Лайкнуть
Лайкнуть
Твитнуть
Существуют универсальные как швейцарский нож программы. Герой моей статьи - как раз такой «универсал». Зовут его AVZ (Антивирус Зайцева). С помощью этого бесплатного антивируса и вирусы выловить можно, и систему оптимизировать, и проблемы исправить.
О том, что это антивирусная программа, я уже рассказывал в . О работе AVZ в качестве одноразового антивируса (точнее, антируткита) хорошо рассказано в справке к ней, я же покажу вам иную сторону программы: проверка и восстановление настроек.
Что можно «починить» с помощью AVZ:
Также с ее помощью можно проверить на безопасность настройки Windows (дабы лучше защитить от вирусов), а также оптимизировать систему, почистив автозагрузку.
Страница загрузки AVZ находится .
Программа бесплатна.
Программа AVZ имеет очень много функций, затрагивающих работу Windows. Это опасно , потому что в случае ошибки может случиться беда. Просьба внимательно читать текст и справку, прежде чем что-то делать. Автор статьи не несет ответственности за ваши действия.
Чтобы иметь возможность все «вернуть как было» после неосторожной работы с AVZ, я написал эту главу.
Это обязательный шаг, по сути создание «пути отхода» в случае неосторожных действий - благодаря точке восстановления можно будет восстановить настройки, реестр Windows до более раннего состояния.
Система восстановления Windows - обязательный компонент всех версий Windows, начиная с Windows ME. Жаль, что о нем обычно не вспоминают и теряют время, переустанавливая Windows и программы, хотя можно было всего лишь пару раз кликнуть мышкой и избежать всех проблем.
Если повреждения серьезные (например, удалена часть системных файлов), то «Восстановление системы» не поможет. В остальных случаях - если вы неправильно настроили Windows, «намудрили» с реестром, поставили программу, от которой Windows не загружается, неправильно воспользовались программой AVZ - «Восстановление системы» должно помочь.
После работы AVZ создает в своей папке подпапки с резервными копиями:
/Backup - там хранятся резервные копии реестра.
/Infected - копии удаленных вирусов.
/Quarantine - копии подозрительных файлов.
Если после работы AVZ начались проблемы (например, вы бездумно воспользовались инструментом AVZ «Восстановлением системы» и Интернет перестал работать) и Восстановление системы Windows не откатило сделанные изменения, можно пооткрывать резервные копии реестра из папки Backup.
Идем в Пуск - Панель управления - Система - Защита системы:
Нажимаем «Защита системы» в окне «Система».
Нажимаем кнопку «Создать».
Процесс создания точки восстановления может занять с десяток минут. Затем появится окно:
Точка восстановления будет создана. Кстати, они автоматически создаются при установке программ и драйверов, но не всегда. Поэтому перед опасными действиями (настройкой, чисткой системы) лучше лишний раз создать точку восстановления, чтобы в случае беды хвалить себя за предусмотрительность.
Существует два варианта запуска Восстановления системы - из-под запущенной Windows и с помощью диска с установкой.
Идем в Пуск - Все программы - Стандартные - Служебные - Восстановление системы:
Запустится Выбрать другую точку восстановления и нажимаем Далее. Откроется список точек восстановления. Выбираем ту, которая нужна:
Компьютер автоматически перезагрузится. После загрузки все настройки, его реестр и часть важных файлов будут восстановлены.
Нужен «установочный» диск с Windows 7 или Windows 8. Где его достать (или скачать), я написал в .
Загружаемся с диска (как загружаться с загрузочных дисков, написано ) и выбираем :
Выбираем «Восстановление системы» вместо установки Windows
До всех действий избавьтесь от вирусов, например, с помощью . В противном случае толку не будет - исправленные настройки запущенный вирус снова «поломает».
Если вирус заблокировал запуск каких-либо программ, то AVZ вам поможет. Конечно, надо еще запустить сам AVZ, но это довольно легко:
Сначала идем в Панель управления - ставим любой вид просмотра, кроме Категории - Параметры папок - Вид - снять галку с Скрывать расширения для зарегистрированных типов файлов - OK. Теперь у каждого файла видно расширение - несколько символов после последней точки в имени. У программ это обычно .exe и .com . Чтобы запустить антивирус AVZ на компьютере, где запрещен запуск программ, переименуйте расширение в cmd или pif:
Тогда AVZ запустится. Затем в самом окне программы нажимаем Файл - :
Надо отметить пункты:
1. Восстановление параметров запуска.exe, .com, .pif файлов (собственно, решает проблему запуска программ)
6. Удаление всех Policies (ограничений) текущего пользователя (в некоторых редких случаях этот пункт также помогает решить проблему запуска программ, если вирус попался очень вредный)
9. Удаление отладчиков системных процессов (очень желательно отметить и этот пункт, потому что даже если вы проверили систему антивирусом, от вируса что-то могло остаться. Также помогает в случае, если Рабочий стол не появляется при запуске системы)
, подтверждаем действие, появляется окно с текстом «Восстановление системы выполнено». После остается перезагрузить компьютер - проблема с запуском программ будет решена!Достаточно частая проблема - при запуске системы не появляется Рабочий стол.
Запустить Рабочий стол можно так: нажимаем Ctrl+Alt+Del, запускаем Диспетчер задач, там нажимаем Файл - Новая задача (Выполнить…) - вводим explorer.exe :
Чтобы не делать так каждый раз, надо восстановить ключ запуска программы explorer («Проводник», который отвечает за стандартный просмотр содержимого папок и работу Рабочего стола). В AVZ нажимаем Файл - и отмечаем пункт
Если вирус заблокировал запуск двух вышеупомянутых программ, через окно программы AVZ можно запрет убрать. Просто отметьте два пункта:
11. Разблокировка диспетчера задач
17. Разблокировка редактора реестра
И нажмите Выполнить отмеченные операции.
Программы AVZ умеет чистить компьютер от ненужных файлов. Если на компьютере не установлена программа очистки жесткого диска , то сойдет и AVZ, благо возможностей много:
Подробнее о пунктах:
В зависимости от установленных программ, количество пунктов будет отличаться. Например, если установлен браузер Opera, можно будет очистить и его кеш тоже.
Верный способ ускорить включение компьютера и скорость его работы - чистка списка автозапуска. Если ненужные программы не будут запускаться, то компьютер не только будет включаться быстрее, но и работать быстрее тоже - за счет освободившихся ресурсов, которые не будут забирать запущенные в фоне программы.
AVZ умеет просматривать практически все лазейки в Windows, через которые запускаются программы. Просмотреть список автозапуска можно в меню Сервис - Менеджер автозапуска:
Рядовому пользователю столь мощный функционал абсолютно ни к чему, поэтому я призываю не отключать все подряд . Достаточно посмотреть только два пункта - Папки автозапуска и Run* .
AVZ отображает автозапуск не только вашего пользователя, но и всех остальных профилей:
В разделе Run* лучше не отключать программы, находящиеся в разделе HKEY_USERS - это может нарушить работу других профилей пользователей и самой операционной системы. В разделе Папки автозапуска можно отключать все, что вам не нужно.
Зеленым отмечены строчки, опознанные антивирусом как известные. Сюда входят как системные программы Windows, так и посторонние программы, имеющие цифровую подпись.
Черным отмечены все остальные программы. Это не значит, что такие программы являются вирусами или чем-то подобным, просто не все программы имеют цифровую подпись.
Не забудьте растянуть первую колонку пошире, чтобы было видно название программы. Обычное снятие галочки временно отключит автозапуск программы (можно будет потом поставить галку снова), выделение пункта и нажатие кнопки с черным крестиком удалит запись навсегда (или до того момента, как программа снова себя пропишет в автозапуск).
Возникает вопрос: как определить, что можно отключать, а что нет? Есть два пути решения:
Во-первых, есть здравый смысл: по названию.exe файла программы можно принять решение. Например, программа Skype при установке создает запись для автоматического запуска при включении компьютера. Если вам это не нужно - снимайте галочку с пункта, заканчивающегося на skype.exe. Кстати, многие программы (и Скайп в их числе) умеют сами убирать себя из автозагрузки, достаточно снять галку с соответствующего пункта в настройках самой программы.
