Все методы обнаружения вирусов на компьютере
Интернет является неотъемлемой часть жизни современного человека. С другой стороны, он становится источником опасных вирусов, некоторые из которых следует удалять на начальных этапах «инфицирования». Но как выявить вирусы в компьютере? Какие самые распространенные симптомы заражения? Об этом и не только – в моей очередной статье.
Конечно же, подхватить «заразу» можно и без подключения к интернету. К примеру, если Вы вставляете в USB порт «вредоносную» флешку. Об этом я писал в статье как вирус блокирует USB порт. Или обмениваетесь файлами внутри рабочей сети.
Но есть множество способов обнаружить вирус даже без специального ПО. Сейчас я расскажу о них, но сначала мы рассмотрим основные признаки «заболевания».
Элементы автозагрузки
В Windows 7, посмотреть элементы автозагрузки можно с помощью утилиты msconfig. Для её запуска необходимо с помощью сочетаний клавиш WIN+R, открыть консоль выполнить.
В консоли пишем команду msconfig, а в новом окне выбираем вкладку Автозагрузка.
В Windows 10 ещё проще, нажимаем на панели задач правой кнопкой мыши, и выбираем пункт «Диспетчер задач», в новом окне мы увидим вкладку Автозагрузка. Как вариант использовать горячую клавишу Ctrl+Shift+Escape
Теперь давайте внимательно посмотрим на элементы (программы), отмеченные галочкой. Ничего не смущает? Мне пришлось самостоятельно имитировать работу вируса, и тем самым мы можем увидеть несколько приложений, которые явно не являются безопасным программным обеспечением.
Как определить что это вирус?
1. Начнём с того , что каждое приложение имеет логическое название: superpuper.exe,trojan123.exe,123.exe, svchost.exe,A12312312.exe,autorun.bat — это точно вирус!
2. Обратите внимание на производителя программы, если в данной ячейке «Нет данных», это не значит , что это вирус. Вредоносное ПО, устанавливает производителя, например Microsoft, но может этого и не делать. Поэтому нужно смотреть на название, и производителя одновременно.
3. Программное обеспечение устанавливается в соответствующую папку, в моём случае это папка C:/Program Files/Название программы
4. Драйвера устанавливаются в папку C:/Windows/System32
- 123 — 123.exe
- Пустое значение — svchost.exe
- Driver.exe
- Во-первых отсутствует название программы. 123 — таких программ не существует в природе.
- Во-вторых отсутствует разработчик.
- В третьих, файл размещается в главной папке диска C:/, вместо Program Files
- У одного из файлов не указано название элемента автозагрузки
Как удалить?
Во-первых нужно убрать галочки с этих файлов, и нажать кнопку применить (компьютер не перегружать,даже после запроса)
Во-вторых нужно удалить данные файлы, для этого ищем их на диске. В моём случае два вируса лежат на диске C:/
Выделяем их мышкой, и удаляем
Если файлы не удаляются, скорее всего они висят в процессах, т.е на данный момент находятся в рабочем состояние. Как узнать? В диспетчере задач, есть вкладка «Процессы», переходим в неё, и ищем название вредоносного ПО, в моём случае не удаляется файл virus123.exe
Файл Virus123.exe висит в процессах, поэтому он не удаляется. Для того чтобы снять процесс, жмём правой кнопкой мыши по названию файла, и выбираем в меню «Завершить процесс».
Затем удаляем файл на диске. Если же файл по прежнему не удаляется, значит после его завершения, он автоматически запускается и опять висит в процессах.
Для его удаления понадобится действовать очень быстро, снять процесс, и сразу же попытаться удалить файл на диске. Раньше у меня без проблем получалось выполнить данное действие.
Файл Driver.exe в Автозагрузке.
