salam admin! soalan, bagaimana untuk membersihkan pendaftaran daripada sampah terkumpul: baki kunci, parameter, nilai program jauh, tetapi saya mahu melakukannya dengan betul, kerana saya mempunyai pengalaman yang menyedihkan.

Baru-baru ini saya memasang satu program pada komputer saya dan terkejut mendapati satu lagi telah dipasang bersama-sama dengannya, sejenis pembersih sistem operasi dan pendaftaran. Perkara yang paling menarik ialah program ini mula dilancarkan bersama-sama dengan Windows, sentiasa menawarkan untuk membersihkan komputer daripada pelbagai sampah. Hanya untuk keseronokan, saya memutuskan untuk mencubanya dan mengklik OK, proses membersihkan pendaftaran daripada entri yang tidak perlu bermula, selepas seminit pemeriksaan berakhir dan program mengeluarkan laporan, 1024 ralat ditemui, yang ditawarkan oleh utiliti untuk diperbaiki, saya bersetuju dan mengklik OK sekali lagi, ralat pendaftaran telah dipadamkan dan komputer but semula dan tidak boot lagi!

Pada but seterusnya pada skrin hitam terdapat ralat Windows\system32\config\system... dan sesuatu yang lain. Dengan susah payah, kami berjaya memulihkan sistem pengendalian menggunakan artikel anda.

Saya juga menemui artikel menarik di tapak web anda di mana anda boleh membersihkan pendaftaran kunci yang ditinggalkan oleh virus tanpa menggunakan sebarang program. Itulah sebabnya saya memutuskan untuk menulis kepada anda dan bertanya bagaimana untuk membersihkan pendaftaran daripada sampah, dan adakah ia perlu, kerana ramai pengguna tidak pernah membersihkan pendaftaran sama sekali dan tidak memikirkannya.

Bagaimana untuk membersihkan pendaftaran

1) Apakah itu pendaftaran!

2) Adakah pembersihan pendaftaran benar-benar perlu?

3) Adakah anda tahu bahawa jika program berniat jahat meninggalkan kuncinya dalam pendaftaran, maka tiada pembersih pendaftaran akan menemuinya. Bagaimana untuk mencari kunci yang tidak diperlukan dalam pendaftaran secara manual tanpa menggunakan sebarang program.

3) Bagaimana untuk membersihkan pendaftaran dengan EnhanceMySe7en

4) Bagaimana untuk membersihkan pendaftaran dengan CCleaner

Hello kawan-kawan! Soalan yang baik telah ditanya dan untuk menjawabnya, saya akan memberitahu anda secara ringkas apa itu pendaftaran dan bagaimana ia digunakan oleh Windows.

Daftar adalah yang paling penting Komponen Windows, muncul dalam Windows 3.1 purba sebagai fail Req.dat.

Daftar tersebut mengandungi pangkalan data yang besar data atau penyimpanan maklumat konfigurasi semua program yang dipasang dalam sistem pengendalian dan Windows itu sendiri. Maklumat tentang semua pengguna, sambungan fail, pemacu, peranti yang disambungkan, pengaktifan dan sebagainya, semua ini disimpan dalam pendaftaran.

Mana-mana aplikasi, apabila dipasang dalam sistem pengendalian, meninggalkan data konfigurasinya dalam pendaftaran, dan juga mana-mana aplikasi tidak memadam semua data daripada pendaftaran apabila ia dinyahpasang (dialih keluar) daripada komputer. Ini adalah fakta yang diketahui umum.

Sebagai contoh, saya akan memadam daripada komputer program Adobe Photoshop, dan kemudian saya akan menyemak pendaftaran untuk kehadiran kunci untuk program ini dan ia akan berada di sana,

Perkara yang sama akan berlaku dengan Muat turun program Cikgu.

Dan jika anda mengeluarkan lebih daripada program yang serius, sebagai contoh, kemudian perhatikan berapa banyak yang akan ditinggalkan dalam daftar sampah. Dan jika anda bayangkan bahawa kami telah menggunakan sistem pengendalian selama setahun!

Ia menjadi jelas bahawa agak banyak sampah ini ditinggalkan oleh program selepas dialih keluar daripada komputer kekal dalam pendaftaran, tetapi inilah soalan lain, kawan-kawan saya - adakah semua sampah ini mengganggu prestasi sistem pengendalian? Tiada siapa yang dapat membuktikan apa yang menghalangnya. Bukankah ini bukti bahawa dia sendiri Pembangun Windows Microsoft yang terkenal tidak pernah mencipta alat khas untuk idea anda, yang akan membersihkan pendaftaran secara automatik. ya, ia juga ada, tetapi anda boleh membersihkan pendaftaran hanya secara manual menggunakan editor regedit khas yang dibina ke dalam Windows.

Dalam kes apakah saya membersihkan pendaftaran sendiri?

