Реестре после вирусной атаки

    Антивирусные программы, даже при обнаружении и удалении вредоносного программного обеспечения, далеко не всегда восстанавливают полную работоспособность системы. Нередко, после удаления вируса, пользователь компьютера получает пустой рабочий стол, полное отсутствие доступа в Интернет (или блокировку доступа к некоторым сайтам), неработающую мышку и т.п. Вызвано это, как правило, тем, что остались нетронутыми некоторые системные или пользовательские настройки, измененные вредоносной программой под свои нужды.

Восстановление системы, в случае, когда загрузка или вход в систему невозможны.

    Самым простым и действенным способом восстановления поврежденной вредоносным программным обеспечением системы является откат на точку восстановления (Restore Point) когда система еще была в работоспособном состоянии. Кстати, этот же прием можно использовать и для нейтрализации вируса. Откат выполняется таким образом, что изменяются только системные файлы Windows и содержимое реестра. Естественно, восстанавливаются и те элементы, которые, после заражения, позволяют вредоносной программе выполнять свой запуск. Другими словами, откат системы на момент до возникновения вирусного заражения дает возможность изолировать исполняемые файлы вируса и даже, если они остаются в системе, их автоматический запуск не производится, и они никоим образом не могут влиять на работу ОС. Откат на точку восстановления выполняется в среде самой Windows XP (Меню Пуск - Программы - Стандартные - Служебные - Восстановление системы )и в случаях, когда вход в систему невозможен, становится также невыполнимым. Однако, существует инструмент под названием ERD Commander (ERDC) , позволяющий выполнить восстановление системы, даже в случае невозможности запуска штатных средств. Подробное описание ERD Commander и примеры практической работы с ним найдете в статье Инструкция по использованию ERD Commander (Microsoft DaRT).
А в общих чертах, восстановление выполняется с помощью средства ERDC под названием System Restore Wizard . Сначала выполняется загрузка ERD Commander, который представляет собой усеченный вариант Windows (WinPE - Windows Preinstall Edition) и набор специальных программных инструментов для работы с ОС установленной на жестком диске. Затем запускается инструмент System Restore Wizard , с помощью которого состояние системы восстанавливается на созданную ранее ( вручную или автоматически ) точку восстановления. При наличии кондиционных данных точки восстановления, в подавляющем большинстве случаев, система возвращается к работоспособному состоянию.

Восстановление работоспособности с помощью антивирусной утилиты AVZ.

    Это самый простой, не требующий особой квалификации, способ. Антивирусная утилита AVZ Олега Зайцева, кроме основных функций обнаружения и удаления вредоносного ПО, имеет и дополнительную - восстановление работоспособности системы, с помощью специальных подпрограмм, или, по терминологии AVZ - микропрограмм. Утилита AVZ позволяет легко восстановить некоторые системные настройки, поврежденные вирусами. Помогает в случаях, когда не запускаются программы, при подмене страниц, открываемых обозревателем, подмене домашней страницы, страницы поиска, при изменении настроек рабочего стола, невозможности запуска редактора реестра, отсутствии доступа в Интернет и т.п.

    Для запуска процедур восстановления выбираем меню Файл - Восстановление системы и отмечаем галочкой нужную микропрограмму восстановления:

Если не работают некоторые устройства после лечения системы от вирусов.


    Клавиатурные шпионы и вирусы, использующие руткит-технологии для маскировки своего присутствия в зараженной системе, нередко устанавливают свой драйвер как дополнение к реальному драйверу, обслуживающему какое-либо устройство (чаще всего клавиатуру или мышь). Простое удаление файла "вирусного" драйвера без удаления из реестра записи, ссылающейся на него, приведет к неработоспособности "обслуживаемого" устройства.
    Подобное же явление имеет место при неудачном удалении антивируса Касперского, кода перестает работать мышь, и в диспетчере устройств она отображается как устройство с ошибкой, для которого не были загружены все драйверы. Проблема возникает по причине использования антивирусом дополнительного драйвера klmouflt, который устанавливался при инсталляции антивируса. При деинсталляции файл драйвера был удален, но ссылка в реестре на драйвер klmouflt, осталась.