Я не забыл про этот файл, он расположен в системной папке Windows, и на первый взгляд можно перепутать его с каким-нибудь драйвером для оборудования. На самом деле это ни так. Дело в том, что основная часть драйверов не прописываются в автозагрузку, и подгружаются ещё до загрузки оболочки Windows.
У файла Driver.exe «нет данных» от производителя, да и название файла очень странное. Достаточно сравнить с драйверами компании Intel, и Alp Electric. Есть чёткое название, а так же данные производителя.
При подозрении на вирус
Поскольку современные вирусы «заточены» на работу в сети, при подозрении на заражение крайне важно отсоединить от компьютера сетевой провод — или, если сеть беспроводная, отключить модуль Wi-Fi.
К сожалению, бывают ситуации, когда сеть оказывается необходима для проведения «лечения» — например, чтобы скачать антивирусную программу. Конечно, правильней будет скачать антивирусную утилиту в другом месте, а потом скопировать ее на зараженный, но отключенный от сети компьютер, например при помощи «флешки». Если же такой способ недоступен, можно попробовать воспользоваться интернетом. Однако при этом ни в коем случае не следует заходить в системы онлайн-банкинга, подключаться к почтовым ящикам и так далее, то есть никоим образом не «светить» конфиденциальные данные. Как только все необходимые антивирусные средства будут скачаны, сеть нужно отключить.
Следует понимать, что сам факт заражения компьютера, то есть наличия действующего вируса в операционной памяти, может затруднять «лечение». Вирус может сопротивляться: например, блокировать доступ к сайтам производителей антивирусов или же маскироваться от конкретных антивирусных программ. Это означает, что в ряде случаев может понадобиться «лечение» при помощи дополнительной «чистой» системы. Например, можно загрузить систему с компакт-диска или же можно вытащить жесткий диск с зараженной системой и подключить его вторым к заведомо «чистому» компьютеру.
Урок 07. Практическая работа №2. Антивирусная защита.
Практическая работа № 2.
Тема: Антивирусная защита.
Цель: Изучить технологию тестирования компьютера на наличие вируса и профилактические меры. Познакомиться со способами лечения зараженных объектов.
Теоретическая часть.
Компьютерный вирус – это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может “ приписывать” себя к другим программам (“заражать” их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.
Программа, внутри которой находится вирус, называется “зараженной” Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и заражает другие программы, а также выполняет какие-нибудь вредные действия (портит файлы или таблицу размещения файлов на диске, “засоряет” оперативную память и т.д.).
Классификация вирусов.
По среде обитания
распространяются по компьютерной сети
внедряются в выполняемые файлы
внедряются в загрузочный сектор диска (Boot-сектор)
внедряются в выполняемые файлы и в загрузочный сектор диска
проникают в системные модули и драйверы периферийных устройств, поражают программы-интерпретаторы
По способу заражения
находятся в памяти, активны до выключения компьютера
не заражают память, являются активными ограниченное время
По деструктивным возможностям (по способам воздействия)
практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения
уменьшают свободную память; создают звуковые, графические и прочие эффекты
могут привести к серьёзным сбоям в работе
могут привести к потере программ или системных данных
По особенностям алгоритма вируса
вирусы, не изменяющие файлы, создают для EXE-файлов файлы-спутники с расширением COM
паразитические программы, которые изменяют содержимое файлов и секторов диска и могут быть легко обнаружены
обычные файловые вирусы, которые пытаются заразить антивирусные программы, уничтожая их, или делая неработоспособными
распространяются по сети, рассылают свои копии, вычисляя сетевые адреса. Это самые распространенные в виртуальной сети вирусы. Они очень быстро «размножаются». Иногда дают своим копиям отдельные имена. Например, «install.exe».
изменяют содержимое дисковых секторов или файлов
примитив, содержат большое количество ошибок
это файловые вирусы, которых антивирусные программы не находят, потому что во время проверки они фальсифицируют ответ. Они перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки
не имеют ни одного постоянного участка кода, труднообнаруживаемы, основное тело вируса зашифровано
пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в шаблон Normal.dot
квазивирусные, или «троянские»
это вирусы, не способные к «размножению».