Rakan-rakan, pada satu masa saya mencuba ad nauseum dengan pelbagai pembersih pendaftaran, tetapi tidak pernah mencapai hasil yang meyakinkan. Saya rasa tidak keperluan yang besar dalam tetap pembersihan automatik pendaftaran, kerana tiada pembersihan automatik sebaik yang anda fikirkan. Jika anda memadamkan program dan ia meninggalkan kuncinya dalam registri, maka Windows tidak akan sekali-kali mengakses kekunci ini dan kerana kekunci ini tidak akan ada penurunan dalam prestasi sistem atau sebarang ralat. Sampah dalam registri boleh berjumlah beberapa puluh kilobait bahagian yang tidak perlu dan tidak mempunyai kesan ketara pada kelajuan sistem

Tetapi anda masih harus tahu cara memadamkan entri yang tidak perlu dalam pendaftaran, dan inilah sebabnya.

Sebagai contoh, saya akan memberikan kes sebenar. Seorang rakan saya mengambil program berniat jahat yang dijalankan fail boleh laku daripada folder C:\Windows\AppPatch\hsgpxjt.exe. Kami berjaya mengalih keluar virus, tetapi entri yang dibuat dalam pendaftaran oleh program berniat jahat kekal, kerana tetingkap berikut muncul apabila sistem but.

Tiada pembersih pendaftaran automatik sedia ada membantu saya pada masa itu; mereka tidak menemui entri berniat jahat.

Saya terpaksa mencari kunci berniat jahat secara manual dalam pendaftaran yang terletak di sarang pendaftaran

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows

Kekunci ditambah

Muatkan REG_SZ C:\WINDOWS\apppatch\hsgpxjt.exe

Jalankan REG_SZ C:\WINDOWS\apppatch\hsgpxjt.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Kunci ditambah

userinit REG_SZ C:\Windows\apppatch\hsgpxjt.exe

Saya menulis tentang kes ini artikel terperinci"" anda boleh membacanya. Daripada artikel ini, anda boleh belajar cara mencari kunci yang tidak diperlukan dalam pendaftaran menggunakan terbina dalam Editor Windows regedit.

Nah, apakah yang boleh kami harapkan untuk pengguna yang ingin mempunyai alat automatik untuk membersihkan pendaftaran di tangan?

Bagaimana untuk membersihkan pendaftaran dengan EnhanceMySe7en

Sebelum menggunakan program pembersih pendaftaran, saya menasihatkan anda untuk membuat titik pemulihan sistem (mari letakkan straw sebelum kita jatuh)

Pada satu masa saya menggunakan program EnhanceMySe7en, ia adalah pengubahsuai yang sangat baik untuk Windows 7, ia termasuk dua dozen alat yang selesa Untuk Pengurusan Windows 7. EnhanceMySe7en juga mengandungi pengurus permulaan, defragmenter keras pemacu cakera, alat pemantauan cakera keras dan pengurus proses (sesetengah alat hanya tersedia dalam versi berbayar). Program hebat ini malangnya tidak Bahasa Inggeris, tetapi semuanya akan jelas kepada anda.

Laman web rasmi program http://seriousbit.com/tweak_windows_7/

Klik Muat Turun v3.7.1, 12.6 MB dan muat turun versi percuma,

Ia tidak mengandungi beberapa alat, seperti defragmenter cakera keras.

Untuk mula membersihkan pendaftaran anda perlu pergi ke tab Alat dan klik hanya satu butang Pembersih Pendaftaran.

Kemudian anda boleh melihat Butiran atau segera klik pada butang Padam untuk Padam ralat.

Itu sahaja, pendaftaran dibersihkan.

Bagaimana untuk membersihkan pendaftaran dengan CCleaner

Lebih lagi program mudah CCleaner, yang digunakan oleh sebahagian besar pengguna. Ia dipasang pada semua orang yang memerlukannya dan tidak memerlukannya. Kadang-kadang nampaknya saya ia adalah sebahagian daripada satu set standard program Windows. Tidak kira apa jenis komputer yang mereka bawa kepada saya untuk dibaiki, ia akan sentiasa dipasang di sana.

Anda boleh memuat turun program di laman web rasminya

http://ccleaner.org.ua/download/

Bolehkah anda menggunakan yang mudah alih? Versi CCleaner, bekerja tanpa pemasangan dan membawanya bersama anda pada pemacu denyar. Malah terdapat versi untuk Mac.

Muat turun, jalankan program sebagai pentadbir.

Pertama sekali, pergi ke Tetapan dan pilih bahasa Rusia.

Tab pendaftaran. Klik pada butang Cari masalah.

Kali pertama program menemui banyak ralat.

Klik Betulkan.

Dan pilih lokasi untuk menyimpan sandaran.

Kemudian anda boleh melihat semua ralat pendaftaran atau hanya klik butang Betulkan yang bertanda.

ini salinan sandaran anda akan memerlukannya jika berlaku masalah selepas membersihkan pendaftaran. Apa yang boleh berlaku? Sebagai contoh, beberapa sudah program diaktifkan akan meminta pengaktifan semula, tetapi jangan risau, ini jarang berlaku. Dalam kes ini, tekan Klik dua kali tetikus kanan pada fail sandaran pendaftaran

Jawab Ya

Virus dan pendaftaran!

