Эта инструкция — для пользователей, которые уверенно работают с компьютером. Если вы сомневаетесь в своих силах, боитесь лезть в реестр или автозагрузку — не рискуйте. Лучше обратитесь к специалисту или хотя бы покажите пост знакомому, кто разбирается.
Перед любыми действиями создайте точку восстановления Windows и сделайте бэкап важных данных на флешку (которую не втыкали в заражённый ПК).
Вы можете работать спокойно за компьютером, или заниматься другими делами. Но бывало ли такое (или происходит), что у вас дёргается курсор без ваших действий, веб-камера включается сама по себе, или вообще рабочий стол заменился? Скорее всего у вас довольно опасный вирус - RAT. Сейчас поможем!
RAT (Remote Access Trojan) - троян для удалённого доступа к компьютеру. Его можно поймать так же, как и троян, например, скачивая программу через Torrent.
Но у этого вируса довольно широкие возможности:
- Смотреть демонстрацию экрана, веб-камеру, слушать микрофон (Spyware)
- Управлять CMD, Powershell
- Иметь доступ к файловой системе
- Управление удалённо вашим компьютером
- Стиллер, который может украсть ваши данные
- Видеть, что вы набираете (Keylogger)
Ниже будут представлены советы и программы, чтобы устранить этот вирус!
Важно!
Когда вы заражены вирусом RAT не втыкайте туда USB-флешку. Многие RAT по типу NjRAT (не реклама) имеют функцию USB Spread, после чего ваша флешка становится инфицирована! Соблюдайте цифровую гигиену!
Советы по удалению
1. Отключение Ethernet/WIFI
Незамедлительно отключитесь от сети интернет! Злоумышленник не сможет производить дальнейшие действия, но вирус останется в памяти (запущен как процесс).
Чтобы отключиться, выдерните патчкорд если у вас Ethernet, либо можете нажать на Win+I → Сеть и интернет → В дополнительных сетевых параметрах выберите "Настройка параметров Адаптера"
Затем после этого выберите вашу сеть интернет и нажмите по ней правой кнопкой мыши и выберите "Отключить"
Если у вас WIFI, то делайте просто всё аналогично и выполняйте те же самые шаги.
2. Anvir Task Manager
Anvir Task Manager - самый удобный диспетчер задач, содержащая автозагрузку, службы и драйверы Windows. Она нам очень пригодиться.
Дальше вам нужно обнаружить подозрительный процесс, который висит в памяти.
Затем если вы поняли, что тот или иной процесс относится к вирусу, нажимайте по нему правой кнопкой мыши и выбирайте "Добавить к заблокированным (Карантин)".
Вы также можете проанализировать автозагрузки, планировщик задач, IE (Internet Explorer).
Для этого нажмите на Автозагрузка, выберите любой каталог, и найдя нужную зловредную автозагрузку нажмите по нему правой кнопкой мыши и выберите "Отключить (Карантин)"
Но возникает вопрос, что делать если процесс невозможно завершить, то есть он помечен как критический?
3. Simple Unlocker
Данная программа использовалась в данной статье: Компьютер тормозит? Возможно, это майнер — действуйте сейчас!
Она является "мультитулом" и имеет большой функционал: от диспетчера задач до AntiGDI.
Вирусы RAT зачастую устанавливают ограничения, поэтому мы их сейчас снимем. Выберите разблокировка ограничений → сканирование → автоматическая разблокировка ограничений → начать сканирование
Для того чтобы убрать с нашего ратника критический процесс, нам нужно перейти в диспетчер задач и выбрать наш процесс вирусный
Затем нажимаем по выбранному процессу правой кнопкой мыши и в контекстном меню выбираем опцию "Сделать не критическим CTRL+C"
А после этого мы можем без последствий завершить наш процесс.
Помимо этого вирусы могут скрываться ещё и в Winlogon (а точнее Userinit и Shell). Тогда нажмите на автозапуск программ и посмотрите внимательно Run, Run Once и Winlogon. Вирусы могут быть ещё и в папке самой автозагрузки.
4. Dr.Web CureIt!
Это одноразовая программа-антивирус для лечения системы без установки полноценного антивируса. Бесплатная утилита от компании «Доктор Веб»
После того как вы скачаете Dr.Web CureIt! (необходима будет почта для регистрации и скачивания) вы должны зайти в безопасный режим:
Откройте «Пуск» → «Параметры» (или нажмите Win + I).
- Перейдите в «Обновление и безопасность» → «Восстановление» (Windows 10) или «Система» → «Восстановление» (Windows 11).
- Далее где написано Особые варианты загрузки нажимайте на кнопку «Перезагрузить сейчас»
- После этого нажимайте Поиск и устранение неисправностей → Дополнительные параметры → Параметры загрузки и нажимаете перезагрузить
После этого рекомендую вам после перезапуска где предложат варианты запуска нажать либо на F4 (безопасный режим), либо на F6 (с командной строкой)
Затем после того как вы загрузились в безопасный режим откройте ваш скачанный файл (Dr.Web CureIt!) и начните сканирование (рекомендую выполнять полное, то есть выбрать все объекты для проверки). Всё что нашлось проанализируйте и лучше просто удалить.
После этого перезагружайтесь!
Можно также воспользоваться программой Kaspersky Virus Removal Tool (тоже хорошая, не реклама)
5. Autoruns от Sysinternals
AutoRuns - бесплатная утилита для Windows (32 и 64 разрядных версий), разработанная компанией Sysinternals, позже приобретённой Microsoft. Программа предназначена для управления автозагрузкой компонентов системы: программ, сервисов, модулей, драйверов и других элементов.
Просматривайте все места, и что нашли подозрительное - удаляйте. Очень полезная программа. Рекомендую просто включить Everything и смотреть всё в одном списке.
6. Everything
Everything - бесплатная утилита для Windows, предназначенная для мгновенного поиска файлов и папок по их именам, размерам, датам, атрибутам.
Перед тем как её использовать вам нужно зайти также в безопасный режим (через особые варианты загрузки)
Она нам может пригодиться, чтобы найти важные детали.
Для этого откройте программу и наберите одну фразу в строку (Фильтр): "xdwd". Всё дело в том что он связан с Sheet RAT и поэтому его нужно удалить.
На картинке вы можете видеть MXDWDRV.DLL, mxdwdui.dll. Их не нужно удалять, если они из достоверного пути и не называются, например xdwd.dll
Если у вас выглядит всё также, как и на картинке - значит у вас компьютер чистый от Sheet RAT, если ниже есть например .exe файлы "xdwdMicrosoft Azure DevOps.exe", то тогда удаляйте не медленно!
После того как вы выполнили чистку и уже зашли в пользователя можете втыкать патчкорд или просто нажать на Win+R и написать туда "ncpa.cpl"
И теперь нажимайте на ваш адаптер сети, который вы отключили и теперь кликаете по нему правой кнопкой мыши и нажимаете "Включить"
А что в итоге-то
Вирус RAT (он же вирус удалённого доступа) - серьёзная угроза, которая шпионит за вами, крадёт ваши данные, а также может серьёзно подставить вас. Надеюсь эта статья поможет вам справиться с данным типом вируса. Однако даже этот тип вируса можно успешно удалить — и чем раньше вы это сделаете, тем меньше вреда он нанесёт вашему устройству.
Будьте бдительны друзья и не ставьте что попало! Соблюдайте цифровую гигиену!
А вы что думаете насчёт этого вируса? Пишите свои комментарии
👇👇👇
#ThreatBit, #RAT