Троянская программа маскируется под полезную или интересную программу, выполняя во время своего функционирования ещё и разрушительную работу (например, стирает FAT-таблицу) или собирает на компьютере не подлежащую разглашению информацию. В отличие от вирусов, троянские программы не обладают свойством самовоспроизводства.
Троянская программа маскируется, как правило, под коммерческий продукт. Её другое название «троянский конь».
программы, которые запускаются при определённых временных или информационных условиях для осуществления вредоносных действий (как правило, несанкционированного доступа к информации, искажения или уничтожения данных)
это один из видов вирусов, способных к самовоспроизведению. Однако их копия явно отличается от оригинала.
Основными путями проникновения вирусов в компьютер являются съёмные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может быть и не системной. Заражение дискеты происходит, даже если её просто вставили в дисковод зараженного компьютера или, например, прочитали её оглавление.
Признаки заражения
- вывод на экран непредусмотренных сообщений или изображений;
- подача непредусмотренных звуковых сигналов;
- неожиданное открытие и закрытие лотка CD-ROM-устройства;
- произвольный, без вашего участия, запуск на компьютере каких-либо программ;
Есть также косвенные признаки заражения вашего компьютера:
- частые зависания и сбои в работе компьютера;
- прекращение работы или неправильная работа ранее успешно работавших программ;
- медленная работа компьютера при запуске программ;
- невозможность загрузки операционной системы;
- исчезновение файлов и каталогов или искажение их содержимого;
- изменение размеров файлов;
- неожиданное значительное увеличение количества файлов на диске;
- существенное уменьшение размеров свободной оперативной памяти;
- частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
- Microsoft Internet Explorer «зависает» или ведет себя неожиданным образом.
В 90% случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуем вам провести полную проверку вашего компьютера.
Антивирусные программы.
Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные антивирусные программы. Различают следующие виды антивирусных программ:
- Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатки: могут находить только те вирусы, которые известны разработчикам этой программы, поэтому быстро устаревают и требуют регулярного обновления.
- Программы-доктора или фаги не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файл в исходное состояние. Полифаги – программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Недостатки те же, что и у программ-детекторов.
- Программы-ревизоры относятся к самым надежным средствам защиты. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора.
- Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов (попытки коррекции файлов с расширением EXE или COM, изменение атрибутов файла, запись в загрузочные сектора и т.п.). При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Эти программы способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не лечат файла и диски. Для уничтожения вируса требуется применить другие программы.
- Вакцины или иммунизаторы это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, лечащие этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Имеют ограниченное применение.
Назначение и основные функции Антивируса Касперского Personal
Антивирус Касперского Personal предназначен для антивирусной защиты персональных компьютеров, работающих под управлением операционной системы Windows.
Антивирус Касперского Personal выполняет следующие функции:
- Защита от вирусов и вредоносных программ — обнаружение и уничтожение вредоносных программ, проникающих через съемные и постоянные файловые носители, электронную почту и протоколы интернета. Можно выделить следующие варианты работы программы (они могут использоваться как отдельно, так и в совокупности):
- Постоянная защита компьютера — проверка всех запускаемых, открываемых и сохраняемых на компьютере объектов на присутствие вирусов.
- Проверка компьютерапо требованию — проверка и лечение как всего компьютера в целом, так и отдельных дисков, файлов или каталогов. Такую проверку вы можете запускать самостоятельно или настроить ее регулярный автоматический запуск.
- Карантин — помещение объектов, возможно зараженных вирусами или их модификациями, в специальное безопасное хранилище, где вы можете их лечить, удалять, восстанавливать в исходный каталог, а также отправлять экспертам Лаборатории Касперского на исследование. Файлы на карантине хранятся в специальном формате и не представляют опасности.