Entah bagaimana, kira-kira tiga atau empat tahun yang lalu, Evgeny Kaspersky membuat ramalan sedemikian, kerana aktiviti dunia bawah tanah komputer semakin berkembang, maka dalam masa terdekat, berjalan di Internet akan berbahaya seperti berjalan di sepanjang jalan yang gelap pada waktu malam. Perlahan tetapi pasti masa itu akan tiba.

Virus ialah program berniat jahat khas. Sekali pada komputer, dalam kebanyakan kes virus didaftarkan dalam pendaftaran dan menghasilkan tindakan berikut: menyebabkan komputer ditutup dan but semula; memperlahankan sistem pengendalian; merosakkan fail; menghantar mesej melalui Internet, yang membawa kepada penggunaan trafik; dan banyak lagi, kerana tiada had untuk kesempurnaan.

* Lancarkan HijackThis. Klik pada butang "Lakukan imbasan sistem dan simpan fail log". Anda mesti menjalankan program ini dengan hak pentadbir.

Kini tidak ada kekurangan program untuk mengoptimumkan dan merawat registri anda boleh memilih yang berbeza, ujian, bersih, defragment. Banyak utiliti mempunyai pelbagai fungsi untuk membantu pendaftaran. Banyak utiliti mempunyai sangat antara muka yang baik dan terdapat pilihan penyesuaian, anda boleh memulakannya mengikut masa, apabila anda but komputer. Berikut ialah utiliti yang diuji masa: Pendaftaran AusLogics Defrag, AusLogics BoostSpeed, Register_DivX, Reg docs, Trash Reg, OneButton Checkup.

Apabila bekerja dengan pendaftaran, anda perlu berhati-hati dan hanya melakukan apa yang jelas, tetapi lebih baik untuk menjemput pakar. Dia akan memasang dan menunjukkan kepada anda cara memantau pendaftaran.

Setakat ini, saya tidak mengenali sesiapa yang tidak secara langsung atau tidak mengalami tindakan virus komputer. Syarikat antivirus mahukan banyak produk mereka, yang tidak pernah memberikan perlindungan yang mencukupi. Persoalannya timbul: mengapa membeli perisian antivirus sama sekali? Segala sesuatu yang dicipta oleh manusia boleh dimusnahkan, ini terpakai kepada kedua-dua antivirus dan virus. Jauh lebih sukar untuk menipu seseorang daripada program. Oleh itu, artikel ini dikhaskan untuk menerangkan kaedah untuk mengesan dan menyahaktifkan virus perisian tanpa produk antivirus. Ingat, hanya ada satu perkara yang tidak boleh dielakkan/dipatahkan/ditipu - ini adalah Pengetahuan, pemahaman anda sendiri tentang proses itu. Hari ini saya akan memberitahu anda tentang contoh sebenar bagaimana untuk mengesan dan menangkap cecacing Internet dan perisian pengintip pada komputer anda. Sudah tentu, terdapat banyak lagi jenis, tetapi saya mengambil yang paling biasa dan memutuskan untuk menulis tentang apa yang saya ada dalam amalan, supaya tidak mengatakan apa-apa yang tidak perlu. Jika anda bernasib baik dalam carian anda, saya akan memberitahu anda tentang virus makro, pintu belakang dan rootkit. Jadi, sebelum kita bermula, saya akan ambil perhatian bahawa dalam artikel ini saya hanya mempertimbangkan sistem pengendalian keluarga NT yang disambungkan ke Internet. Saya sendiri mempunyai Win2000 SP4, saya menangkap virus pada WinXP PE. Jadi mari kita beralih kepada analisis cepat dan kemudian terperinci sistem untuk cacing dan pengintip. Dengan pemeriksaan pantas, kami hanya mengesan kehadiran program dan menyetempatkannya, analisis terperinci sedang dijalankan di peringkat fail dan proses. Di sana saya akan bercakap tentang program PETools yang hebat, tetapi semuanya ada masanya.

[Analisis Sistem]