Во-вторых, можно поискать в интернете информацию о программе. На основе полученных сведений остается принять решение: удалять ее из автозапуска или нет. AVZ упрощает поиск информации о пунктах: достаточно лишь нажать правой кнопкой мыши по пункту и выбрать ваш любимый поисковик:
Отключив ненужные программы, вы ощутимо ускорите запуск компьютера. Однако все подряд отключать нежелательно - это чревато тем, что вы потеряете индикатор раскладки, отключите антивирус и т.д.
Отключайте только те программы, о которых вы знаете точно - они вам в автозапуске не нужны.
В принципе, то, о чем я написал в статье, сродни забиванию гвоздей микроскопом - программа AVZ подходит для оптимизации Windows, но вообще-то это сложный и мощный инструмент, подходящий для выполнения самых разных задач. Однако, чтобы использовать AVZ на полную катушку, нужно досконально знать Windows, поэтому можно начать с малого - а именно с того, о чем я рассказал выше.
Если у вас есть какие-либо вопросы или замечания - под статей есть блок комментариев, где можно написать мне. Я слежу за комментариями и постараюсь как можно быстрее вам ответить.
Похожие записи:
Лайкнуть
Лайкнуть
Благодарю за помощь в подготовке материала мастеров компьютерного сервисного центра Запускай.РФ. У этих ребят вы можете заказать ремонт ноутбуков и нетбуков в Москве.
Вредоносные программы, внедряются в операционную систему персонального компьютера, наносят значительный вред всему объему данных. На данный момент времени программы-вредители создаются с разными целями, поэтому их действия направлены на корректировку различных структур операционной системы персонального компьютера.
Распространенным и последствиями, очевидными пользователю, являются неполадки в работе с сетью Интернет, нарушения в работе устройств, присоединенных к ПК.
Даже если вредитель был обнаружен и уничтожен – это не исключает потери информации и других проблем, которые возникают в последующей работе. Перечислять варианты можно бесконечно, чаще всего пользователь обнаруживает полную или частичную блокировку доступа во Всемирную сеть, отказ в работе внешних устройств (мышка, флеш-карта), пустой рабочий стол и прочее.
Перечисленные последствия наблюдаются из-за изменений, которые внесла программа — вредитель в системные файлы персонального компьютера. Такие изменения не ликвидируются с устранением вируса, их нужно корректировать самостоятельно, или прибегнуть к помощи специалистов. По сути, работа такого рода не требует специальной подготовки, и выполнить ее может любой продвинутый пользователь, изучив соответствующие инструкции.
В практике работы по организации восстановления операционной системы различают несколько подходов, зависящих от причин, которые привели к сбою. Рассмотрим каждый из вариантов подробно. Простой способ доступный каждому пользователю – это откат ОС на точку восстановления, когда работа персонального компьютера соответствовала требованиям пользователя. Но очень часто это решение является неудовлетворител ьным, или же его невозможно осуществить по объективным причинам.
Запуск восстановления системы происходит следующим образом. Меню Пуск \ Панель управления \ Восстановление системы. По данному адресу выбираем нужную нам точку восстановления и запускам процесс. Через некоторое время работа будет завершена и компьютер готов к нормальному функционированию. Прием вполне применим для устранения некоторых видов вирусов, поскольку изменения происходят и на уровне реестра. Такой вариант восстановления операционной системы считается самым простым и входит в набор стандартных инструментов Windows . Пошаговая инструкция и справка с подробными комментариями процесса поможет освоить прием восстановления работоспособност и компьютера даже если пользователь не совсем уверенно чувствует себя в качестве администратора ПК.
Другим распространенным вариантом восстановления ОС – запуск процедуры с внешнего носителя. Данный вариант осложняется некоторыми моментами, так, например, необходимо иметь образ системы на флеш-карте или диске и позаботиться о наличии такой копии заранее. Кроме того часто необходимо иметь определенные навыки в работе с системой BIOS . Образ операционной системы на внешнем носителе — оптимальный вариант в случае, если восстановление невозможно, так как вирус заблокировал вход в систему компьютера. Есть другие варианты.
Воспользоваться стандартными инструментами Windows для восстановления ОС невозможно, если например вход невозможен, либо существуют иные причины препятствующие выполнению операции в стандартном режиме. Ситуация разрешима при помощи инструмента ERD Commander (ERDC).
Каким образом программа функционирует, разберем ситуацию последовательно. Первый шаг — загрузка программы. Второй шаг — это запуск инструмента Syst em Restore Wizard, именно с его помощью производится откат ОС в заданную позицию восстановления.
Как правило, каждый инструмент имеет в запасе несколько контрольных точек, и в восьмидесяти процентах случаев работоспособност ь персонального компьютера будет полностью реанимирована.
Рассматриваемый далее инструмент в работе не требует каких-то особых умений и навыков пользователя. Программный продукт разработан Олегом Зайцевым и предназначен для поиска и уничтожения всех видов вирусов и вредоносных программ. Но кроме основной функции, утилита восстанавливает большинство системных настроек, которые подверглись атаке или изменению со стороной вирусов-вредител ей.
Какие проблемы может решить представляемая программа? Главное – восстановление системных файлов и настроек, подвергшихся атаке вирусов. Утилита справляется с поврежденными драйверами программ, которые отказываются запускаться после восстановления. Когда возникают проблемы работы в браузерах или же в случае блокировки доступа в сеть Интернет и многие другие неприятности.
Активируем операцию восстановления по адресу Файл \ Восстановление системы и выбираем операцию, которая необходима. На рисунке представлен интерфейс микропрограмм, которыми оперирует утилита, дадим характеристику каждой из них.
Как можно увидеть, набор операций представлен 21 пунктом, и наименование каждого из них объясняет его назначение. Отметим, что возможности программы достаточно многообразны и ее можно считать универсальным инструментов в реанимации не только самой системы, но и ликвидации последствий работы вирусов с системными данными.
Первый параметр используют, если последствиями атаки вирусов и процедуры восстановления ОС отказываются работать необходимые пользователю программы. Как правило, такое случается, если вредитель проник в файлы и драйвера программ и внес любые изменения в записанную там информацию.
Второй параметр необходим, когда вирусы осуществили подмену доменов при вводе их в поисковую систему браузера. Такая подмена — первый уровень корректировки взаимодействия системных файлов операционной системы и сети Интернет. Такая функция программы, как правило, без следа устраняет внесенные изменения, не пытаясь их обнаружить, а просто подвергая полному форматированию всего объема данных префиксов и протоколов, заменяя их на стандартные настройки.
Третий параметр возобновляет настройку стартовой страницы Интернет-браузера. Как и в предыдущем случае, по умолчанию программа корректирует проблемы браузера Internet Explorer .
Четвертый параметр корректирует работу поисковой системы и устанавливает стандартный режим работы. Опять же процедура касается браузера установленного Windows по умолчанию.
При проблеме связанной с функционированием рабочего стола (появление на нем баннеров, рисунков, посторонних записей) активируют пятый пункт программы. Такие последствия действия вредоносных программ были очень популярными еще пару лет назад и доставляли немало проблем пользователям, но и сейчас не исключено проникновение в операционную систему ПК таких пакостников.
Шестой пункт необходим в случае, если программа-вредит ель ограничила действия пользователя при выполнении ряда команд. Эти ограничения могут носить различный характер, а поскольку настройки доступа хранятся в реестре, то вредоносные программы чаще всего используют эту информацию для корректировки работы пользователя со своим ПК.
Если при загрузке ОС появляется стороннее сообщение, это означает, что программа-вредит ель смогла внедриться в параметры запуска Windows NT. Восстановление ОС, уничтожившее вирус, не убирает это сообщение. Для того что бы убрать его необходимо активировать седьмой параметр меню утилиты AVZ .