- Формирование отчета — фиксирование всех результатов работы Антивируса Касперского Personal в отчете. Подробный отчет о результатах проверки включает общую статистику по проверенным объектам, хранит настройки, с которыми была выполнена та или иная задача, а также последовательность проверки и обработки каждого объекта в отдельности.
Как проверить CD-диск или дискету.
Через дискеты, CD и другие съемные диски легко заразить компьютер вирусом. Если дискета (или загрузочный CD-диск) заражена загрузочным вирусом, и вы оставили ее в дисководе и перезагрузились, результаты могут быть самые печальные.
Рекомендуем вам проверять все съемные диски перед их использованием.
Вы можете запустить проверку сменных дисков из главного окна Антивируса Касперского Personal, а также из контекстного меню Windows.
Для проверки сменных дисков из контекстного меню Windows
- Выберите диски (вы можете выбрать сразу и CD-диск и дискету).
- Установите курсор мыши на имени выбранного объекта.
- Щелчком по правой кнопке мыши откройте контекстное меню Windows и выберите пункт Проверить на вирусы.
Чтобы проверить CD-диск или дискету на присутствие вирусов из главного окна Антивируса Касперского Personal
- Вставьте CD-диск в CD-ROM-устройство или дискету в дисковод. Обратите внимание, программа сможет проверить и CD-диск и дискету за один прием.
- Воспользуйтесь гиперссылкой Проверить съемные диски, расположенной в левой части закладки Защита.
или
По гиперссылке Проверить объекты перейдите в окно Выбор объектов для проверки, выберите съемные диски и нажмите на кнопку Проверить.
Сразу после запуска проверки на экране откроется окно Проверка, где будет отображаться процесс выполнения действия над выбранными объектами списка.
Если для проверки вы выбрали только один съемный диск (устройство), по окончании проверки Антивирус Касперского Personal предложит вставить следующий диск (устройство).
Обратите внимание на некоторые особенности работы программы:
- Если вы забыли вставить диск или дискету перед запуском проверки, либо съемный накопитель, дисковод или CD-ROM, отключен, проверка проводиться не будет, и программа не выдаст никакого дополнительного сообщения по этому поводу.
- Если вы вставили дискету в дисковод уже после запуска проверки, она не будет проверена. То же относится к CD-диску и другим съемным дискам.
- Если вы вынули дискету из дисковода или отключили съемный диск во время его проверки, программа занесет в отчет сообщение об ошибке, но не выдаст на экран никакого дополнительного сообщения. Программа перейдет к проверке следующего съемного диска, если таковой есть.
В момент монтирования съемного диска в систему (когда диск определяется операционной системой как новое устройство) Антивирус выполнит проверку такого диска и на присутствие boot-вируса.
Во время выполнения проверки компьютера, выбранных объектов, обновления антивирусных баз, а также постоянной защиты формируется отчет о проверенных объектах и результатах их обработки, а также общая статистика. Полный список всех выполняемых задач ведется Антивирусом Касперского в окне Отчеты, открыть который можно по гиперссылке Просмотреть отчеты в левой части закладки Защита. Здесь фиксируется статус каждой задачи, а также дата и время ее окончания.
Существует несколько простых правил, позволяющих защитить себя от компьютерных вирусов. Большинство из них исходят из категории здравого смысла.
Не открывайте вложения или гиперссылки, присланные вам по мейлу незнакомыми людьми. Часто подобные действия могут перевести вас на страницу с вредоносной программой. Если ваша почта настроена на автоматическое открытие подобных ссылок, измените настройки, иначе вы можете подцепить вирус.
То же касается и других сообщений. Гиперссылки на доске объявлений, в сообщениях на Facebook или в личной переписке также могут перенести вас на страницу с вирусом. Обратите внимание на отправителя письма. Ищите любые странности, такие, как ошибки в письме или странные формулировки. Если с адреса знакомого вам человека начинают посылать подозрительные ссылки, то стоит сообщить ему об этом – вполне может стать так, что его аккаунт взломали.
