Как удалить вирус, всплывающую рекламу, руткиты и трояны, шпионы в ручную.

Статьи
Комментарии

В последнее время появилось много людей ищущих на просторах интернета информации об удалении различных вирусов и всплывающей рекламе в браузерах. Набрав в поисковике информацию о том как их удалить с десяток сайтов рекомендует использовать практически одни и те же  программа и методы. Большинство авторов статей, либо не умеют программировать либо просто сдирают информацию друг у друга. Обладая не большими знаниями в программировании вирус можно написать за не сколько минут, причем ни один из антивирусных программ его обнаруживать не будет, до тех пор пока он не попадет в базу данных антивирусных компаний. А на это может уйти не один год. Каждый день создаются сотни если не тысячи клонов известных вирусов, не говоря уже о абсолютно новых.

Выявляем есть ли на компьютере вирусы, если вы положительно можете ответить хоть на один из списка положительно, вероятно ваш компьютер заражен.

  1. Получение сообщения об ошибке в браузере, не может отобразить страницу, при попытках доступа к определенным веб-сайтам.
  2. Ваш браузер странно себя ведет, всплывает реклама, он подтормаживает, виснет, самостоятельно переходит по разным ссылкам.
  3. Поменялась ваша домашняя страница в браузере.
  4. Появились кнопки или инструменты в верхней части браузера.
  5. Ваш компьютер стал медленно работать.
  6. Ваш компьютер на время или намертво зависает.
  7. Ваш компьютер медленно выключается или включается.
  8. Происходят  неожиданные перезагрузки системы.
  9. У вас заблокирован доступ к примеру панели управления, диспетчеру задач, редактору реестра или командной строке.

Прежде чем приступить к удалению нужно ответить на пару вопросов. Заходили ли вы в интернет, какие сайты посещали, переходили ли вы по рекламным ссылкам. Если да то вы вероятно всего перешли по фишинговым ссылкам, и в последствии у вас могут появляться различного рода реклама или просто открываться окна в браузере, так же возможно изменение домашней страницы, бывают случаи к примеру при переходе на поисковую систему www.yandex.ru вас перебрасывает к примеру на сайт porno.com. Или блокировщик окна появляется на весь экран, такого рода вредоносного приложения легко удалить.  И так приступим к тому что бы найти и обезвредить вирусную программу, для этого перезагрузите компьютер и зайдите в безопасном режиме в windows. Для этого вовремя перезагрузки вам надо нажать несколько раз клавишу F8 и выбрать безопасный режим загрузки windows. Конечно существуют разные вирусные программа блокирующие загрузку в безопасном режиме. Если вы не смогли зайти вам может потребовать загрузочный диск, флешка. С которой вы сможете зайти на ваши локальные диски. И провести дальнейшие манипуляции по удалению вредоносного ПО. Первым дело попробуйте восстановить систему, зайдите в пуск и в поиске программы напишите rstrui.exe запустить система восстановления, выполните все подсказки в программе по восстановлению системы. Если она была отключена, придется удалять ручками. Идем дальше, в первую очередь нам надо удалить все файлы cookies если вы не знаете как это сделать можете посмотреть в интернете либо вот на этом сайте, довольно доходчиво объяснено. Так же этом можно сделать в каждом браузере в настройках, описывать подробно не имеет смысла. Идем дальше, заходим в пуск  в поиске пишем regedit и запускаем реестр системы. И переходим в следующий раздел

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

В правом окне программы отображаются имена программ. Удаляем все что вам не знакомо. Если что то удалите лишнее, ничего страшного, эти приложения установленные вами которые прописались в автозагрузку системы.

Далее заходим в следующий раздел:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Тут так же удаляем все что нам не знакомо, и переходим в следующий раздел

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Здесь так же посмотрите внимательно на имена программ, если вы их не устанавливали, лучше удалить.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Заходим в последний раздел и проводим по аналогии с предыдущими удаление. Вирусы часто прописываются в автозагрузку под ложными именами. Они имеют схожие имена с настоящими и полезными программами, распознавание настоящих от вирусных программ приходит с опытом. Если вы что то удалите в этих разделах ничего страшного не будет, по идеи их вообще лучше держать пустыми, так как чем меньше программ в автозагрузке, тем быстрее работает ваш компьютер. Одно проблемой может стать если вирус заражает исполняемый фаил своим вирусным кодом, или какой нибудь из драйверов вашей операционной системы, что еще страшнее если заражен будет загрузочный сектор жесткого диска, вот тогда визуально найти ее будет не возможно, тут могут прийти на помощь только антивирусные программы, или специализированное ПО. Так же вирусы могут находится в системе загруженных модулях, если зайти в диспетчер задач в службы тут можно увидеть все загруженные сервисы, вредоносное ПО так же может быть запущенно там.  Мне помогает использование программы Process Explorer рис. 1 или Autoruns рис. 2.