Подобное явление наблюдается и при удалении файла драйвера руткита и оставшейся в реестре ссылке на него. Для устранения проблемы нужно сделать поиск в реестре по строке UpperFilters.
Везде, где в ключах реестра встретится значение

klmouflt - для драйвера от антивируса Касперского
или другое название - для драйвера руткита
mouclass

удалить ненужное klmouflt и перезагрузиться.

Обычно при неработающей клавиатуре и мыши нужно чтобы были восстановлены ключи реестра

Клавиатура:
HKLM\SYSTEM\CurrentControlSet\Control\Class\<4D36E96B-E325-11CE-BFC1-08002BE10318>
UpperFilters=kbdclass

Мышь:
HKLM\SYSTEM\CurrentControlSet\Control\Class\<4D36E96F-E325-11CE-BFC1-08002BE10318>
UpperFilters=mouclass

Если проблема осталась, можно поискать аналогичные значения в LowerFilters

Что произойдет в случае заражения системы вредоносной программой, например вирусом или трояном? Можно ли в этом случае очистить и восстановить Windows? Команда немецкой лаборатории AV-Test постаралась ответить на данные вопросы. Организация провела тестирование 7 антивирусов и 5 специализированных инструментов восстановления и выяснила, насколько они эффективны при устранении последствий вредоносного заражения.

Приходилось ли вам удалять систему Windows, форматировать диск и переустанавливать приложения после вредоносного заражения? Согласитесь, это кошмарный сценарий для многих пользователей, потому что для этого требуется очень много времени и сил. Может, есть другие способы возвращения контроля над инфицированной системой?

Если следовать советам на специализированных форумах, то чуть ли не единственной эффективной мерой называется чистая установка операционной системы на ПК. Результаты испытания AV-Test доказывают, что существуют гораздо более быстрые и менее трудоемкие альтернативы.

Каковы последствия атаки, зараженного вредоносным кодом приложения? Обычно зловред сначала получает контроль над ключевыми компонентами системы Windows. Некоторые вредоносные приложения пытаются незаметно существовать в фоновом режиме, составляя звено ботнета. Другой вредоносный код может давать постоянную нагрузку на центральный процессор, например для майнинга криптовалют.

На самом деле, неважно, что именно делает вредоносный код, первостепенная задача - избавиться от него как можно скорее. Как раз эту задачу могут выполнять антивирусные программы и специализированные утилиты очистки - они удаляют вредоносные образцы и отменяют губительные изменения.

В первые шесть месяцев 2018 года лаборатория AV-Test провела тестирование 7 антивирусных решений и 5 специализированных инструментов восстановления для Windows 10 на удаление вредоносных образцов, их сопутствующих компонентов и следов, и на восстановление системы после вредоносных изменений.




В тесте принимали участие 7 антивирусных продуктов:

В тесте принимали участие 5 специализированных инструментов удаления:

Данное тестирование является очень длительным и трудоемким, потому что требует большой доли ручного труда, а методики тестирования антивирусов и инструментов очистки несколько отличаются. В первоначальном испытании антивирусные продукты устанавливаются уже в зараженную тестовую систему. Таким образом, моделируется сценарий, когда пользователь работал с незащищенной системой, а затем решил попытаться восстановить систему уже после вредоносной атаки. Во втором тесте, антивирусы были установлены в чистую систему, но их защитные функции были отключены, а затем происходило заражение вредоносным кодом. В этом случае моделировалась ситуация, когда антивирусная программа не обнаруживала угрозу первоначально, а выполняла обнаружение и удаление позже.

В случае со специализированными утилитами система Windows изначально была заражена вредоносным ПО, после чего развертывался инструмент очистки. В этом процессе использовался загрузочный DVD-диск или USB устройство флеш-памяти. Затем запускалась среда восстановления, как правило на базе Linux, и инструменты выполняли очистку и восстановление Windows из внешней среды.

После завершения тестовой фазы, системы Windows сканировалась и сравнивалась с эталонной системой. На данном этапе эксперты лаборатории могли установить, была ли система восстановлена в свое первоначальное состояние или очистка и восстановления прошли безуспешно. Команда AV-Test принимала во внимание следующие результаты:

  • Были ли обнаружен образец вредоносной программы или нет
  • Были ли удалены активные и непосредственно опасные компоненты вредоносной программы или нет
  • Количество файлов-остатков, которые не представляют опасности
  • Количество успешно очищенных и восстановленных систем

В целом, результаты данного тестирования оказались хорошими. За одним исключением, антивирусные решения отлично справились с задачей восстановления зараженной системы. Среди протестированных специальных инструментов, есть программы, которые смогут эффективно помочь в чрезвычайной ситуации.