Восьмой параметр меню, в соответствии с названием, восстанавливает настройки проводника.
Иногда проблема проявляется в виде перебоев в работе системных компонентов, так например, во время запуска ОС персонального компьютера исчезает рабочий стол. Утилита AVZ проводит диагностику этих структур и вносит необходимые корректировки при помощи пункта девять меню инструментов.
Неполадки загрузки ОС в безопасном режиме устраняются пунктом десять. Обнаружить необходимость в активации данного пункта мультипрограммы рассматриваемой здесь утилиты просто. Они проявляются при любых попытках провести работу в режиме безопасности.
Если происходит блокировка диспетчера задач, то необходимо активировать пункт меню одиннадцать. Вирусы от имени администратора вносят изменения в активацию данного раздела операционной системы, и вместо рабочего окна появляется сообщение о том, что работа с диспетчером задач заблокирована.
Утилита HijackThis в качестве одной из основных своих функций использует хранение в реестре списка исключений. Для вируса достаточно проникнуть в базу утилиты и зарегистрировать файлы в списке реестра. После этого он может самостоятельно восстанавливатьс я неограниченное количество раз. Чистка реестра утилиты происходит за счет активации двенадцатого пункта меню настроек AVZ .
Следующий, тринадцатый пункт, позволяет очистить файла Hosts, это файл измененный вирусом может вызывать сложности при работе с сетью, блокировать некоторые ресурсы, мешать обновлению баз данных антивирусных программ. Работа с данным файлом более подробно будет разобрана ниже. К сожалению, редактировать этот файл стремятся практически все вирусные программы, что связано, во-первых, с простотой внесения таких изменений, а последствия могут быть более чем значительными и уже после удаления вирусов информация, занесенная в файл, может быть прямыми воротами для проникновения в ОС новых вредителей и шпионов.
Если блокирован доступ в сеть Интернет, то это, как правило, означает наличие ошибок в настройках SPI . Их исправление произойдет, если активировать пункт меню четырнадцать. Важно, что этим пунктом настроек нельзя пользоваться из терминальной сессии.
Аналогичные функции заложены в пятнадцатом пункте меню, но его активация возможна только с работой в таких ОС как XP, Windows 2003, Vista. Использовать данную мультипрограмму можно, если попытки исправить ситуацию с входом в сеть при помощи предыдущей настройки не принесли желаемого результата.
Возможности шестнадцатого пункта меню направлены на восстановление системных ключей реестра, которые отвечают за запуск Интернет-браузера.
Следующий шаг в работе по восстановлению параметров ОС после атаки вирусов – это разблокировка редактора реестра. Как правило внешнее проявление – невозможно загрузить программу работы с Сетью.
Следующие четыре пункта рекомендуется применять только если повреждения операционной системы настолько катастрофичны, что по большому счету нет никакой разницы в том, будут ли они устранены при помощи таких методов или в результате потребуется переустанавливат ь систему целиком.
Так, восемнадцатый пункт воссоздает первоначальные настройки SPI . Девятнадцатый пункт очищает реестр Mount Points /2.
Двадцатый пункт удаляет все статические маршруты. Наконец, последний, двадцать первый пункт стирает все подключения DNS .
Как можно видеть, представляемые возможности утилиты охватывают практически все сферы, в которые может проникнуть программа-вредит ель и оставить свой активный след, обнаружить который не так просто.
Поскольку антивирусные приложения не гарантируют стопроцентной защиты операционной системы вашего ПК, рекомендуем иметь такую программу в арсенале инструментов борьбы с компьютерными вирусами всех видов и форм.
Один из популярных способов маскировки шпионских программ – это установление своего вирусного драйвера в дополнение к реальному программному обеспечению. В данной ситуации реальным драйвером чаще всего является файл мышки или клавиатуры. Соответственно, после того как вирус уничтожен, его след остается в реестре, по этой причине устройство к которому вредитель смог присоединиться перестает работать.
Похожая ситуация наблюдается и при некорректной работе в процессе удалении антивируса Касперского. Это так же связано со спецификой установки программы, когда ее инсталляция на ПК использует вспомогательный драйвер klmouflt. В ситуации с Касперским, этот драйвер надо найти и полностью удалить из системы персонального компьютера в соответствии со всеми правилами.
Если клавиатура и мышь отказываются функционировать в нужном режиме, в первую очередь требуется восстановить ключи реестра.
Клавиатура:
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Cont rol\Class\{4D36E 96B-E325-11CE-BF C1-08002BE10318}
UpperFilters=kbd classМышь:
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Cont rol\Class\{4D36E 96F-E325-11CE-BF C1-08002BE10318}
UpperFilters=mou class
Последствиями атаки вредоносных программ может стать недоступность некоторых ресурсов в сети Интернет. И эти последствия результат изменений, которые успели внести в систему вирусы. Проблема обнаруживается сразу или спустя некоторое время, однако если в результате действий программ вредителей она проявилась спустя некоторое время, устранить ее не составит труда.
Существует два варианта блокировки и самый распространенный — это корректировка файла hosts . Второй вариант создание ложных статических маршрутов. Даже если вирус уничтожен, внесенные им изменения в эти инструменты не устранятся.
Рассматриваемый документ расположен в системной папке на диске С. Его адрес и место расположение можно найти здесь: С:\Windows \System 32\drivers \etc \hosts . Для быстрого поиска как правило используют строку команд из меню «Пуск».
Если при помощи указанного порядка действий файл найти невозможно, это может означать что:
— вирусная программа изменила его место нахождения в реестре;
— документ файла имеет параметр «скрыт».
В последнем случае изменяем характеристики поиска. По адресу: Параметры папок / Вид находим строку «Показывать скрытые файлы» и устанавливаем напротив метку, расширяя диапазон поиска.
Файл hosts содержит информацию преобразования буквенного наименования домена сайта в его IP адрес, поэтому программы-вредит ели прописывают в нем корректировки, способные перенаправлять пользователя на другие ресурсы. Если это произошло, то при вводе адреса нужного сайта, открывается совершенно иной. Для того чтобы эти изменения вернуть в исходное состояние и исправить, нужно найти данный файл и проанализировать его содержимое. Даже неопытному пользователю будет видно, что именно подправило вирус, но если это вызывает определенные сложности, можно восстановить стандартные настройки, тем самым устранив все изменения внесенный в файл.
Что касается исправления маршрутов, здесь принцип действий тот же. Однако, в процессе взаимодействия операционной системы ПК и сети Интернет приоритет всегда остается за файлом hosts , поэтому его восстановление достаточно для того чтобы работа осуществлялась в стандартном режиме.
Сложность возникает если нужный файл невозможно найти, так как вирус меняет место его нахождения в системных папках. Тогда надо исправлять ключ реестра.
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\serv ices\Tcpip\Param eters\DataBasePa th
Вирусы, входящие в группу Win32/Vundo в хитроумности, касающейся преобразований файлов hosts, превосходят большинство своих зловредных собратьев. Он изменяют само название файла, стирая латинскую букву о и заменяя знак на кириллическую букву. Такой файл уже не занимается преобразованием доменных наименованием сайтов в IP адреса, и даже если пользователь будет восстанавливать этот файл результат работы останется прежним. Как найти подлинный файл? Если возникают сомнения в том, что нужный нам объект реален, выполняем следующую процедуру. Первый шаг – активация режима отображения скрытых файлов. Исследуем каталог, выглядит он, так как представлено на рисунке.
Здесь представлены два одинаковых файла, но так как ОС не позволяет использовать идентичные наименования, очевидно, что мы имеем дело с ложным документом. Определить какой из них правильный, а какой нет, просто. Вирус создает объемный файл и многочисленными корректировкам, поэтому результат его вредительства на рисунке представлен скрытым файлом объемом 173 КБ.
Если открыть файл-документ, информация в нем будет содержать такие строки:
31.214.145.172 vk.com — строка которая может заменить IP адрес сайта
127.0.0.1 avast.com — строка файла прописанная вирусом с целью запрета доступа к сайту антивирусной программы
Выше мы уже отмечали, что заблокировать отдельные ресурсы можно и при помощи создания неверных маршрутов в таблице маршрутизации. Каким образом можно разрешить ситуацию, рассмотрим последовательнос ть действий.
