Чума 21-го століття - Malware
У цій статті ми розглянемо відновлення операційної системи після дії шкідливого ПО, такого як Malware. Що це таке, і як це слово розшифровується, Ви без зусиль зможете дізнатися набравши відповідний запит в будь-якій пошуковій системі.
Але якщо сказати своїми словами, Malware - це різновид шкідливих програм, які використовують алгоритми роботи, відмінні від звичних нам троянів і вірусів.
Ці програми, на раз проходять захист антивірусів і фаєрволом. Уміють їх відключати. Потім розгортають бурхливу діяльність на вашому комп'ютері.
Як Malware потрапляє до нас?
Дуже просто - є попит, є пропозиція. Тобто Малваре ми отримуємо, завантажуючи необхідний нам файл з сумнівного ресурсу (сайту).
Приклад - людина, яка не досвідчений щонічним шаманством з комп'ютером - не хоче витрачати час на те, щоб розбиратися в тому, що таке реєстр, автозавантаження, папки TEMP і так далі, стикається з помилкою 0xc00000ba. Така людина, не стане шукати інструкцію. Він стане шукати, так звану «Чарівну кнопку» (аналогія з Чарівної лампою Аладіна).
І ось, перегорнувши кілька сторінок незрозумілих інструкцій, і не знайшовши відповіді на своє питання, він натикається на щось таке:
Переходить за посиланням, і бачить наступне. Дівчина просить допомоги у форумчан, в пошуку «чарівного» файлу, який усуне помилку 0xc00000ba. На форумі їй тут же дають посилання на скачування цього файлу.
У деяких випадках, топикстартер «злегка сумнівається», але жителі форуму, тут же її заспокоюють: качай - не бійся, ми завантажили, там все добре і т.п. Обов'язково знаходиться хтось, хто каже: «О, супер! Я теж скачаю. »
Порада: побачили такий сайт або форум, біжіть без оглядки. На таких сайтах можна що-небудь «підчепити» навіть нічого не завантажуючи.
Тут показаний досить старий приклад, тому що він просто перше, що попалося під руку. Насправді технологія поширення шкідливого ПЗ з кожним днем лише ставати витонченішими і розумніші (треба віддати належне розумним людям).
Як правило, люди вміють боротися з малваре, обережні, і мало хто з них на власні очі бачив сам процес зараження. Запитувати господарів ноутбука марно, відповідь буде - «воно саме зламалося».
Саме тому багато хто до цих пір точно не знають, яким способом (звідки) Malware потрапляє на комп'ютер.
Відомо точно, що:
- При спробі знайти який-небудь трек, не знаючи його точної назви;
- При спробі знайти реферат, документ, інструкцію, книгу, не знаючи точної назви;
- При спробі завантажити ще не вийшов фільм, гру;
- При спробі завантажити «ліки», серійний номер, кейген - генератор ключів до програми;
У більшості випадків до пошукового запиту при цьому додається «скачати безкоштовно».
Можу сказати одне: якщо на всім відомому і популярному сайті, звідки можна безпечно завантажити файли - немає тієї модної мелодії, крутий пісні, композиції, нового фільму, програми, ігри, що у всіх на слуху - просто почекайте поки вона на ньому з'явиться. Це краще ніж пошук по сумнівним сайтам.
Передбачається, що комп'ютер був заражений двома днями раніше і вимкнений. На наступний ранок, маємо симптоми:
- MalwareBytes Anti-Malware - просто незамінна програма.
- Dr.Web CureIT! - ветеран на ринку автономних вірусних сканерів.
- CCleaner - універсальний інструмент для очищення і видалення, всього непотрібного.
Комп'ютер потрапив до нас в руки, практично не дає нічого зробити, довільно запускається Opera відразу з 5-6 вкладками, автоматично встановлюється на наших очах браузер від Mail.Ru Аміго, він же Інтернет, практично він же Комета і т.д.
Установка і запуск Malwarebytes
Наша миша не встановлюється, доводиться справлятися гарячими клавішами і тачпадом.
Пробившись, запускаємо інсталятор Malwarebytes. Начебто все добре, програма встановилася. Запускаємо і починаємо сканування.
На жаль, скріншоти всього процесу установки настройки робити було не реально. Кожну хвилину, щось відкривалося і заважало працювати. Але процес йшов.