Среди антивирусных программ можно выделить много надежных помощников в очистке. Лучше всех отработали продукты от Bitdefender и “Лаборатории Касперского”. Они безошибочно очистили 42 тестовые системы и только в 2 случаях оставили безвредные остатки. Защитник Windows и Symantec оказались немного позади с 41 успешно очищенной системой и 3 случаями с безопасными остаточными файлами. Avast и Avira надежно восстановили 40 тестовых систем и проигнорировали не представляющие опасности остатки в 4 случаях.

Только продукт Malwarebytes не смог выполнить очистку системы в двух случаях, потому что не распознал вредоносную программу. Еще в 2 случаях продукт оставил без внимания остаточные файлы. Тем не менее, Malwarebytes успешно очистил 40 тестовых систем.

Что касается специализированных инструментов очистки, то в данной категории результаты выглядят скромнее. Лучших результатов здесь также добились решения от Bitdefender и “Лаборатории Касперского”. Они успешно очистили 21 из 22 тестовых систем и в одном случае оставили без внимания безвредные остатки. Продукт Heise смог обнаружить все вредоносные атаки и удалил опасные компоненты, но пропустил безобидные остатки сразу в 15 случаях. Идеально очищены были всего 7 систем.

Средство проверки безопасности от Microsoft не смогло обнаружить один образец вредоносного ПО, а инструмент от Vipre пропустил два зловреда. Стоит упомянуть, что инструмент Microsoft безупречно очистил систему 20 раз и только один раз оставил без внимания остатки угрозы. Аутсайдер данного испытания, Vipre не смог удалить активные компоненты угрозы в 4 случаях и безвредные остатки в 5 тестовых сценариях. Таким образом, Vipre безошибочно очистил только 11 систем.

Таким образом, наилучшие показатели эффективности очистки зараженных систем продемонстрировал продукты от Bitdefender и “Лаборатории Касперского”.

Помните, что если ваш компьютер будет заражен шифровальщиком, то данные, скорее всего, будут зашифрованы незамедлительно. Антивирусы и инструменты очистки смогут удалить угрозу, но не смогут восстановить зашифрованные данные. Поэтому всегда создавайте резервную копию важных данных на внешнем жестком диске и отключайте его от ПК.

Зачастую происходит такое, что антивирусы, вылечив ПК, не могут восстановить нарушенные вирусами программные и системные настройки. Радикальный метод – форматирование винчестера и переустановка операционной системы – не всегда приемлем в силу различных причин.
В таких случаях остается один выход – восстанавливать всё вручную.

Дело в том, что вирусы отключают Диспетчер задач, чтобы их нельзя было принудительно выгрузить из оперативной памяти . При этом в Реестре Windows в разделе [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesSystem] создается параметр REG_DWORD DisableTaskMgr со значением 1.

Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).

Если запуск Редактора реестра не заблокирован (что после вирусной атаки бывает редко), для включения Диспетчера задач можно отредактировать Реестр: нажмите Пуск –> Выполнить… –> в поле Открыть: введите regedit –> OK –> откроется Редактор реестра. В разделе [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesSystem] нужно найти параметр REG_DWORD DisableTaskMgr и установить его значение 0 (или совсем удалить этот параметр).

Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).

Если запуск Редактора реестра не заблокирован (что после вирусной атаки бывает редко), для восстановления пункта меню Свойства папки можно отредактировать Реестр: Пуск –> Выполнить… –> в поле Открыть: введите regedit –> OK –> откроется Редактор реестра. В разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer] нужно найти параметр REG_DWORD NoFolderOptions и установить его значение 0 (или совсем удалить этот параметр) .