Если файл hosts не имеет вредоносных корректировок, а работа с ресурсом невозможна, проблема кроется в таблице маршрутов. Несколько слов о сути взаимодействия данных инструментов. Если в файле hosts прописан верный адаптивный адрес домена, то происходит перенаправление по данному адресу на существующий ресурс. Как правило, IP адрес не принадлежит диапазону адресов локальной подсети, потому переадресация происходит посредством шлюза маршрутизатора, который определяется настройками Интернет — соединения.
Если скорректировать записи маршрута для конкретного адреса IP , то автоматическое подключение будет происходить на основании этой записи. При условии, что такого маршрута нет, или же шлюз не работает, соединение не произойдет, и ресурс останется недоступным. Таким образом, вирус может удалить запись в таблице маршрутов и заблокировать абсолютно любой сайт.
Маршруты, создаваемые для конкретных сайтов, остаются в базе данных реестра HKLM . Обновление маршрута происходить при активации программной команды route add или ручной корректировки данных. Когда статически маршруты отсутствуют, то раздел таблицы пуст. Просмотреть список данных маршрутизации можно, применив команду route print. Выгладит это следующим образом:
Активные маршруты:
Представленная выше таблица стандартна для ПК с единственной сетевой картой, и параметрами настройки сетевого подключения:
IP-адрес 192.168.0.0
маска 255.255.255.0
шлюз по умолчанию 192.168.0.1
Запись, представленная выше, включает IP адрес сети с кодировкой 192.168.0.0 и маску подсети с кодировкой 255.255.255.0. Если расшифровать эти данные, то информация такова. Маска включает весь объем узлов с равнозначной старшей частью адреса. Согласно метрической системе первые три байта маски подсети равны 1 во всех операционных системах ПК (исключение составляют десятеричная, где значение равно 255 и шестнадцатерична я, где значение равно 0*FF ). Младшая часть адреса принимаемых узлов составляет значение в диапазоне 1-254.
В соответствии с информацией представленной выше, младший адрес имеет кодировку — 192.168.0.0, этот код является адресом сети. Старший адрес с кодировкой 192.168.0.255 характеризуется как широковещательны й адрес. И если первый код исключает его использование для обмена данными, то второй код как раз и предназначен для выполнения этих функций. Свои узлы обмениваются пакетами данных при помощи маршрутов.
Представим следующую конфигурацию:
IP адрес — 192.168.0.0
Маска сети — 255.255.255.0
Шлюз — 192.168.0.3
Интерфейс — 192.168.0.3
Метрика — 1
Информация логически расшифровывается так: в диапазоне адресов от 192.168.0.0 — 192.168.0.255 для обмена информацией в качестве шлюза и интерфейса применяем код сетевой карты (192.168.0.3). Все это означает, что информация переходит самому адресату непосредственно.
Когда условие конечного адреса не соответствует заданному диапазону 192.168.0.0-192. 168.0.255, передать информацию напрямую не получится. Протокол сервера отправляет данные маршрутизатору, который передает ее в другую сеть. Если статические маршруты не прописаны, адрес маршрутизатора по умолчанию остается таким же, как адрес шлюза. Информация отправляется на этот адрес, затем в сеть, и по маршрутам, прописанным в таблице, до тех пор пока адресат не получит пакет. В общих чертах процесс передачи данных выглядит именно так. Представим иллюстрацию записей стандартной таблицы маршрутизатора. В примере имеется лишь несколько записей, однако их количество может достигать десятков и сотен строк.
Отталкиваясь от данных примера, опишем процесс переадресации к адресам Интернет-ресурсо в. Во время контакта с адресами Интернет-ресурсо в, расположенных в указанном диапазоне от 74.55.40.0 до 74.55.40.255 код маршрутизатора равен номеру сети 192.168.0.0, а соответственно не может применяться в процессе обмена информационными данными. IP
-протокол диагностирует адрес (74.55.40.226), который не включен в пакет адресов индивидуальной локальной сети и обращается к прописанным статическим маршрутам.
Ситуация когда этот маршрут не прописан, пакет информации отправляется по идентификационно му адресу шлюза, установленному в примере по умолчанию.
Так как маршрут, представленный в примере, характеризуется высоким приоритетом, поэтому ему необходим определенный шлюз, а не стандарт, подходящий для всех. Так как шлюза удовлетворяющего запросу в таблице нет, сервер с сетевым адресом 74.55.40.226 останется вне зоны доступа. А при прописанных в примере условиях с кодом маски подсети будут заблокированы все адреса диапазона 74.55.40.0 — 74.55.40.255. Именно этот диапазон включает сетевой путь к сайту антивирусного программного обеспечения установленного на персональный компьютер, который не получит необходимых обновлений вирусных баз и не будет должным образом функционировать.
Чем больше таких данных в таблице маршрутов, тем большее количество ресурсов блокируется. В практике специалистов, вирусные программы создавали до четырехсот строк такого вида, тем самым блокируя работу порядка тысячи ресурсов сети. Причем хозяевам вирусов не особо интересно, что стремясь забанить какой-то отдельный ресурс, они исключают из возможного доступа десятки других сайтов. В этом кроется основная ошибка нечистоплотных программистов, поскольку количество недоступных ресурсов обнаруживает саму вероятность блокировки передачи данных. Так, например, если в круг исключения вошли самые популярный социальные сети, и пользователь не может войти на сайт ВКонтакте или Одноклассники, то возникает подозрение относительно правильной работы ПК с сетью.
Исправить ситуацию не сложно, для этой цели используется команда route и ключ delete. Находим в таблице ложные записи и деинсталруем. Небольшое замечание, вся операции осуществимы, только если пользователь обладает правами администратора, но и изменения в маршрут вирус может внести, только если внедрился в сеть через учетную запись админа персонального компьютера. Приведем примеры таких заданий.
route delete 74.55.40.0 — запись, удаляющая первый вариант строки маршрута;
route delete 74.55.74.0 — запись, удаляющая второй вариант строки маршрута.
Количество таких строк должно составлять общее количество ложных маршрутов.
Если подойти к процедуре проще, то необходимо применить операцию перенаправления вывода. Делается это при помощи ввода задачи route print > C:\routes.txt. Активация команды создает ситуацию, когда на системном диске создается файловый документ с названием routes.txt, в нем содержится таблица с данными маршрутов.
Список таблицы содержит символы-коды DOS . Эти символы нечитаемые, и они не имеют значения для осуществления работы. Добавляя в начале каждого маршрута задание route delete, удаляем каждую ложную запись. Выглядит эти примерно так:
route delete 84.50.0.0
route delete 84.52.233.0
route delete 84.53.70.0
route delete 84.53.201.0
route delete 84.54.46.0
Далее надо изменить расширение файла, варианты замены такого расширения – это cmd или bat. Новый файл запускается при помощи двойного клика правой кнопки мыши. Упростить задачу можно при помощи популярного файлового менеджераFAR , который работает следующим образом. Редактор, вызов которого осуществляется функциональной клавишей F 4, выделяет специальной маркировкой правую часть записи маршрута. С помощью комбинации клавиш CTRL +F 7 выполняется автоматическая перестановка всех пробелов на символ с пустым значением, а пробел в свою очередь устанавливается в начальную позицию строки. Новое сочетание указанных клавиш, устанавливает задачу route delete на нужное нам место.
Когда ложных маршрутов в таблице данных прописано очень много и корректировать их вручную представляется долгим и утомительным процессом, рекомендуется применять задачу route вместе с ключом F .