Adalah logik bahawa untuk mengesan dan meneutralkan program berniat jahat, kewujudan program sedemikian adalah perlu. Pencegahan kekal sebagai pencegahan, kami akan membincangkannya kemudian, tetapi perkara pertama yang perlu anda lakukan ialah menentukan sama ada terdapat sebarang virus pada komputer anda. Untuk setiap jenis perisian hasad Sehubungan itu, terdapat gejala, yang kadang-kadang dapat dilihat dengan mata kasar, kadang-kadang tidak dapat dilihat langsung. Mari kita lihat apakah gejala umum jangkitan. Memandangkan kita bercakap tentang komputer yang disambungkan kepada rangkaian global, maka gejala pertama adalah berlebihan penggunaan pantas, sebagai peraturan, lalu lintas keluar, ini disebabkan oleh fakta bahawa banyak cecacing Internet melaksanakan fungsi DDoS
mesin atau hanya bot. Seperti yang anda ketahui, semasa serangan DDoS, jumlah trafik keluar adalah sama dengan jumlah trafik maksimum setiap unit masa. Sudah tentu, pada saluran gigabit ini mungkin tidak begitu ketara jika serangan DDoS lebar sambungan dial-up, tetapi sebagai peraturan, kelesuan sistem apabila membuka sumber Internet sangat menarik (saya juga ingin ambil perhatian bahawa kita bercakap tentang virus yang sekurang-kurangnya menyembunyikan diri mereka kepada sistem, kerana terdapat tidak perlu menjelaskan apa-apa jika anda mempunyai fail dalam folder Startup anda kfgsklgf.exe yang ditangkap oleh firewall, dsb.). Seterusnya dalam senarai adalah ketidakupayaan untuk mengakses banyak laman web syarikat antivirus, kerosakan program berbayar jenis CRC-ralat, ini sudah disebabkan oleh fakta bahawa beberapa pelindung komersial menyokong fungsi menyemak pariti atau integriti fail boleh laku (dan bukan sahaja pelindung, tetapi juga pemaju perlindungan itu sendiri), yang dilakukan untuk melindungi program daripada penggodaman. Jangan bercakap tentang kecekapan kaedah ini terhadap keropok dan pembalikan, bagaimanapun, memberi isyarat kepada jangkitan virus ini boleh berfungsi dengan sempurna. Pembuat virus permulaan membayar untuk proses yang tidak boleh dibunuh, apa yang berlaku apabila anda mematikan atau but semula komputer akan datang penutupan yang berpanjangan bagi beberapa proses, atau komputer menjadi beku apabila ditutup. Saya fikir tidak perlu bercakap tentang proses, dan juga tentang folder permulaan, jika ada sesuatu yang tidak dapat difahami atau baru di sana, maka mungkin ia adalah virus, tetapi lebih lanjut mengenainya kemudian. But semula yang kerap komputer, berlepas dari Internet, penamatan program antivirus, kemas kini pelayan tidak tersedia sistem microsoft, ketiadaan tapak web syarikat antivirus, ralat semasa mengemas kini antivirus, ralat yang disebabkan oleh perubahan dalam struktur program berbayar, mesej windows bahawa fail boleh laku rosak, rupa fail yang tidak diketahui dalam direktori akar, ini hanyalah senarai pendek simptom mesin yang dijangkiti. Sebagai tambahan kepada perisian hasad langsung, terdapat apa yang dipanggil perisian pengintip, ini adalah semua jenis keylogger, dumper kunci elektronik, "pembantu" yang tidak diingini kepada penyemak imbas. Sejujurnya, berdasarkan kaedah pengesanan, mereka boleh dibahagikan kepada dua kem yang bertentangan. Katakan keylogger yang dilampirkan oleh perpustakaan dinamik pada cangkerang sistem pengendalian amat sukar untuk dikesan dengan cepat, dan sebaliknya, pembantu (plugin, bar carian, dll.) yang datang entah dari mana (plugin, bar carian, dsb. ) ke Internet Explorer (sebagai peraturan) menarik perhatian dengan serta-merta. Jadi, saya rasa sudah tiba masanya untuk meninggalkan nota pesimis ini dan beralih kepada amalan pengesanan dan penyahaktifan perisian hasad yang realistik.

[Pengesanan semasa terbang]

%WINDIR%\Driver Cache\driver.cab
kemudian dari folder kemas kini OS, jika ada, kemudian dari %WINDIR%\system32\dllcache\ dan hanya kemudian dari
%WINDIR%\system32\