17.02.2010, 12:22
Helpmaster

Ранее на форуме создавались похожие топики

Примечания
1. Групповая политика Сделать недоступными средства редактирования реестра отключает использование Редактора реестра (regedit.exe). Если эта политика включена, а пользователь попытается запустить Редактор реестра, будет выведено сообщение о том, что текущая политика запрещает выполнение этого действия.
2. Можно сделать доступным запуск Редактора реестра Windows, запустив альтернативный Редактор реестра (например, загрузившись с аварийно-восстановительного диска типа ERD Commander), в разделе [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesSystem] нужно найти параметр REG_DWORD DisableRegistryTools и установить его значение 0 (или совсем удалить этот параметр).
Внимание! При работе с Редактором реестра Windows следует соблюдать осторожность, а то можно такого на редактировать, что придется переустанавливать операционную систему .
3. При работе пользователя ПК в корпоративной локальной сети отключение Редактора реестра зачастую производится системным администратором – для защиты от деструктивных действий пользователя с шаловливыми ручками! – на то он и сисадмин.

4. Чтобы утилита Редактор реестра могла запускаться, в Реестре в разделе [HKEY_CLASSES_ROOTregeditshellopencommand] значение строкового параметра по умолчанию должно быть – regedit.exe "%1"

Чтобы информацию из reg-файлов можно было добавлять в Реестр, в разделе [HKEY_CLASSES_ROOTregfileshellopencommand] значение строкового параметра по умолчанию должно быть – regedit.exe "%1"

17.02.2010, 12:23 #2 (permalink)

Что делать, если после лечения от вирусов не открывается флэшка?
Иногда при попытке открыть флэшку (или локальный диск) щелчком левой кнопки мыши появляется сообщение об ошибке, что невозможно открыть флэшку, т.к. отсутствует какой-либо файл, как правило, autorun.inf. В таком случае нужно открывать флэшку (или локальный диск), вызывая правой кнопкой мыши контекстное меню (выбрать пункт Проводник или Открыть).

Такое поведение флэшки обусловлено тем, что она была заражена вирусом, прописавшим ей автозапуск для дальнейшего распространения заразы. После чего она была пролечена антивирусом (или файл autorun.inf был удален вручную), но запись об автозапуске флэшки осталась в Реестре Windows.

Следует отметить, что в последнее время очень широко распространены всевозможные USB-шные (флэшечные) вирусы, специально созданные для съемных носителей информации и распространяемые при помощи этих носителей.

Как происходит заражение
На зараженном ПК эти вирусы являются резидентными – они постоянно находятся в оперативной памяти и отслеживают порты USB на предмет подключения съемных носителей. При подключении носителя он проверяется вирусом, заражен ли он уже таким вирусом. Если нет, то вирус копирует на носитель исполняемый файл, а для автоматического запуска вируса при каждом открытии в корневой директории носителя создается файл autorun.inf.

Например, одна из разновидностей вируса RavMon создает в корневой директории носителя файл autorun.inf со следующим содержимым:
[AutoRun]
open=RavMon.exe
shell\open=ґтїЄ(&O)
shell\open\Command=RavMon.exe
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command="RavMon.exe -e"

При открытии флэшки (или корневой директории локального диска, когда вирус заражает винчестер ПК) этот файл создает в Реестре Windows ключи, подобные следующим:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\<8397b16a-78ce-11dc-abd6-806d6172696f>\Shell\AutoRun\command]
строковый параметр по умолчанию – RavMon.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\<8397b16a-78ce-11dc-abd6-806d6172696f>\Shell\explore]
строковый параметр по умолчанию – ЧКФґ№ЬАнЖч(&X)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\<8397b16a-78ce-11dc-abd6-806d6172696f>\Shell\explore\Command]
строковый параметр по умолчанию – RavMon.exe -e

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\<8397b16a-78ce-11dc-abd6-806d6172696f>\Shell\open]
строковый параметр по умолчанию – ґтїЄ(&O)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\<8397b16a-78ce-11dc-abd6-806d6172696f>\Shell\open\Command]
строковый параметр по умолчанию – RavMon.exe

При этом в контекстном меню дисков вместо пунктов Открыть, Проводник – появляются пункты ґтїЄ(O), ЧКФґ№ЬАнЖч(X).

В чем заключается проблема и как ее решить
Проблема заключается в том, что после лечения флэшки (или локального диска) файл autorun.inf и ключи Реестра, созданные вирусом, остаются, и при попытке открытия носителя левой кнопкой мыши появляется сообщение об ошибке.