Этот ключ удаляет все неузловые маршруты, а так же полностью деинсталлирует маршруты с конечной точкой и широковещательны м адресом. Первые и последние имеют цифровой код 255.255.255.255; вторые 127.0.0.0. Иными словами, вся ложная информация прописанная в таблицу вирусом будет деинсталлирована. Но одновременно уничтожатся записи статических маршрутов, выписанных пользователем самостоятельно данные основного шлюза, поэтому их нужно будет восстановить, поскольку сеть останется недоступной. Либо отслеживать процесс чистки таблицы данных и останавливать его при намерении удалить нужную нам запись.
Антивирусная программа AVZ так же можно использовать для корректировки настроек маршрутизатора. Конкретная мультипрограмма, занимающаяся данным процессом – это двадцатый пункт настройки TCP .
Последний вариант блокировки доступа пользователя к IP адресам сайтов, которые используются вирусными программами – использование подмены адреса сервера DNS . В таком варианте подключение к сети происходит через вредоносный сервер. Но такие ситуации достаточно редки.
После поведения всех работ, необходимо делать перезагрузку персонального компьютера.
Еще раз благодарю за помощь в подготовке материала мастеров компьютерного сервисного центра Запускай.РФ — http://запускай.рф/информация/территория/коломенская/ , у которых можно заказать ремонт ноутбуков и нетбуков в Москве.
Уже прошла неделя после того как на Украину обсушился Petya. В общем от этого вируса-шифровальщика пострадали более полусотни стан во всем мире, но 75 % массовой кибератаки обрушилось на Украину. Пострадали государственные и финансовые учреждения по всей стране, одними из первых кто сообщил, что их системы подверглись хакерской атаке стали Укрэнерго и Киевэнерго. Для проникновения и блокировки вирус Petya.A использовал бухгалтерскую программу M.E.Doc. Это ПО очень популярно у разного рода учреждениях в Украине, что и стало роковым. В итоге, у некоторых компаний восстановление системы после вируса Petya заняло много времени. Некоторым удалось возобновить работу только вчера, спустя 6 дней после вируса-шифровальщика.
Целью большинства вирусов-шифровальщиком, является вымогательство. Они шифруют информацию на ПК жертвы и требуют у нее деньги за получение ключа, который возобновит доступ к зашифрованным данным. Но не всегда мошенники держат слово. Некоторые шифровальщики просто не созданы для того чтобы быть расшифрованными и вирус «Петя» один из них.
Эту печальную новость сообщили специалисты из «Лаборатории Касперского». Для того чтобы восстановить данные после вируса-шифровальщика, необходим уникальный идентификатор установки вируса. Но в ситуации в новым вирусом, он вообще не генерирует идентификатор, то есть создатели вредоносного ПО даже не рассматривали вариант восстановления ПК после вируса Petya.
Но при этом жертвы получали сообщение в котором назывался адрес куда перевести 300 $ в биткоинах, для того чтобы восстановить систему. В таких случаях эксперты не рекомендуют содействовать хакерам, но все-таки создателям «Пети» удалось заработать более 10 000 $ за 2 дня после массовой кибератаки. Но эксперты уверены, что вымогательство не было их главной задачей, так как этот механизм был плохо продуман, в отличии от других механизмов вируса. Из этого можно предположить, что цель вируса Petya заключалась в дестабилизации работы глобальных предприятий. Также вполне возможно, что хакеры просто поспешили и плохо продумали часть получения денег.
К сожалению, после полного заражения Petya данные на компьютере восстановлению не подлежат. Но тем не менее есть способ как разблокировать компьютер после вируса «Петя», если шифровальщик не успел полностью зашифровать данные. Он был обнародован на официальном сайте Киберполиции , 2 июля.
Существует три варианта заражения вирусом Petya
— вся информация на ПК полностью зашифрована, на экране высвечивается окно с вымогательством денег;
— данные ПК частично зашифрованы. Процесс шифровки был прерван внешними факторами (вкл. питание);
— ПК заражен, но процесс шифрования таблиц MFT не был начат.
В первом случае все плохо — система восстановлению не подлежит
. По край ней мере на данный момент.
В двух последних вариантах, ситуация поправима.
Чтобы восстановить данные которые частично были зашифрованы рекомендуется загрузить инсталляционный диск Windows:
В случае если жесткий диск не был поврежден вирусом-шифровальщиком, загрузочная ОС увидит файлы начнет восстановление MBR:
Для каждой версии Windows этот процесс имеет свои нюансы.
После загрузки инсталляционного диска, на экран выводится окно «Установки Windows XP Professional», там нужно выбрать «чтобы восстановит Windows XP при помощи консоли восстановления нажмите R». После нажатие R, и начнет загружаться консоль восстановления.
Если на устройства установлена одна операционная система и она находится на диске С, появится уведомление:
«1: C: \ WINDOWS какую копию Windows следует использовать для входа?» Соответственно необходимо нажать клавишу «1» и «Enter».
После чего появится: « Введите пароль администратора». Введите пароль и нажмите «Enter» (в случае если нету пароля жмите «Enter»).
Должно появится приглашение в систему: C: \ WINDOWS> , введите fixmbr.
После чего появится «ПРЕДУПРЕЖДЕНИЕ».
Для подтверждения новой записи MBR, надо нажать «y».
Затем появится уведомление «Проводится новая основная загрузочная запись на физический диск \ Device \ Harddisk0 \ Partition0.»
И: «Новая основная загрузочная запись успешно сделана».
Здесь ситуация проще. Загрузите ОС, выберете язык и раскладку клавиатуры. Затем на экране появится «Восстановить работоспособность компьютера» Появится меню, в котором необходимо выбрать «Далее». Появится окно с параметрами восстановленной системы, где надо нажать на командную строку, в которой необходимо ввести bootrec /FixMbr.
После этого надо дождаться завершения процесса, если все прошло успешно, появится сообщение о подтверждении — жмите «Enter», и компьютер начнет перезагружаться. Все.
Процесс восстановление похож на Vista. Выбрав язык и раскладку клавиатуры, выберете ОС, после чего нажмите «Далее». В новом окне выберете пункт «Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows».
Все остальные действия аналогичны Vista.
Загрузите ОС, на окне которое появится выберете пункт Восстановить компьютер>устранение неисправностей, где нажав на командную строку введите bootrec /FixMbr. После завершения процесса нажмите «Enter» и перезагрузите устройство.
После того как процесс восстановления MBR, завершился успешно (в независимости от версии Windows) необходимо просканировать диск антивирусом.
В случае когда процесс шифрования был начат вирусом, можно использовать ПО по восстановлению файлов, например, такое как Rstudio. После скопировать их на съемный носитель, необходимо переустановить систему.
В случае когда, Вы используете программы восстановления данных записанные на загрузочный сектор, например Acronis True Image, то можете быть уверены «Петя» не затронул это сектор. А это означает, что можете вернуть систему в рабочее состояние, без переустановки.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter .
Лайкнуть
Лайкнуть
Твитнуть
Существуют универсальные как швейцарский нож программы. Герой моей статьи - как раз такой «универсал». Зовут его AVZ (Антивирус Зайцева). С помощью этого бесплатного антивируса и вирусы выловить можно, и систему оптимизировать, и проблемы исправить.
О том, что это антивирусная программа, я уже рассказывал в . О работе AVZ в качестве одноразового антивируса (точнее, антируткита) хорошо рассказано в справке к ней, я же покажу вам иную сторону программы: проверка и восстановление настроек.
Что можно «починить» с помощью AVZ:
Также с ее помощью можно проверить на безопасность настройки Windows (дабы лучше защитить от вирусов), а также оптимизировать систему, почистив автозагрузку.
Страница загрузки AVZ находится .
Программа бесплатна.
Программа AVZ имеет очень много функций, затрагивающих работу Windows. Это опасно , потому что в случае ошибки может случиться беда. Просьба внимательно читать текст и справку, прежде чем что-то делать. Автор статьи не несет ответственности за ваши действия.
Чтобы иметь возможность все «вернуть как было» после неосторожной работы с AVZ, я написал эту главу.
Это обязательный шаг, по сути создание «пути отхода» в случае неосторожных действий - благодаря точке восстановления можно будет восстановить настройки, реестр Windows до более раннего состояния.