Після сканування, бачимо результат 1020 - загальна кількість виявлених загроз. Натискаємо на кнопку <Удалить выбранное> і чекаємо повідомлення, яке скаже про необхідність перезавантажити комп'ютер.
Перезавантажуємося. Отримуємо кілька нічого не значущих помилок про відсутніх файлах. І тиша. Це говорить лише про те, що програма впоралася з більшою частиною зловредів, які повинні були запуститися разом з Windows.
Тепер можна працювати спокійно.
Встановлюємо і запускаємо CCleaner
Встановимо CCleaner, і після установки обов'язково запустимо від імені Адміністратора.
Видалення непотрібних (незрозумілих) програм
Як тільки він запуститься, йдемо в розділ «Сервіс». потім «Видалення програм».
Тут нам потрібно озирнутися:
Потрібно деінсталювати то, що нам точно не потрібно, і ми це не ставили. Будьте уважні і обережні - якщо програма Вам невідома, це не означає що вона не потрібна. Але як правило, пізніше її можна встановити, навіть якщо це був будь-якої драйвер.
Отже, вибираємо підозрілі рядки по черзі, і для кожної окремо натискаємо кнопку <Деинсталляция> .
На видалення деяких програм, CCleaner може лаятися і повідомляти, що програми як такої вже немає, і лише залишився запис в реєстрі. Це означає, що Malwarebytes вже добралася до неї раніше, і видалила примусово, без деінсталяції.
Вам залишається лише точно так само вчинити з залишилася від неї рядком, тобто натиснути на кнопку <Удалить>. Варто окремо звернути вашу увагу на браузер «Інтернет» aka «Аміго». Його видалення не обмежується деінсталяції. Але про це, трохи пізніше.
Переглядаємо список ретельніше і знаходимо ще парочку.
Тепер, після того, як ми видалили і деінсталювати все, що нам не потрібно, ми можемо перейти до чищення розділу автозавантаження. Саме в ньому, «сидять» команди, які видали помилки про відсутніх файлах (шкідливих), які вже були видалені за допомогою AntiMalware.
Чистимо автозавантаження Windows, браузерів, і заплановані завдання
Йдемо в «Сервіс» => «Автозавантаження» => «Windows».
Тут відразу впадає в очі перший рядок - вона при завантаженні намагається змінити атрибути файлу групових політик, та ще й скопіювати його кудись. Видаляємо без суду і слідства. Далі йде запуск самого CCleaner`а. Можете залишити, а можете видалити якщо не хочете щоб він весь час висів у треї. Третій рядок запускає програму Мегафон Модем. Ми залишаємо.
Ну а останній пункт, теж вельми підозрілий. Ніби як команда на очистку папки тимчасових файлів Temp. Може бути той же CCleaner вже запланував цю задачу. Але ризикувати не будемо - видалимо. Ми все одно доберемося до цієї папки пізніше.
З автозавантаженням Windows розібралися. Тепер перемкнемося на сусідню вкладку - Internet Explorer. Навіть якщо ми і не користуємося цим браузером, зайве в ньому, нам все одно не потрібно. Тому точно так само проаналізуємо вміст цієї вкладки.
Обидва пункти не викликають особливої радості і довіри. Тому, видаляємо. Переходимо на наступну вкладку - Firefox. У цій системі його ніколи не було, тому йдемо далі - Google Chrome.
Намагаємося видалити і отримуємо помилку, яку добре видно на знімку вище. Що ж, видалимо їх трохи пізніше з самого браузера.
У вкладці Opera. намагаємося виконати те ж саме, і отримуємо таку ж помилку. Теж відкладаємо на потім.
І остання необхідна нам вкладка - Заплановані завдання.
А ось тут по істині очі розбігаються. Незважаючи на те, що більшість додатків підписано Microsoft, ми їх видаляємо. Насправді підписано тільки додаток pcalua.exe. а з його допомогою запускається те, що не підписано нічим.
Взагалі, всі дані списки, можна порівняти з такими ж списками «чистих» систем. Там скрізь буде майже порожньо. Так що не боячись, сміливо видаляємо все підозріле. Ті програми, яким потрібні заплановані завдання, самі знову додадуть їх в цей список.
На цьому чистка автозавантаження поки завершена.
Видалення непотрібних файлів і автоматична чистка реєстру
Перейдемо до очищення диска від зайвого мотлоху. До речі, ця опція, очистить і все папки Temp. про які ми говорили вище. У них дуже люблять ховатися файли з Malware, віруси і т.п.