17.02.2010, 12:24 #3 (permalink)

12. Если вы не можете запустить txt-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\txtfile\shell\open\command] и исправьте значение расширяемого строкового параметра по умолчанию на %SystemRoot%\system32\NOTEPAD.EXE %1

13. Если вы не можете запустить reg-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\regfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на regedit.exe "%1"

14. Если у вас начались проблемы с установкой программ, найдите в Реестре раздел [HKEY_CLASSES_ROOT\Msi.Package\shell\Open\command] и исправьте значение расширяемого строкового параметра по умолчанию на "%SystemRoot%\System32\msiexec.exe" /i "%1" %*

15. Если у вас начались проблемы с унинсталляцией (удалением) программ, найдите в Реестре раздел [HKEY_CLASSES_ROOT\Msi.Package\shell\Uninstall\comm and] и исправьте значение расширяемого строкового параметра по умолчанию на "%SystemRoot%\System32\msiexec.exe" /x "%1" %*


Внимание!
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Рекомендации данной статьи предназначены для ОС Windows 2000/XP/2003/Vista, для Windows 95/98/Me будут незначительные отличия.

  • Новости или на злобу дня (251)
  • Куклы (129)
  • Мастера и ремесла (101)
  • МК (80)
  • Съедобный креатив (58)
  • Видео (43)
  • Для блогов и блогеров (42)
  • Художники и их полотна (33)
  • Яйца судьбы или новости из города в котором я живу (32)
  • Сказка для взрослых (29)
  • Цветочное (28)
  • Праздник (25)
  • Новости от RapInfo (24)
  • Китай (24)
  • Одежда (18)
  • Размышления (17)
  • Достояние наций (17)
  • Вышитый креатив (17)
  • Родительский контроль! (17)
  • Древний быт (16)
  • Архитектура (15)
  • Моя работа (15)
  • Солитер (15)
  • Вязалочки (14)
  • Птицы от павлина до колибри (14)
  • Женщины-эпохи (14)
  • Для друзей (13)
  • Драгоценности (13)
  • Мое любимое (13)
  • Исчезнувшие (12)
  • Бабочки и коровки (11)
  • Православное (11)
  • Снадобья (10)
  • Камни и жемчуг (10)
  • Юмор (8)
  • Игры (8)
  • Западные славяне (6)
  • Малышам и их мамам (6)
  • Золото (6)
  • Северное небо. (6)
  • Любимые книги (5)
  • Зверьки (5)
  • Тильды (5)
  • Трубадуры и суверены (4)
  • Кружева (4)
  • Оружие,преимущественно холодное (4)
  • Атлас пород кошек (4)
  • Знаменитые,незабвенные и неизвестные (4)
  • Обереги (3)
  • Танец живота и все что с ним связано. (3)
  • Собаки (3)
  • Скульптура и скульпторы (3)
  • Фаберже (3)
  • Мозаика (3)
  • Морская тема (2)
  • Схемы (2)
  • Ягодное лето (2)
  • Вино (2)
  • Монархия (2)
  • Котоматрица (1)
  • Дитям-цветы. (1)
  • Музыкальные инструменты (1)
  • Павлово - Посадская шаль (1)
  • Парад светлячков. (1)
  • Писанка (1)
  • Орган и органисты (1)
  • Соборы Монреаля (1)
  • Атлас экзотических плодов. (1)

Сегодня сканер Доктор Веб вдруг потребовал восстановить hosts-файл.(. )А что это?И надо ли его восстанавливать?А так же зачем он нужен,как используется и чем грозит нам повреждение сего файла вирусом подробнейшее объяснение от Валерия Сидорова.

hosts-файл: устраняем последствия вирусной атаки

URL (англ. аббревиатура от Uniform Resource Locator) – унифицированный указатель информационного ресурса; стандартизованная строка символов, указывающая местонахождение ресурса в сети Интернет.

Что такое hosts-файл hosts-файл в Windows и других операционных системах используется для связи (сопоставления) имен хостов (узлов, серверов, доменов) с их IP-адресами (name resolution). В hosts-файле по умолчанию прописан всего один IP-адрес (127.0.0.1), зарезервированный для localhost, то есть для локального ПК. Файл hosts представляет собой обычный текстовый файл (не имеющий расширения). Дисковый адрес файла hosts:

• Windows 95\98\ME – \WINDOWS\;

• Windows NT\2000\XP\Vista\7 – \Windows\System32\drivers\etc\.