Система восстановления Windows - обязательный компонент всех версий Windows, начиная с Windows ME. Жаль, что о нем обычно не вспоминают и теряют время, переустанавливая Windows и программы, хотя можно было всего лишь пару раз кликнуть мышкой и избежать всех проблем.
Если повреждения серьезные (например, удалена часть системных файлов), то «Восстановление системы» не поможет. В остальных случаях - если вы неправильно настроили Windows, «намудрили» с реестром, поставили программу, от которой Windows не загружается, неправильно воспользовались программой AVZ - «Восстановление системы» должно помочь.
После работы AVZ создает в своей папке подпапки с резервными копиями:
/Backup - там хранятся резервные копии реестра.
/Infected - копии удаленных вирусов.
/Quarantine - копии подозрительных файлов.
Если после работы AVZ начались проблемы (например, вы бездумно воспользовались инструментом AVZ «Восстановлением системы» и Интернет перестал работать) и Восстановление системы Windows не откатило сделанные изменения, можно пооткрывать резервные копии реестра из папки Backup.
Идем в Пуск - Панель управления - Система - Защита системы:
Нажимаем «Защита системы» в окне «Система».
Нажимаем кнопку «Создать».
Процесс создания точки восстановления может занять с десяток минут. Затем появится окно:
Точка восстановления будет создана. Кстати, они автоматически создаются при установке программ и драйверов, но не всегда. Поэтому перед опасными действиями (настройкой, чисткой системы) лучше лишний раз создать точку восстановления, чтобы в случае беды хвалить себя за предусмотрительность.
Существует два варианта запуска Восстановления системы - из-под запущенной Windows и с помощью диска с установкой.
Идем в Пуск - Все программы - Стандартные - Служебные - Восстановление системы:
Запустится Выбрать другую точку восстановления и нажимаем Далее. Откроется список точек восстановления. Выбираем ту, которая нужна:
Компьютер автоматически перезагрузится. После загрузки все настройки, его реестр и часть важных файлов будут восстановлены.
Нужен «установочный» диск с Windows 7 или Windows 8. Где его достать (или скачать), я написал в .
Загружаемся с диска (как загружаться с загрузочных дисков, написано ) и выбираем :
Выбираем «Восстановление системы» вместо установки Windows
До всех действий избавьтесь от вирусов, например, с помощью . В противном случае толку не будет - исправленные настройки запущенный вирус снова «поломает».
Если вирус заблокировал запуск каких-либо программ, то AVZ вам поможет. Конечно, надо еще запустить сам AVZ, но это довольно легко:
Сначала идем в Панель управления - ставим любой вид просмотра, кроме Категории - Параметры папок - Вид - снять галку с Скрывать расширения для зарегистрированных типов файлов - OK. Теперь у каждого файла видно расширение - несколько символов после последней точки в имени. У программ это обычно .exe и .com . Чтобы запустить антивирус AVZ на компьютере, где запрещен запуск программ, переименуйте расширение в cmd или pif:
Тогда AVZ запустится. Затем в самом окне программы нажимаем Файл - :
Надо отметить пункты:
1. Восстановление параметров запуска.exe, .com, .pif файлов (собственно, решает проблему запуска программ)
6. Удаление всех Policies (ограничений) текущего пользователя (в некоторых редких случаях этот пункт также помогает решить проблему запуска программ, если вирус попался очень вредный)
9. Удаление отладчиков системных процессов (очень желательно отметить и этот пункт, потому что даже если вы проверили систему антивирусом, от вируса что-то могло остаться. Также помогает в случае, если Рабочий стол не появляется при запуске системы)
, подтверждаем действие, появляется окно с текстом «Восстановление системы выполнено». После остается перезагрузить компьютер - проблема с запуском программ будет решена!Достаточно частая проблема - при запуске системы не появляется Рабочий стол.
Запустить Рабочий стол можно так: нажимаем Ctrl+Alt+Del, запускаем Диспетчер задач, там нажимаем Файл - Новая задача (Выполнить…) - вводим explorer.exe :
Чтобы не делать так каждый раз, надо восстановить ключ запуска программы explorer («Проводник», который отвечает за стандартный просмотр содержимого папок и работу Рабочего стола). В AVZ нажимаем Файл - и отмечаем пункт
Если вирус заблокировал запуск двух вышеупомянутых программ, через окно программы AVZ можно запрет убрать. Просто отметьте два пункта:
11. Разблокировка диспетчера задач
17. Разблокировка редактора реестра
И нажмите Выполнить отмеченные операции.
Программы AVZ умеет чистить компьютер от ненужных файлов. Если на компьютере не установлена программа очистки жесткого диска , то сойдет и AVZ, благо возможностей много:
Подробнее о пунктах:
В зависимости от установленных программ, количество пунктов будет отличаться. Например, если установлен браузер Opera, можно будет очистить и его кеш тоже.
Верный способ ускорить включение компьютера и скорость его работы - чистка списка автозапуска. Если ненужные программы не будут запускаться, то компьютер не только будет включаться быстрее, но и работать быстрее тоже - за счет освободившихся ресурсов, которые не будут забирать запущенные в фоне программы.
AVZ умеет просматривать практически все лазейки в Windows, через которые запускаются программы. Просмотреть список автозапуска можно в меню Сервис - Менеджер автозапуска:
Рядовому пользователю столь мощный функционал абсолютно ни к чему, поэтому я призываю не отключать все подряд . Достаточно посмотреть только два пункта - Папки автозапуска и Run* .
AVZ отображает автозапуск не только вашего пользователя, но и всех остальных профилей:
В разделе Run* лучше не отключать программы, находящиеся в разделе HKEY_USERS - это может нарушить работу других профилей пользователей и самой операционной системы. В разделе Папки автозапуска можно отключать все, что вам не нужно.
Зеленым отмечены строчки, опознанные антивирусом как известные. Сюда входят как системные программы Windows, так и посторонние программы, имеющие цифровую подпись.
Черным отмечены все остальные программы. Это не значит, что такие программы являются вирусами или чем-то подобным, просто не все программы имеют цифровую подпись.
Не забудьте растянуть первую колонку пошире, чтобы было видно название программы. Обычное снятие галочки временно отключит автозапуск программы (можно будет потом поставить галку снова), выделение пункта и нажатие кнопки с черным крестиком удалит запись навсегда (или до того момента, как программа снова себя пропишет в автозапуск).
Возникает вопрос: как определить, что можно отключать, а что нет? Есть два пути решения:
Во-первых, есть здравый смысл: по названию.exe файла программы можно принять решение. Например, программа Skype при установке создает запись для автоматического запуска при включении компьютера. Если вам это не нужно - снимайте галочку с пункта, заканчивающегося на skype.exe. Кстати, многие программы (и Скайп в их числе) умеют сами убирать себя из автозагрузки, достаточно снять галку с соответствующего пункта в настройках самой программы.
Во-вторых, можно поискать в интернете информацию о программе. На основе полученных сведений остается принять решение: удалять ее из автозапуска или нет. AVZ упрощает поиск информации о пунктах: достаточно лишь нажать правой кнопкой мыши по пункту и выбрать ваш любимый поисковик:
Отключив ненужные программы, вы ощутимо ускорите запуск компьютера. Однако все подряд отключать нежелательно - это чревато тем, что вы потеряете индикатор раскладки, отключите антивирус и т.д.
Отключайте только те программы, о которых вы знаете точно - они вам в автозапуске не нужны.
В принципе, то, о чем я написал в статье, сродни забиванию гвоздей микроскопом - программа AVZ подходит для оптимизации Windows, но вообще-то это сложный и мощный инструмент, подходящий для выполнения самых разных задач. Однако, чтобы использовать AVZ на полную катушку, нужно досконально знать Windows, поэтому можно начать с малого - а именно с того, о чем я рассказал выше.
Если у вас есть какие-либо вопросы или замечания - под статей есть блок комментариев, где можно написать мне. Я слежу за комментариями и постараюсь как можно быстрее вам ответить.