Не заходите на подозрительные веб-сайты. Это касается самых разных ресурсов, начиная со скачивания ПО, музыки и заканчивая пиратским видео и порно. Многие из современных веб-браузеров предупредят вас, если вы попытаетесь перейти на предположительно вредоносный сайт. Обращайте особое внимание на подобные предупреждения и держитесь подальше от таких сайтов.
Обращайте особое внимание на любые окна, которые открываются в момент просмотра веб-страниц. Будьте особенно осторожны, если сайт выводит вам уведомление о том, что вам нужно загрузить последний видеодрайвер, чтобы что-то посмотреть. Это обычный способ распространения вредоносного ПО.
Запускайте антивирусную программу хотя бы раз в неделю. Кроме того, регулярно обновляйте антивирус и вашу операционную систему. Большинство обновлений антивирусного ПО выходят не реже одного раза в неделю, так как фирма добавляет большее количество обнаруженных вирусов в свои базы данных.
Правила, позволяющие избежать заражения вирусом, могут показаться непростыми и требующими слишком большИх усилий, но проще придерживаться этих правил, чем пытаться спасти поврежденный вирусом компьютер.
Что требуется сделать после обнаружения вируса или вирусной активности?
Любой вредоносный код в первую очередь опасность потерять личную информацию, и только после следует фактор нарушения работы прикладных программ или самой операционной системы. Если Вы дорожите сохранностью файлов, то рекомендуем обратиться за квалифицированной компьютерной помощью. Либо при должном опыте попробуйте решить проблему самостоятельно, придерживаясь наших советов ниже:
- Не стоит пытаться найти исполняемый файл, это может повлечь за собой дальнейшее распространение кода.
- Отключите Интернет соединение, в том числе подключение по локальной сети.
- Если имеются подключенные накопители извлеките их, позже проведите сканирование на предмет заражения.
- Отключите все сторонние программы активные на момент заражения. Особенно это касается программ отображённых в системном трее (области уведомлений).
- С другого компьютера имеющего доступ к Интернет, скачайте свежие утилиты антивирусного программного обеспечения. Не пользуйтесь программами просроченными хотя бы на один день!
Итак, какие же утилиты можно будет задействовать для сканирования уже зараженного компьютера:
- Kaspersky Virus Removal Tool – автономная антивирусная программа для сканирования вашего ПК. Применяется для устранения заражения и лечения инфицированных файлов.
Имеет установочный файл, который периодически обновляется на официальном сайте разработчика. В считанные мгновения устанавливается на ПК, после чего готов к проведению сканирования. Вам останется лишь запустить проверку.
Примечание! Желательно отключить на время проверки имеющийся антивирус, воизбежания конфликтов и системных сбоев. Dr.WEB CureIT – также является автономной антивирусной утилитой для проведения сканирования уже заражённого компьютера. Предоставляется компанией Dr.WEB известной во всём мире российской маркой информационной безопасности.
После скачивания, потребуется лишь запустить исполняемый файл программы. При запуске у Вас будет запрошен выбор режима работы: обычный или усиленный. Если Вы уверены в заражении системы, то изберите вариант «Усиленного режима». При таком виде сканирования блокируются все сторонние действия и процессы, в том числе и некоторые системные, что даёт большую вероятность обнаружения вируса и его дальнейшую ликвидацию.
Примечание! Запускайте полную проверку компьютера, не ограничиваясь быстрой! Не запускайте обе утилиты единовременно, пользуетесь ими поочередно!После окончании процесса проверки стоит перезагрузить компьютер, предварительно завершив работу антивирусной программы!
Если после перезагрузки системы проблема связанная с заражением не была ликвидирована, то стоит обратиться к специалистам для дальнейшего осмотра и диагностики.