Mungkin OS akan mengatakan bahawa fail rosak dan meminta cakera dengan kit pengedaran, tidak bersetuju! Jika tidak, ia akan pulih dan lubang akan terbuka semula. Setelah anda menyelesaikan langkah ini, anda boleh mula menyetempatkan virus. Lihat aplikasi yang sedang digunakan sambungan rangkaian, program kecil yang berguna dipanggil TCPView membantu, tetapi sesetengah cacing mempunyai algoritma penyulitan yang baik atau lebih teruk daripada itu, dilampirkan pada proses atau menyamar sebagai proses. Proses yang paling biasa untuk masking sudah pasti perkhidmatan svhost.exe terdapat beberapa proses sedemikian dalam pengurus tugas, dan apa yang paling menakjubkan ialah anda boleh mencipta program dengan nama yang sama dan kemudian hampir mustahil untuk membezakan siapa yang menjadi; WHO. Tetapi ada peluang dan ia bergantung kepada perhatian. Pertama sekali, lihat dalam pengurus tugas (atau lebih baik lagi, dalam program Penjelajah Proses) pembangun perisian. Untuk svhost.exe, peliknya, ini adalah M$ sudah tentu, anda boleh menambah maklumat palsu pada kod virus, tetapi terdapat beberapa nuansa di sini. Perkara pertama dan mungkin yang utama ialah virus yang ditulis dengan baik tidak mengandungi jadual import atau bahagian data. Oleh itu, fail sedemikian tidak mempunyai sumber, dan, oleh itu, tidak boleh ditulis kepada sumber pencipta. Atau anda boleh mencipta sumber, tetapi kemudian saiz fail tambahan akan muncul, yang sangat tidak diingini untuk pembuat virus. Saya juga perlu mengatakan tentang svhost.exe, ini adalah satu set perkhidmatan sistem dan setiap perkhidmatan adalah menjalankan fail dengan parameter tertentu. Sehubungan itu, dalam Panel Kawalan -> Pentadbiran -> Perkhidmatan,
mengandungi semua perkhidmatan svhost.exe yang dimuatkan, saya menasihati anda untuk mengira bilangan perkhidmatan dan proses yang sedang berjalan svhost.exe, jika anda tidak bersetuju, maka semuanya sudah jelas (hanya jangan lupa untuk membandingkan bilangan RUNNING perkhidmatan). Butiran lanjut dalam Lampiran A.
Ia juga harus diperhatikan bahawa ada kemungkinan terdapat virus di antara perkhidmatan, saya boleh mengatakan satu perkara tentang ini, terdapat senarai perkhidmatan di MSDN dan banyak tempat lain di rangkaian, jadi hanya mengambil dan membandingkan tidak akan menjadi. masalah. Selepas langkah ini, anda boleh mendapatkan nama fail yang mungkin virus. Saya akan bercakap lebih lanjut tentang cara untuk menentukan secara langsung sama ada virus ada atau tidak, tetapi sekarang mari kita berpisah daripada alasan dan lihat beberapa perkara lagi. Seperti yang anda mungkin sudah tahu, untuk Operasi biasa OS memerlukan hanya 5 fail dalam direktori root, jadi anda boleh memadam semua fail lain dengan selamat, melainkan sudah tentu anda berjaya memasang program dalam direktori root. By the way, fail untuk operasi biasa, ini adalah: ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Tidak sepatutnya ada apa-apa lagi. Jika ada dan anda tidak tahu dari mana asalnya, kemudian pergi ke bab [Analisis terperinci]. Sememangnya, virus itu entah bagaimana mesti dimuatkan apabila sistem dimulakan, sebagai peraturan. Sehubungan itu, lihat kekunci pendaftaran berikut untuk program yang mencurigakan. (Dan jika anda telah menemui virus, kemudian cari nama fail di mana-mana dalam pendaftaran dan padam):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskSchedulerHKLM\
PERISIAN\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Ini semua telah dikatakan tentang mengesan cacing mudah. Sudah tentu, kira yang baik virus tersembunyi sukar. Mengesan cacing ini dan menyahaktifkannya mengambil masa kira-kira 10 minit, sudah tentu, saya tahu di mana hendak mencari, ini memudahkan tugas. Walau bagaimanapun, adalah mungkin untuk mengesan pintu belakang yang baik, keylogger, virus stealth atau hanya virus yang menggunakan pemintasan panggilan fungsi API sistem fail(kemudian virus itu ternyata benar-benar tidak kelihatan), virus penstriman, secara umum, terdapat beberapa nuansa, tetapi terdapat sangat sedikit ciptaan sedemikian, terdapat beberapa pembuat virus sebenar hari ini. Ia menjengkelkan... Saya akan cuba bercakap tentang mereka dalam artikel berikut. sekarang mari kita beralih kepada perisian pengintip, atau, sebagai borjuasi memanggil mereka, SpyWare. Saya akan menerangkan sekali lagi menggunakan contoh pengintip yang saya tangkap sendiri, supaya kata-kata saya tidak kelihatan seperti fantasi kosong.