Похожие записи:
Лайкнуть
Лайкнуть
Речь пойдет о простейших способах нейтрализации вирусов, в частности, блокирующих рабочий стол пользователя Windows 7 (семейство вирусов Trojan.Winlock). Подобные вирусы отличаются тем, что не скрывают своего присутствия в системе, а наоборот, демонстрируют его, максимально затрудняя выполнение каких-либо действий, кроме ввода специального "кода разблокировки", для получения которого, якобы, требуется перечислить некоторую сумму злоумышленникам через отправку СМС или пополнение счета мобильного телефона через платежный терминал. Цель здесь одна - заставить пользователя платить, причем иногда довольно приличные деньги. На экран выводится окно с грозным предупреждением о блокировке компьютера за использование нелицензионного программного обеспечения или посещение нежелательных сайтов, и еще что-то в этом роде, как правило, чтобы напугать пользователя. Кроме этого, вирус не позволяет выполнить какие либо действия в рабочей среде Windows - блокирует нажатие специальных комбинаций клавиш для вызова меню кнопки "Пуск", команды "Выполнить" , диспетчера задач и т.п. Указатель мышки невозможно переместить за пределы окна вируса. Как правило, эта же картина наблюдается и при загрузке Windows в безопасном режиме. Ситуация кажется безвыходной, особенно если нет другого компьютера, возможности загрузки в другой операционной системе, или со сменного носителя (LIVE CD, ERD Commander, антивирусный сканер). Но, тем не менее, выход в подавляющем большинстве случаев есть.
Новые технологии, реализованные в Windows Vista / Windows 7 значительно затруднили внедрение и взятие системы под полный контроль вредоносными программами, а также предоставили пользователям дополнительные возможности относительно просто от них избавиться, даже не имея антивирусного программного обеспечения (ПО). Речь идет о возможности загрузки системы в безопасном режиме с поддержкой командной строки и запуска из нее программных средств контроля и восстановления. Очевидно, по привычке, из-за довольно убогой реализации этого режима в предшествующих версиях операционных систем семейства Windows, многие пользователи просто им не пользуются. А зря. В командной строке Windows 7 нет привычного рабочего стола (который может быть заблокирован вирусом), но есть возможность запустить большинство программ - редактор реестра, диспетчер задач, утилиту восстановления системы и т.п.
Удаление вируса с помощью отката системы на точку восстановления
Вирус - это обычная программа, и если даже она находится на жестком диске компьютера, но не имеет возможности автоматически стартовать при загрузке системы и регистрации пользователя, то она так же безобидна, как, например, обычный текстовый файл. Если решить проблему блокировки автоматического запуска вредоносной программы, то задачу избавления от вредоносного ПО можно считать выполненной. Основной способ автоматического запуска, используемый вирусами - это специально созданные записи в реестре, создаваемые при внедрении в систему. Если удалить эти записи - вирус можно считать обезвреженным. Самый простой способ - это выполнить восстановление системы по данным контрольной точки. Контрольная точка - это копия важных системных файлов, хранящаяся в специальном каталоге ("System Volume Information") и содержащих, кроме всего прочего, копии файлов системного реестра Windows. Выполнение отката системы на точку восстановления, дата создания которой предшествует вирусному заражению, позволяет получить состояние системного реестра без тех записей, которые сделаны внедрившимся вирусом и тем самым, исключить его автоматический старт, т.е. избавиться от заражения даже без использования антивирусного ПО. Таким способом можно просто и быстро избавиться от заражения системы большинством вирусов, в том числе и тех, что выполняют блокировку рабочего стола Windows. Естественно, вирус-блокировщик, использующий например, модификацию загрузочных секторов жесткого диска (вирус MBRLock) таким способом удален быть не может, поскольку откат системы на точку восстановления не затрагивает загрузочные записи дисков, да и загрузить Windows в безопасном режиме с поддержкой командной строки не удастся, поскольку вирус загружается еще до загрузчика Windows . Для избавления от такого заражения придется выполнять загрузку с другого носителя и восстанавливать зараженные загрузочные записи. Но подобных вирусов относительно немного и в большинстве случаев, избавиться от заразы можно откатом системы на точку восстановления.
1. В самом начале загрузки нажать кнопку F8 . На экране отобразится меню загрузчика Windows, с возможными вариантами загрузки системы
2. Выбрать вариант загрузки Windows - "Безопасный режим с поддержкой командной строки"
После завершения загрузки и регистрации пользователя вместо привычного рабочего стола Windows, будет отображаться окно командного процессора cmd.exe
3. Запустить средство "Восстановление системы", для чего в командной строке нужно набрать rstrui.exe и нажать ENTER .
Переключить режим на "Выбрать другую точку восстановления" и в следующем окне установить галочку "Показать другие точки восстановления"
После выбора точки восстановления Windows, можно посмотреть список затрагиваемых программ при откате системы:
Список затрагиваемых программ, - это список программ, которые были установлены после создания точки восстановления системы и которые могут потребовать переустановки, поскольку в реестре будут отсутствовать связанные с ними записи.
После нажатия на кнопку "Готово" начнется процесс восстановления системы. По его завершению будет выполнена перезагрузка Windows.
После перезагрузки, на экран будет выведено сообщение об успешном или неуспешном результате выполнения отката и, в случае успеха, Windows вернется к тому состоянию, которое соответствовало дате создания точки восстановления. Если блокировка рабочего стола не прекратится, можно воспользоваться более продвинутым способом, представленным ниже.
Удаление вируса без отката системы на точку восстановления
Возможна ситуация, когда в системе отсутствуют, по разным причинам, данные точек восстановления, процедура восстановления завершилась с ошибкой, или откат не дал положительного результата. В таком случае, можно воспользоваться диагностической утилитой Конфигурирования системы MSCONFIG.EXE . Как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки и в окне интерпретатора командной строки cmd.exe набрать msconfig.exe и нажать ENTER
На вкладке "Общие" можно выбрать следующие режимы запуска Windows:
При загрузке системы будет выполнен запуск только минимально необходимых системных служб и пользовательских программ.
Выборочный запуск
- позволяет задать в ручном режиме перечень системных служб и программ пользователя, которые будут запущены в процессе загрузки.
Для устранения вируса наиболее просто воспользоваться диагностическим запуском, когда утилита сама определит набор автоматически запускающихся программ. Если в таком режиме блокировка рабочего стола вирусом прекратится, то нужно перейти к следующему этапу - определить, какая же из программ является вирусом. Для этого можно воспользоваться режимом выборочного запуска, позволяющим включать или выключать запуск отдельных программ в ручном режиме.
Вкладка "Службы" позволяет включить или выключить запуск системных служб, в настройках которых установлен тип запуска "Автоматически" . Снятая галочка перед названием службы означает, что она не будет запущена в процессе загрузки системы. В нижней части окна утилиты MSCONFIG имеется поле для установки режима "Не отображать службы Майкрософт" , при включении которого будут отображаться только службы сторонних производителей.
Замечу, что вероятность заражения системы вирусом, который инсталлирован в качестве системной службы, при стандартных настройках безопасности в среде Windows Vista / Windows 7, очень невелика, и следы вируса придется искать в списке автоматически запускающихся программ пользователей (вкладка "Автозагрузка").
Так же, как и на вкладке "Службы", можно включить или выключить автоматический запуск любой программы, присутствующей в списке, отображаемом MSCONFIG. Если вирус активизируется в системе путем автоматического запуска с использованием специальных ключей реестра или содержимого папки "Автозагрузка", то c помощью msconfig можно не только обезвредить его, но и определить путь и имя зараженного файла.
Утилита msconfig является простым и удобным средством конфигурирования автоматического запуска служб и приложений, которые запускаются стандартным образом для операционных систем семейства Windows. Однако, авторы вирусов нередко используют приемы, позволяющие запускать вредоносные программы без использования стандартных точек автозапуска. Избавиться от такого вируса с большой долей вероятности можно описанным выше способом отката системы на точку восстановления. Если же откат невозможен и использование msconfig не привело к положительному результату, можно воспользоваться прямым редактированием реестра.