рис.1

рис.2

Эти программы в онлайн режиме отслеживают запущенные процессы и  взаимодействие приложений с  различными сервисными windows, а так же производят ли они какую либо отправку информации по интернету. К примеру в Process Explorer имеется опция проверки файла на сайт virus total, очень удобно. Так как если туда попал подозрительный фаил, рано или поздно он будет добавлен во все базы антивирусных программ. Эти инструменты помогают распознать и найти подозрительные файлы. А мы продолжаем  искать и удалять вредоносное ПО дальше.

Как ни странно это звучало, в последние время мне удавалось подхватить своего рода ПО которое по поведению напоминает вирус, такое ПО является легальным, и распространяется злоумышленниками, за частую в интерполятор этих программ происходит подмена файлов, что ведет к потере ваших персональных данных. Из последних что я помню это были не известные антивирусы на китайском, где устанавливалось с ними еще куча различных утили, проблемой удаления которых было то что в них весь текст написан на иероглифах, и понять что и куда жать было сложно, но разобравшись и воспользовавшись переводчиком, я все таки понял как они работают, но тут всплыли другие проблемы утилита uninstall что идет с любой программой для ее последующего удаления, была испорчена, и программу удалить стандартными средствами удаления было не возможно, так же она блокировала все возможные изменения собственных файлов программы. В подобных случаях что бы удалить такого рода вредоносное ПО нужно зайти в безопасном режиме, это когда ваш компьютер только начал загружаться необходимо нажать клавишу F8 и выбрать соответствующий пункт рис.3

рис.3

Найдите установленную вредоносную программу, обычно они располагаются в Program Files или Program Files(x86)  удалить ее, в моем случаи найти программу для меня не составила труда, так как название ее было на китайских иероглифах, если вы не знаете место положения вредоносного ПО воспользуйтесь программой Process Explorer, в ней можно проследить путь до запускаемого исполняемого файла, так же удалите все следы из реестра автозагрузки как я описал выше ССЫЛКА

Перезагрузите компьютер и в 80% из 100% ваш компьютер будет очищен, от различного рода вредоносного ПО. Но что же вы спросите с оставшимися 20%, в них могут входить вирусы с более интеллектуальным провидением, которые обычным способом не найти, обычно они используют несколько исполняемых файлов, которые контролируют работу друг друга, такие вирусы то же не редкость и мне такие то же попадались, если один из файлов удалить, то он восстанавливал своего брата, и они снова работали сообща. Часто вирусы маскируются под системные файлы с схожими именами, и сразу их определить не возможно новичку, к примеру фаил svсhost.exe есть у каждого это системный исполняемый фали, помогает разгрузить работу процессора, его копий может быть более 10 штук одновременно запущенных. А теперь представьте и посмотрите можете отличить вот такие два файла по имени какой из них вредоносное по, а какой нет

  1. svсhost.exe
  2. svсhоst.exe

Думаю что нет, но на самом деле их имена разные, и это понимает только компьютер, в 1 случаи в слове используется O английская, а во втором О русская, вот злоумышленники этим и пользуются, причем можно даже подделать цифровую подпись файла, задать ей версию и компанию производителя, что в итоге визуально отличаться они не будут. Но если вы запустите диспетчер задач рис 4. (нажмите одновременно три клавишу ctrl+alt+del),  то в пункте подробности или в пункте процессы, взгляните на столбик «Описание» найдите имя этого файла, и у него описания должно быть «Хост процесс для служб Windows» и никакое другое, все остальное с таким именем и другим описанием можно с вероятностью в 100% сказать что вредоносное ПО.

рис.4

 

Еще одним не маловажным случаем является то что время от времени необходимо проверять свои порты на закрытие, так как некоторые программы имеют уязвимость, а их сервисные программы обновления всегда находятся в автозагрузке, открывают порты и обмениваются сообщениями с серверами. Для проверки открытия портов лучше использовать такие программы как ПЕРЕЧИСЛЯЕМ ПРОГРАММЫ, и программы для их закрытия, как закрыть порт я описываю в этой статье. Но вот и все, надеюсь я вам помог удалить вредоносное ПО с вашего компьютера, если нет, оставляйте комментарии, опишите свою проблему и как вы ее попробовали исправить, я вам с радостью помогу, и никогда не слушайте людей которые говорят проще переустановить windows чем найти вирус.

 

 

 

 

Обновлено: 08.04.2017 — 19:22

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.