Saya akan memulakan cerita saya dengan pengintip yang paling biasa. Dalam satu majalah terkenal satu pengaturcara yang baik betul memanggil mereka kutu keldai. Perisik paling mudah selalunya bersembunyi di sebalik bar alat yang kelihatan tidak bersalah. Ketahuilah bahawa jika anda tiba-tiba, entah dari mana, mempunyai a butang baru atau bar carian dalam penyemak imbas, kemudian pertimbangkan bahawa anda sedang diperhatikan. Ia sangat jelas kelihatan jika anda muka surat permulaan penyemak imbas, tiada apa yang boleh dikatakan di sini. Sudah tentu, mohon maaf atas beberapa kesilapan dari segi istilah. Virus yang mengubah halaman permulaan dalam penyemak imbas tidak semestinya pengintip, bagaimanapun, sebagai peraturan, ini berlaku dan oleh itu marilah kita mengklasifikasikannya sebagai pengintip di sini dalam artikel ini. Mari kita lihat contoh dari kehidupan, apabila saya datang ke tempat kerja dan melihat bar carian yang kelihatan aneh dalam penyemak imbas pada satu komputer apabila saya bertanya dari mana ia datang, saya tidak pernah menerima apa-apa. Saya terpaksa memikirkannya sendiri. Bagaimanakah seorang pengintip boleh masuk ke dalam sistem? Terdapat beberapa kaedah, seperti yang anda telah perhatikan yang kita bicarakan internet Explorer, hakikatnya kaedah yang paling biasa untuk virus menembusi sistem melalui pelayar adalah tepat melalui penggunaan teknologi ActiveX, teknologi itu sendiri telah diterangkan dengan secukupnya dan saya tidak akan memikirkannya. Anda juga boleh menggantikan halaman permulaan, sebagai contoh, dengan skrip Java ringkas yang terletak pada halaman dengan javascript yang sama, anda juga boleh memuat naik fail dan melaksanakannya pada sistem yang terdedah. Pelancaran biasa program yang kononnya untuk melihat gambar dari tapak berbayar dengan trend terkenal dalam 98% kes mengandungi perisian hasad. Untuk mengetahui di mana hendak mencari, saya akan mengatakan bahawa terdapat tiga cara yang paling biasa bagaimana pengintip berada dan bekerja pada mesin mangsa.
Yang pertama ialah pendaftaran dan tidak lebih, virus mungkin duduk dalam permulaan, atau mungkin tidak hadir pada komputer sama sekali, tetapi ia mempunyai satu matlamat - untuk menggantikan halaman permulaan penyemak imbas melalui pendaftaran. Jika virus atau skrip hanya sekali menggantikan halaman permulaan, tidak ada soalan, anda hanya perlu mengosongkan kunci ini dalam pendaftaran, tetapi jika selepas pembersihan, selepas beberapa ketika kunci muncul semula, maka virus sedang berjalan dan sentiasa mengakses pendaftaran itu. Jika anda mempunyai pengalaman bekerja dengan penyahpepijat seperti SoftIce, anda boleh menetapkan titik putus pada akses kepada pendaftaran (bpx RegSetValueA, bpx RegSetValueExA) dan memantau program yang mana, selain yang standard, mengakses pendaftaran. Selanjutnya secara logik. Yang kedua adalah tepat pemintas acara sistem, yang dipanggil cangkuk. Biasanya, cangkuk digunakan lebih banyak dalam keylogger, dan merupakan perpustakaan yang memantau dan, jika boleh, berubah mesej sistem. Biasanya sudah ada program sendiri dan perpustakaan yang dilampirkan padanya, jadi meneroka modul utama program anda tidak akan mendapat apa-apa yang menarik.
Lebih lanjut mengenai ini dan kaedah seterusnya lihat bab di bawah untuk analisis terperinci.

Dan akhirnya, cara ketiga ialah melampirkan perpustakaan anda program standard OS, seperti explorer.exe dan iexplorer.exe, dengan kata lain, menulis pemalam untuk program ini. Di sini sekali lagi, terdapat beberapa cara, ini adalah melampirkan menggunakan BHO (Gorlum menulis tentang kaedah lampiran itu sendiri, mengambil peluang ini untuk bertanya khabar dan pujian kepadanya) dan hanya membenamkan perpustakaan anda ke dalam fail boleh laku. perbezaannya, seperti yang saya faham, ialah Objek Pembantu Pelayar diterangkan dan dicadangkan oleh syarikat M$ itu sendiri, dan digunakan sebagai pemalam untuk penyemak imbas, dan pelaksanaan perpustakaan bukanlah pemalam , tetapi sebaliknya program serba lengkap, lebih mengingatkan virus fail tahun-tahun sebelumnya.

Untuk latihan am, saya akan memberikan anda kunci pendaftaran di mana barangan substandard boleh didaftarkan, dalam bentuk bar alat, butang dan halaman mula penyemak imbas.

muka surat permulaan
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Parameter StartPage Utama.
HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet Explorer\Parameter StartPage Utama (S-1-5-21-.... kunci ini mungkin berbeza pada mesin yang berbeza)

Mendaftarkan objek seperti butang, bar alat, dll.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
Di sinilah semua "pembantu" didaftarkan, dan jika anda tidak mempunyai apa-apa, kunci harus kosong, jika tidak kosong, kemudian padamkannya.

Jadi, jika anda tidak bersetuju dengan kunci ini, dan anda ingin memikirkannya dengan lebih lanjut, maka lihat lebih jauh.

[Mencari sesuatu yang lebih baik]