В процессе борьбы с вирусом пользователю нередко приходится выполнять жесткую перезагрузку сбросом (Reset) или выключением питания. Это может привести к ситуации, когда загрузка системы начинается нормально, но не доходит до регистрации пользователя. Компьютер "висит" из-за нарушения логической структуры данных в некоторых системных файлах, возникающей при некорректном завершении работы. Для решения проблемы так же, как и в предыдущих случаях, можно загрузиться в безопасном режиме с поддержкой командной строки и выполнить команду проверки системного диска
chkdsk C: /F - выполнить проверку диска C: с исправлением обнаруженных ошибок (ключ /F)
Поскольку на момент запуска chkdsk системный диск занят системными службами и приложениями, программа chkdsk не может получить к нему монопольный доступ для выполнения тестирования. Поэтому пользователю будет выдано сообщение с предупреждением и запрос на выполнение тестирования при следующей перезагрузке системы. После ответа Y в реестр будет занесена информация, обеспечивающая запуск проверки диска при перезагрузке Windows. После выполнения проверки, эта информация удаляется и выполняется обычная перезагрузка Windows без вмешательства пользователя.
Устранение возможности запуска вируса с помощью редактора реестра.
Для запуска редактора реестра, как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки, в окне интерпретатора командной строки набрать regedit.exe и нажать ENTER Windows 7, при стандартных настройках безопасности системы, защищена от многих методов запуска вредоносных программ, применявшихся для предыдущих версий операционных систем от Майкрософт. Установка вирусами своих драйверов и служб, перенастройка службы WINLOGON с подключением собственных исполняемых модулей, исправление ключей реестра, имеющих отношение ко всем пользователям и т.п - все эти методы в среде Windows 7 либо не работают, либо требуют настолько серьезных трудозатрат, что практически не встречаются. Как правило, изменения в реестре, обеспечивающие запуск вируса, выполняются только в контексте разрешений, существующих для текущего пользователя, т.е. в разделе HKEY_CURRENT_USER
Для того, чтобы продемонстрировать простейший механизм блокировки рабочего стола с использованием подмены оболочки пользователя (shell) и невозможности использования утилиты MSCONFIG для обнаружения и удаления вируса можно провести следующий эксперимент - вместо вируса самостоятельно подправить данные реестра, чтобы вместо рабочего стола получить, например, командную строку. Привычный рабочий стол создается проводником Windows (программа Explorer.exe ) запускаемым в качестве оболочки пользователя. Это обеспечивается значениями параметра Shell в разделах реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- для всех пользователей.
- для текущего пользователя.
Параметр Shell представляет собой строку с именем программы, которая будет использоваться в качестве оболочки при входе пользователя в систему. Обычно в разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно - HKCU) параметр Shell отсутствует и используется значение из раздела реестра для всех пользователей (HKEY_LOCAL_MACHINE\ или в сокращенном виде - HKLM)
Так выглядит раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon при стандартной установке Windows 7
Если же в данный раздел добавить строковый параметр Shell принимающий значение "cmd.exe", то при следующем входе текущего пользователя в систему вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно командной строки.
Естественно, подобным образом может быть запущена любая вредоносная программа и пользователь получит вместо рабочего стола порнобаннер, блокировщик и прочую гадость.
Для внесения изменений в раздел для всех пользователей (HKLM. . .) требуется наличие административных привилегий, поэтому вирусные программы, как правило модифицируют параметры раздела реестра текущего пользователя (HKCU . . .)
Если, в продолжение эксперимента, запустить утилиту msconfig , то можно убедиться, что в списках автоматически запускаемых программ cmd.exe в качестве оболочки пользователя отсутствует. Откат системы, естественно, позволит вернуть исходное состояние реестра и избавиться от автоматического старта вируса, но если он по каким-либо причинам, невозможен - остается только прямое редактирование реестра. Для возврата к стандартному рабочему столу достаточно удалить параметр Shell , или изменить его значение с "cmd.exe" на "explorer.exe" и выполнить перерегистрацию пользователя (выйти из системы и снова войти) или перезагрузку. Редактирование реестра можно выполнить, запустив из командной строки редактор реестра regedit.exe или воспользоваться консольной утилитой REG.EXE . Пример командной строки для удаления параметра Shell:
REG delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell
Приведенный пример с подменой оболочки пользователя, на сегодняшний день является одним из наиболее распространенных приемов, используемых вирусами в среде операционной системы Windows 7 . Довольно высокий уровень безопасности при стандартных настройках системы не позволяет вредоносным программам получать доступ к разделам реестра, которые использовались для заражения в Windows XP и более ранних версий. Даже если текущий пользователь является членом группы "Администраторы", доступ к подавляющему количеству параметров реестра, используемых для заражения, требует запуск программы от имени администратора. Именно по этой причине вредоносные программы модифицируют ключи реестра, доступ к которым разрешен текущему пользователю (раздел HKCU . . .) Второй важный фактор - сложность реализации записи файлов программ в системные каталоги. Именно по этой причине большинство вирусов в среде Windows 7 используют запуск исполняемых файлов (.exe) из каталога временных файлов (Temp) текущего пользователя. При анализе точек автоматического запуска программ в реестре, в первую очередь нужно обращать внимание на программы, находящиеся в каталоге временных файлов. Обычно это каталог C:\USERS\имя пользователя\AppData\Local\Temp . Точный путь каталога временных файлов можно посмотреть через панель управления в свойствах системы - "Переменные среды". Или в командной строке:
set temp
или
echo %temp%
Кроме того, поиск в реестре по строке соответствующей имени каталога для временных файлов или переменной %TEMP% можно использовать в качестве дополнительного средства для обнаружения вирусов. Легальные программы никогда не выполняют автоматический запуск из каталога TEMP.
Для получения полного списка возможных точек автоматического запуска удобно использовать специальную программу Autoruns из пакета SysinternalsSuite.
Простейшие способы удаления блокировщиков семейства MBRLock
Вредоносные программы могут получить контроль над компьютером не только при заражении операционной системы, но и при модификации записей загрузочных секторов диска, с которого выполняется загрузка. Вирус выполняет подмену данных загрузочного сектора активного раздела своим программным кодом так, чтобы вместо Windows выполнялась загрузка простой программы, которая бы выводила на экран сообщение вымогателя, требующее денег для жуликов. Поскольку вирус получает управление еще до загрузки системы, обойти его можно только одним способом - загрузиться с другого носителя (CD/DVD, внешнего диска, и т.п.) в любой операционной системе, где имеется возможность восстановления программного кода загрузочных секторов. Самый простой способ - воспользоваться Live CD / Live USB, как правило, бесплатно предоставляемыми пользователям большинством антивирусных компаний (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk и т.п.) Кроме восстановления загрузочных секторов, данные продукты могут выполнить еще и проверку файловой системы на наличие вредоносных программ с удалением или лечением зараженных файлов. Если нет возможности использовать данный способ, то можно обойтись и простой загрузкой любой версии Windows PE (установочный диск, диск аварийного восстановления ERD Commander), позволяющей восстановить нормальную загрузку системы. Обычно достаточно даже простой возможности получить доступ к командной строке и выполнить команду:
bootsect /nt60 /mbr <буква системного диска:>
bootsect /nt60 /mbr E:> - восстановить загрузочные секторы диска E: Здесь должна использоваться буква для того диска, который используется в качестве устройства загрузки поврежденной вирусом системы.
или для Windows, предшествующих Windows Vista
bootsect /nt52 /mbr <буква системного диска:>
Утилита bootsect.exe может находиться не только в системных каталогах, но и на любом съемном носителе, может выполняться в среде любой операционной системы семейства Windows и позволяет восстановить программный код загрузочных секторов, не затрагивая таблицу разделов и файловую систему. Ключ /mbr, как правило, не нужен, поскольку восстанавливает программный код главной загрузочной записи MBR, которую вирусы не модифицируют (возможно - пока не модифицируют).
