, убираем рядом с «Скрывать защищённые системные файлы».

Теперь можно подключить старый диск (вторым, так, чтобы система с него не запустилась) или диски, если у Вас их несколько.

После включения ткрываем «Мой компьютер», ни в коем случае не щелкаем никакие диски!!! Просто смотрим, какие диски появились в системе. Далее чистим их от autorun-ов

Пуск-выполнить-cmd.

В появившемся страшном черном окне командного интерпретатора для каждого добавившегося диска выполняем следующее:

(пример для диска D)

D:

cd d:

del /f /s /q autorun.*

del /f /s /q /a:sh autorun.*

del /f /s /q *.cmd

del /f /s /q /a:sh *.cmd

del /f /s /q *.vbs

del /f /s /q /a:sh *.vbs

Z:

Cd z:

del /f /s /q autorun.*

del /f /s /q /a:sh autorun.*

del /f /s /q *.cmd

del /f /s /q /a:sh *.cmd

del /f /s /q *.vbs

del /f /s /q /a:sh *.vbs

запускаем антивирусный сканер и проверяем весь компьютер.

Проверяемся мониторами процессов и реестра – не подцепили ли мы чего.

Теперь открываем пораженный системный диск (тот, что был у Вас скорее всего C, на нем есть каталоги Windows и Program Files).

Примечание: открывать лучше щелчком правой кнопкой и выбором пункта «проводник».

Удаляем папки Windows и Program Files, так как в них находится большинство тел вирусов. Заходим в папку Do*****ents&Settings. Удаляем все папки, кроме папок реальных пользователей, работавших на этом компьютере. Для каждой папки пользователя выполняем следующее: Удаляем все, кроме папок Мои документы и Рабочий стол. Если пользователи сохраняли свои файлы еще где-то – сами виноваты.

Папки пользователей ПЕРЕНОСИМ на «здоровый» диск (тот, с которого запускались) в отдельную папку (например – «старый комп»).

Те же действия выполняем над остальными папками, содержащими Ваши файлы, тщательно избегая щелчков по неизвестным и исполняемым файлам. После выполненных операций на старых дисках у Вас остались установочные пакеты, игры, и тому подобное. Прибираем самое ценное, остальное будет удалено. Чем меньше будет самого ценного, тем меньше вероятность повторного заражения.

Выключаем компьютер, убираем новый диск, выполняем установку новой операционной системы на старый диск с полным форматированием, то есть повторяем все те же операции, только теперь полагаем только что созданный диск зараженным, а старый – новым. Сохранить с временного диска нам нужно лишь папку «Старый комп».

Добавить комментарий


Защитный код
Обновить