Memandangkan pada masa menulis artikel ini saya ingin menjadikannya boleh difahami oleh semua orang, bab ini mungkin kelihatan tidak dapat difahami oleh sesetengah orang, tetapi saya cuba untuk memudahkan segala-galanya sebaik mungkin. Saya tidak akan menerangkan seni bina fail PE kepada anda, walaupun kami akan merujuknya. Terdapat banyak lagi manual terperinci di Internet, dan Iczelion menulis dengan baik tentang fail PE Mungkin suatu hari nanti saya akan menerangkannya juga.
Jadi, memulakan analisis terperinci, kami memerlukan beberapa alat, saya gunakan dalam kes ini dan mengesyorkan menggunakan PETools oleh NEOx dan PEiD (Anda biasanya boleh bertahan dengan hanya Soft Ice, tetapi lebih baik lebih banyak alat ya, ia lebih mudah, untuk pembalikan saya akan ambil perhatian bahawa sekarang kita akan bercakap tentang melihat jadual import dan pembungkusan fail, jadi abaikan penyelewengan yang anda akan lihat)
Ini bermakna, seperti yang telah saya katakan, terdapat kes sedemikian sehingga bar carian dan halaman permulaan muncul dalam penyemak imbas entah dari mana. Selepas menyemak pendaftaran, saya tidak menemui sebarang perubahan pada halaman stat, dan saya juga tidak menemui sebarang pendaftaran pemalam dalam penyemak imbas. Apabila diteliti dengan teliti ternyata begitu baris yang diberi carian (bar alat lebih mudah) muncul dalam semua tetingkap OS. Ini sudah mengubah intipati perkara itu sedikit. Saya mengandaikan bahawa dua pengintip, bebas antara satu sama lain, melakukan ini, dan ia adalah dengan kaedah penyusupan perpustakaan dinamik. Pada masa yang sama, adalah perlu untuk membezakan bahawa jika bar alat hanya dalam penyemak imbas, ini bermakna ia telah dibenamkan dalam proses iexplorer.exe, tetapi kami memilikinya di mana-mana, oleh itu, ia perlu menyemaknya dalam explorer. exe. Saya mula menyemak pelayar. Untuk melakukan ini, saya melancarkan PETools dan hanya melihat perpustakaan yang digunakan oleh penyemak imbas. Saya bernasib baik apabila berhadapan dengan virmaker yang cuai, berlatar belakangkan perpustakaan sistem daripada %SYSTEMROOT% terdapat smt.dll tertentu dengan laluan pergi ke suatu tempat dalam TEMP. But semula dalam mod selamat dan alih keluar perpustakaan ini, dan semuanya baik-baik saja, pengintip itu terbunuh. Apa yang tinggal ialah memanggil PETools sekali lagi, klik kanan pada proses kami dan bina semula fail. Ini adalah kes paling mudah dalam amalan saya. Mari kita beralih ke yang seterusnya, cari dan bunuh bar alat. Dengan cara yang sama, saya melihat proses explorer.exe dan tidak menemui apa-apa yang menarik. Dua pilihan berikutan daripada ini: sama ada saya tidak tahu semua perpustakaan dengan hati, dan bar alat hilang di kalangan mereka, atau saya tidak mempunyai pengetahuan untuk mencarinya. Nasib baik yang pertama keluar. Tetapi bagaimanakah seseorang boleh membezakan perpustakaan sebenar daripada perpustakaan palsu? Saya akan beritahu anda, dan anda akan faham sendiri. Seperti yang anda ketahui, pembuat virus sedang mengejar pengecilan dan penyulitan kod. Iaitu, sebagai peraturan, lebih daripada satu bar alat tidak akan masuk borang terbuka, pertama, kod itu boleh dikurangkan, yang bermaksud ia perlu, dan kedua, jika seseorang (biasanya bukan antivirus, tetapi pesaing) menemui perpustakaan ini maka kod yang tidak disulitkan itu lebih mudah untuk dia fahami. Oleh itu, kami mengambil PEiD dan menghasilkan imbasan massa perpustakaan yang diimport. Perpustakaan daripada Microsoft secara semula jadi ditulis dalam visual C++ dan tidak dibungkus dengan apa-apa, jadi jika kita melihat (dan saya baru sahaja melihat seUpd.dll yang mencurigakan yang dibungkus dengan UPX) sebuah pustaka yang dibungkus atau disulitkan, maka 99% daripada masa inilah yang kita sedang mencari. Sama ada dia akan menyemaknya atau tidak adalah sangat mudah, alihkannya ke safe mode itu dan lihat hasilnya. Sudah tentu, anda boleh membongkarnya, melihat penyenaraian reka bentuk dan fikirkan tentang apa yang dilakukannya, tetapi jangan pergi ke dalamnya. Jika anda tidak menemui pustaka berpakej, maka adalah berguna untuk menggunakan editor sumber seperti Restorator untuk melihat versi fail, seperti yang telah saya katakan, semua perpustakaan dari M$ telah menulisnya di sana. Di sinilah pembuat virus membuat kesilapan. Mereka harus malu untuk menulis virus sedemikian sama sekali. Akhir sekali, saya ingin ambil perhatian bahawa perpustakaan *.dll tidak semestinya boleh dibenamkan dalam proses. Terdapat sesuatu seperti ini dalam OS Windows aplikasi yang berguna seperti rundll32.exe dan saya boleh menjalankan mana-mana perpustakaan menggunakan proses ini. Dan pada masa yang sama, ia tidak perlu menulis rundll32.exe myspy.dll dalam permulaan; ia cukup untuk menulis ini di dalam fail yang dijangkiti. Kemudian anda akan melihat hanya fail anda sendiri (fail yang dijangkiti yang tidak mungkin dikesan oleh antivirus) dan proses rundll32.exe, dan tiada yang lain. Apa yang perlu dilakukan dalam kes sedemikian? Di sini kita perlu menyelidiki lebih mendalam tentang struktur fail dan OS, jadi kita akan meninggalkan ini di luar skop artikel ini. Mengenai pembungkusan/penyulitan virus, ini terpakai bukan sahaja untuk perpustakaan, tetapi kepada semua fail sistem. Pada nota yang menyenangkan ini, saya ingin menamatkan bahagian utama artikel itu, tetapi ini hanya 1% daripada semua kaedah pengesanan. Kaedah saya mungkin bukan yang terbaik, tetapi saya menggunakannya sendiri dan ia agak produktif (baik, bukan pada komputer saya). Jika boleh, jika boleh, saya akan menulis sambungan mengenai virus makro, keylogger dan pintu belakang, secara ringkasnya tentang apa yang telah saya tangkap.