Когда интернет-пользователь набирает в своем веб-браузере адрес (URL) какого-либо сайта (веб-страницы) и нажимает Enter:

– браузер пользователя проверяет в hosts-файле, не является ли введенное имя собственным именем компьютера (localhost); – если нет, то браузер ищет запрашиваемый адрес (имя хоста) в файле hosts;

– если имя хоста найдено, браузер обращается к соответствующему этому хосту IP-адресу, указанному в hosts-файле;

– если имя хоста не обнаружено в файле hosts, тогда браузер обращается к кэшу распознавателя DNS (DNS-кэш);

– если имя хоста найдено в кэше, браузер обращается к соответствующему этому хосту IP-адресу, сохраненному в кэше DNS;

– если имя хоста не обнаружено в кэше распознавателя DNS, браузер обращается к DNS-серверу;

– если запрашиваемая веб-страница (сайт) существует, DNS-сервер переводит заданный пользователем URL-адрес в IP-адрес;

– веб-браузер загружает запрошенный ресурс.

Типовое содержимое файла hosts

Использование hosts-файла

hosts-файл можно использовать для ускорения работы в Глобальной Сети и сокращения трафика – вследствие уменьшения запросов к DNS-серверу для часто посещаемых ресурсов.

Иногда hosts-файл используют для блокировки нежелательных ресурсов (например, рассылающих спам и вредоносное программное обеспечение). Для этого нужно после строки 127.0.0.1 localhost ввести строку 127.0.0.1 URL_блокируемого_ресурса

Суть этой манипуляции в том, что блокируемый ресурс сопоставляется с IP-адресом 127.0.0.1, который является адресом локального компьютера, – поэтому нежелательный ресурс не будет загружаться.

Правила редактирования hosts-файла

1. Каждый элемент должен располагаться в отдельной строке.

2. IP-адрес должен начинаться с первой позиции строки, за ним (в этой же строке) должно следовать соответствующее ему имя хоста.

3. IP-адрес и имя узла должны разделяться хотя бы одним пробелом.

4. Комментарии должны предваряться символом #.

5. Если комментарии используются в строках соответствия доменных имен, они должны следовать за именем узла и отделяться от него символом #.

Использование hosts-файла вирусописателями

Злоумышленники давно уже облюбовали hosts-файл, – с его помощью на зараженном ПК подменяются настоящие адреса веб-ресурсов. После этого веб-браузер перенаправляет пользователя на сайты с вредоносным ПО, или, например, блокирует доступ к сайтам производителей антивирусов.

Вредоносное ПО маскирует модификацию hosts-файла следующим образом:

– чтобы затруднить обнаружение строк, добавленных вирусом, они записываются в конец файла

– после пространной пустой области, образуемой в результате многократного перевода строк;

– после этого оригинальному hosts-файлу присваивается атрибут Скрытый (по умолчанию скрытые файлы и папки не видны);

– создается ложный hosts-файл, который в отличие от настоящего файла hosts (не имеющего расширения) имеет расширение .txt (по умолчанию для зарегистрированных типов файлов расширения не отображаются):

hosts-файл: как устранить последствия вирусной атаки Откройте hosts-файл (если вирус установил файлу атрибут Скрытый, потребуется в Свойствах папки включить опцию Показывать скрытые файлы и папки);

– файл hosts откроется в Блокноте;

– удалите все строки, кроме 127.0.0.1 localhost;


При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их необходимая часть. Для этого они вносят изменения в реестр Windows.

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск — Выполнить


Как альтернативe команде msconfig можно использовать программу XPTweaker (скачайте с официального сайта).


Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows — уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса — самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5−10-летней давности.


2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке пopнo-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба — launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.

Более действенный и быстрый способ — загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.


3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe — программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригинальные параметры записи в реестре должны быть следующими:


Вирус может прописать себя например так:

В данном примере файл gertinw.exe — это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!

После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:\WINDOWS\system32\) и explorer.exe (находится в C:\WINDOWS\) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей.


Где находятся вирусы

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet <номера 001 или 002>\Services\Tcpip\Parameters \PersistentRoutes

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Читайте также:

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.

Copyright © Инфекционные заболевания

17.02.2010, 12:25 #4 (permalink)