Перейдемо до розділу «Очищення» і натиснемо кнопку <Очиститка> .
Увага: ця опція, може і швидше за все зіб'є, всі збережені паролі в браузерах.
Крім очищення з метою очистити папки тимчасових файлів, ми вивільнили пристойну кількість дискового простору - 17202 Мб.
Тепер очистимо реєстр. Довіримося все того ж CCleaner. Перейдіть в розділ «Реєстр» і запустіть <Поиск проблем>. Утиліта видасть вам список. Він може бути великим або не дуже.
Натисніть кнопку <Исправить>. У відповідь, система запитає - чи бажаєте ви попередньо зберегти дані реєстру, які зазнати змін. Погодьтеся, і збережіть файлик куди небудь ближче до кореня. Наприклад просто в D: \
Продовжіть виправлення. Сканування можна зробити пару раз, поки список проблем не залишиться порожнім після пошуку.
Закрийте CCleaner - сьогодні він нам навряд чи вже стане в нагоді.
Ручна чистка реєстру
Пам'ятайте, ми просили Вас звернути увагу на браузер «Аміго», він же «Інтернет»? Так ось, після всіх пророблених вище дій, цей браузер хоч і зник з нашої системи, але його елементи залишилися в реєстрі. Є величезна ймовірність, що він в один прекрасний день з'явиться знову.
Щоб його запустити, натисніть на клавіатурі комбінацію клавіш
і натисніть на кнопку
Запуститься програма Regedit. Йдемо в меню «Правка» і клацаємо на «Знайти ...».
У вікні пошуку вводимо слово amigo і натискаємо
Regedit знайшов потрібну фразу в параметрі. Правою кнопкою миші на ньому - видалити. Далі натискаємо на
Кожен знайдений результат виділяється підсвічуванням і нам потрібно видалити їх все.
Увага! Робота з реєстром, вимагає уважності і акуратності. Необережність та неуважність можуть спричинити за собою неприємні наслідки аж до «зльоту» Windows. Робіть все уважно, так як ви це робите на свій страх і ризик.
Ярлики запуску браузерів і видалення розширень
А що ще гірше, замість шляху до самого файлу браузера, може бути прописаний шлях до * .bat файлу, в якому може бути прописано що завгодно, так як за допомогою таких файлів, можна практично писати виконувані скрипти.
Приклад такого ярлика з іншого комп'ютера:
Як з цим боротися? Просто видалити всі модифіковані ярлики. І з панелі завдань теж. А потім створити їх за новою «витягнувши» на робочий стіл з папок, де лежить браузер.
Також, з великою ймовірністю, ваші старі ярлики, можуть лежати там, де і були завжди - на робочому столі. Тільки з атрибутом «Прихований». Якщо ви дісталися до цього місця, то вам не складе труднощів їх дістати.
Ну і фінальний штрих. Пам'ятайте розширення браузерів, які не зміг видалити CCleaner. Видалимо їх в ручну.
- для Chrome, Opera - chrome: // extensions
- для яндекс.браузер - browser: // extensions
У браузері відкриється сторінка з розширеннями, на якій буде саме те розширення, яке ми не змогли видалити - Coprofit.
А в Opera сидить якийсь відключене, але інше. Його теж знесемо.
Тепер, зі спокійною душею перезавантажити. Якщо після привітання побачите чорний екран на якому не буде нічого крім курсора миші - це нормально. Почекайте трохи і процес explorer завантажиться.
При наступному перезавантаженні, чорний екран вже не з'явиться, або дуже швидко проскочить.
В цілому комп'ютер буде завантажуватися набагато швидше ніж при зараженні, але повільніше ніж до нього.
Слід розуміти, що система отримала гарний струс і ми лише залатали деякі дірки. Чекати доброго не доводиться, але ваша Windows 7 або 8 ще побігає.
P.S. В межах однієї статті, дуже важко розповісти все. Та й не можливо. Щодня з'являються все нові і нові методи проникнення цього ПО на комп'ютер. Місця де вони знаходяться, всі ретельніше ховаються. Функціональність їх, вражає.
У статті багато чого не описано: китайські антивіруси і браузери, які складно видалити через незнання китайської мови. Немає опису файлів, які заблоковані від видалення. Немає опису як відновити пошкоджену систему кодування (кракозябри). «Зараження» роутера. Багато чого немає ще.
Підтримати проект не важко. Натисніть на кнопочку.