Как узнать о заражении?
Хакеры, разрабатывающие вредоносные скрипты, — весьма хитрые личности, умело маскирующие угрозу под безопасную программу. В любом случае нет причин паниковать и видеть во всем опасность. Необходимо тщательно проанализировать ситуацию.
Вы можете начать беспокоиться, когда:
- При запуске Windows появляется окно блокировки, содержащее текст типа «Вы нарушили такие-то статьи Уголовного кодекса, и дело будет передано в суд. Чтобы этого избежать, отправьте СМС/перезарядку и т д.». Помните, я недавно говорил об этом вирусе?
- Вы не можете получить доступ к сайтам социальных сетей или поисковым системам. Снова появляется окно с просьбой заплатить деньги. Об этом я подробно писал в хронике.
- Система не слишком быстро реагирует на ваши команды, приложения открываются медленно, а процедура копирования/перемещения файлов занимает слишком много времени.
- ОС загружается дольше, чем раньше. Стоит учитывать, что данный симптом актуален, если у вас не установлены сторонние приложения, которые можно зарегистрировать при запуске.
- При запуске ПК браузер открывается сам, меняется домашняя страница и постоянно расходуется сетевой трафик (даже если вы ничего не делаете).
- От вашего имени начинает рассылаться спам (по электронной почте и в социальных сетях).
- Двойной щелчок мышкой при открытии файлов перестает работать (при условии, что манипулятор работает).
- Документы, установленные приложения и другие файлы начинают бесследно исчезать.
- Программное обеспечение не запускается или работает с ошибками, которых раньше не было.
При появлении любого из перечисленных признаков существует вероятность заражения. Но не паникуйте, я всегда готов рассказать вам, как удалить вирусы.
Вредоносы научились отключать антивирусы через реестр, так что его тоже нужно проверить
В папке автозагрузки могут находиться служебные программы, необходимые для корректной работы ПК — будьте осторожны
Реестр — мощный инструмент операционной системы Windows, который может быть как полезным, так и вредным. Поэтому после заражения нужно проверить места, которые могут быть поражены вирусом:
- Нажмите комбинацию клавиш «Win+R» и в открывшемся окне введите regedit.
- В адресную строку реестра вставьте следующее: «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows Defender» без кавычек.
- Если в папке Защитника Windows есть параметр DisableAntiSpyware, удалите его.
- Перейдите в папку Realtime Protection.
- Если есть параметры с префиксом Disable, удалите их.
- В адресную строку реестра вставьте следующее: «HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun» без кавычек.
- Удалите настройки, не относящиеся к программному обеспечению, которое было установлено до запуска вируса. Здесь стоит понимать, что некоторые сервисные инструменты могут иметь подозрительные названия и не будут вирусами, поэтому перед удалением изучите информацию о конкретной программе.
- В адресную строку реестра вставьте следующее: «HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun» без кавычек и повторите предыдущий шаг.
После этих действий запустите приложение «Безопасность Windows» и повторно включите встроенную защиту, а затем перезагрузите компьютер. После перезагрузки рекомендуется выполнить полную проверку компьютера из того же приложения, что может занять некоторое время.
Вирусы в папке временных файлов
Временные файлы можно разделить на две части:
- Временные файлы программного обеспечения
- Временные файлы браузера (Chrome, Firefox, Яндекс и т.д.)
Временные файлы хранятся в папке C:/Users/Your user/AppData/local/Temp
Вы можете удалить из этой папки абсолютно всё и ничего не бояться, но ОБЯЗАТЕЛЬНО закрыть все запущенные в данный момент программы (браузер, антивирус, фаервол и т.д.)
Вирусы в корзине
И такое тоже может случиться, но в основном они попадают туда после удаления вручную, поэтому не забудьте очистить ее, щелкнув правой кнопкой мыши по корзине и выбрав пункт меню «Очистить корзину».
Способы обнаружения
Я не буду рассказывать, как определить вредоносный код (файл) с помощью антивирусного ПО. Я уверен, что каждый справится с этим. Достаточно запустить полную проверку с помощью встроенного/стороннего ПО (Касперский, Dr.Web Cure It!).
Читайте также: Гайд: как сделать иллюстрацию в Стиме?
Вирус может пробраться глубже, чем от него ожидаешь. Следующий шаг — планировщик заданий
Чтобы запустить его, щелкните значок поиска на панели задач и введите «Планировщик заданий». Откройте его и войдите в библиотеку планировщика задач — там будут все существующие задачи, которые запускаются по определенному сценарию. Как и в случае с файлами, здесь нужно искать элементы, имеющие странные названия, которые кажутся вам подозрительными и не имеют отношения к установленному на вашем компьютере программному обеспечению.
Если вы не можете определить, является задача вредоносной или нет, вы можете перейти к дополнительным параметрам, дважды щелкнув по ее названию. Есть два признака, по которым можно отличить задачу, созданную вирусом, от остальных. Первое — описание. Если он пуст или ненадежен, это назначение вполне можно посчитать подозрительным и удалить. Вторая — вкладка «Действия». Если там описаны странные действия, например, запуск странных файлов (которые уже были нами удалены) или изменение реестра, такое задание также можно смело удалить.
Чтобы удалить задачу, щелкните по ней правой кнопкой мыши и нажмите «Удалить».
Проверяем диспетчер процессов
Это первое, о чем я думаю, когда возникают подозрения. Зачастую троянец маскируется под безопасный процесс и занимается своим темным делом. Как обнаружить?
- откройте список запущенных служб и приложений с помощью комбинации «Ctrl — Shift — Esc ».
Ух ты! Там столько непонятных процессов. Как найти лишние?
- Системное следует немедленно исключить.
Вот их краткий список:
- CSS
- Лсасс
- Исследователь
- Свхост
- Вининит
- Система
- Выиграть вход в систему
- Внимательно просмотрите свой список. «Шпионские программы» и другие вредоносные программы могут скрываться под одними и теми же именами с разницей в одну-две буквы. Вот, посмотрите повнимательнее:
- Если в списке есть имена, состоящие из бессмысленного набора букв и цифр, стоит задуматься:
- Если есть сомнения, лучше ввести название процесса в поисковик, чтобы узнать о нем подробнее.
Одним из таких является вирус Recycler, о том, как от него избавиться, я рассказал.