Итак, вы решили поставить себе новую игру или скачать себе программу, которую вы "купили" в магазине со 100% скидками на товар, возможно потому, что больше они не продаются официально в нашей стране. Понятное дело, что пиратство - это плохо и противозаконно (особенно для различных организаций). Однако здесь возникает другая проблема, которая поджидает ваш компьютер и которую вы могли бы не заметить....
Вы запустили исполняемый файл с установщиком загруженного с Интернета программного обеспечения. И вроде ничего обычного, появляется диалоговое окно мастера установки игры, но именно в этот самый момент ваш компьютер оказался заражен целой кучей вирусов. Ваши личные пароли, возможно, уже утекли в сеть злоумышленнику, майнер использует мощности вашего компьютера для получения криптовалюты, а самое главное - вы не можете контролировать поведение и настройки вашей системы.
В этой статье я расскажу о том, как отследить вредоносную активность вируса в системе, об основных признаках заражения операционной системы, а также о способах устранения вируса с использованием антивирусных сканеров. Для наглядной демонстрации я создал виртуальный компьютер в программе VirtualBox 6.1 с использованием ОС Windows 8.1. Для полной проверки эффективности антивирусов были созданы снимки виртуальной машины после установки вредоносного программного обеспечения (ПО).
Дисклеймер: все действия, описанные в данной статье, выполняются в образовательных целях, если вы захотите их повторить, то не выполняйте их на реальном компьютере с включенной сетью Интернет. Делайте всё на свой страх и риск.
Основные признаки заражения компьютера вирусом
1. Странные процессы в Диспетчере задач или невозможность запустить программу
Это может быть, как запущенный файл svchost.exe от имени вашего обычного пользователя, так и странные процессы, как winserv.exe в примере статьи (помечается как System 32 бита), который является не системным файлом, а обычным трояном и майнером.
2. Появление скрытых папок в различных директориях
Как правило, они могут находиться в папках ProgramData, Desktop (Рабочий стол), Downloads (Загрузки), Roaming, Windows, System32 и т.д, доступ, как правило, ограничен. В моем примере были также скрытые папки популярных антивирусов в папке Program Files, это чтобы вы не смогли их поставить и просканировать систему.
Увидеть их можно, если в настройке Параметры папок в Проводнике выбрать параметры показа системных файлов и папок.
3. Необычные названия файлов в папке установки программы
Например, в установленной под видом игры программе были найдены странные файлы (трояны) под названием TRN_LV_CTD.XXX, TRN_LV_DreamHack.XXX, TRN_LV_Viennality.XXX.
4. Невозможно запустить сайты с антивирусными программами
Вирус заражает файл HOSTS в папке C:\Windows\System32\drivers\etc, прописывая неверный IP-адрес для сайтов, чтобы вы не смогли загрузить антивирусное программное обеспечение.
5. Неожиданное закрытие программ
Данный вирус проводит мониторинг поведения пользователя в системе и при попытке запустить антивирусные программы, или браузер, или Проводник, закрывает запущенное окно или процесс.
Что же теперь нужно сделать, чтобы удалить вирусы? Главное - скачать антивирусные сканеры с другого незараженного компьютера и попытаться их запустить. В данной статье я буду обозревать следующий список антивирусных сканеров: DrWeb Cureit!, Kaspersky Virus Removal Tools, Comodo Cleaning Essentials, Hitman Pro, AVZ; и постараюсь оценить эффективность удаления вредоносных программ с ранее зараженного компьютера. Также в статье я расскажу о программах удаления нежелательного и рекламного ПО Malwarebytes AdwCleaner.
Все актуальные ссылки на представленные антивирусные продукты вы сможете найти в конце статьи в соответствующем разделе.
Dr.Web Cureit!
Версия ОС для работы: Windows XP с пакетом обновлений SP3, Windows Vista, Windows 7, Windows 8, Windows 10.
Во время скачивания Dr.Web Cureit! выберите галочку в пункте Я согласен с условиями лицензионного соглашения и нажмите Скачать. Далее необходимо заполнить форму: указать свое имя и фамилию, адрес вашей электронной почты, нажать галочку в пункте согласия на обработку персональных данных. На указанный e-mail придет письмо с ссылкой на Dr.Web Cureit!, перейдя по ней сможете скачать exe-файл сканера.
После запуска программы вам нужно согласиться с участием в программе улучшения качества программного обеспечения для дальнейшего пользования сканером. Затем в выборочной проверке нужно указать все объекты проверки, а в пункте выбора папок и файлов указать по возможности все установленные разделы дисков для полной проверки.
Преимущества программы Dr.Web Cureit!:
- уникальное название файла, которое не может отследить вирус в установленной системе;
- запуск нескольких процессов, которые не может закрыть вредоносная программа;
- обнаружение 20 угроз на моем зараженном устройстве;
- не требует наличия активного подключения к Интернету, вы можете его отключить для предотвращения заражения устройств в домашней сети.
Недостатком антивирусной программы является отсутствие инструмента для чистки реестра Windows.
В следующей части статьи из цикла Удаляем вирусы с компьютера я подробно расскажу о других антивирусных сканерах, которые помогут вылечить ваш компьютер и восстановить работоспособность системы, также сделаю сравнение этих продуктов.
Подписывайтесь на мой канал, чтобы быть в курсе новостей о свежих материалах на канале.
Следующая часть уже вышла на канале: https://dzen.ru/media/advancedusernotes/udaliaem-virusy-s-kompiutera-obzor-antivirusnyh-skanerov-chast-2-652fefce9a389404b542e9d3