[Penghargaan]

Saya ingin mengucapkan terima kasih kepada semua orang yang saya berkomunikasi dengan mereka yang sedia ada.
Dan juga kepada orang yang mempengaruhi saya dan entah bagaimana mengarahkan saya ke jalan yang betul:
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0, _4k_, angkat, dsb.

[Lampiran A]
Senarai perkhidmatan sistem svhost.exe (WinXP)

DHCP clientvchost.exe -k netsvcs
Pelanggan DNS svchost.exe -k NetworkService
Kemas kini svchost.exe -k netsvcs secara automatik
Log masuk sekunder svchost.exe -k netsvcs
Pengurus Cakera Logik svchost.exe -k netsvcs
Melancarkan pelayan DCOM memproses svchost -k DcomLaunch
Instrumen Pengurusan Windows svchost.exe -k netsvcs
Pelanggan Penjejakan Pautan Berubah svchost.exe -k netsvcs
Modul Sokongan NetBIOS melalui TCP/IP svchost.exe -k LocalService
Pelayar Komputer svchost.exe -k netsvcs
Tentukan perkakasan shell svchost.exe -k netsvcs
Stesen kerja svchost.exe -k netsvcs
Pelayan svchost.exe -k netsvcs
Perkhidmatan Pemulihan Sistem svchost.exe -k netsvcs
Perkhidmatan Masa Windows svchost.exe -k netsvcs
Perkhidmatan Pembalakan Ralat svchost.exe -k netsvcs
Perkhidmatan kriptografi svchost.exe -k netsvcs
Bantu dan sokong svchost.exe -k netsvcs
Topik svchost.exe -k netsvcs
Pemberitahuan tentang peristiwa sistem svchost.exe -k netsvcs
Panggilan prosedur jauh (RPC) svchost -k rpcss
Pusat Keselamatan svchost.exe -k netsvcs
Pengurus sambungan automatik akses jauh svchost.exe -k netsvcs
Protokol HTTP SSLsvchost.exe -k HTTPFilter
Sambungan pemacu WMI svchost.exe -k netsvcs
Perkhidmatan Muat Naik Imej (WIA)svchost.exe -k imgsvc
Perkhidmatan penyediaan rangkaianvchost.exe -k netsvcs
Perkhidmatan nombor siri peranti media mudah alih
svchost.exe -k netsvcs
Keserasian pensuisan pantas pengguna
svchost.exe -k netsvcs
Storagesvchost.exe -k netsvcs boleh tanggal
Hos Peranti PnP Generikvchost.exe -k LocalService
Pengurusan aplikasivchost.exe -k netsvcs
Perkhidmatan Pemindahan Pintar Latar Belakangvchost.exe -k netsvcs
Pengurus Sambungan Akses Jauhvchost.exe -k netsvcs
Sambungan rangkaiansvchost.exe -k netsvcs
Sistem acara COM+svchost.exe -k netsvcs
Perkhidmatan Penemuan SSDP svchost.exe -k LocalService
Perkhidmatan lokasi rangkaian(NLA)svchost.exe -k netsvcs
Terminal Servicessvchost -k DComLaunch
Telephonysvchost.exe -k netsvcs
Windows Audiosvchost.exe -k netsvcs
Mengakses HID devicessvchost.exe -k netsvcs
Penghalaan dan accesssvchost.exe -k netsvcs jauh
Annunciator svchost.exe -k LocalService
Penjadual Tugasvchost.exe -k netsvcs
Perkhidmatan pemesejan svchost.exe -k netsvcs
----------- Jumlah enam proses apabila semua perkhidmatan sedang berjalan -------

Apabila komputer mula but, tekan kekunci F8. Dan pilih "Mod Selamat dengan sokongan" baris arahan" dan tekan "Enter"

Apabila muat turun selesai, tetingkap "Pentadbir: cmd.exe" akan muncul di mana, menggunakan papan kekunci, masukkan "regedit.exe". Tekan "Enter" sekali lagi dan pergi ke "Registry Editor"

Dalam pendaftaran Windows regedit mengandungi maklumat sistem dan data tentang permulaan automatik program apabila sistem pengendalian bermula. Di sinilah kami akan cuba mencari kesan virus sepanduk kami.

Untuk operasi biasa OS, hanya 5 fail diperlukan dalam direktori root:
ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM

Tanpa analisis terperinci Anda tidak boleh memadam apa-apa daripada pendaftaran. Anda mesti 100% pasti bahawa ini adalah virus dan bukan program yang telah dimuat turun ke folder akar. Virus entah bagaimana mesti dimuatkan apabila sistem dimulakan, proses ini berlaku semasa autostart. Oleh itu, kami melihat kunci pendaftaran berikut untuk program yang mencurigakan. (Dan jika anda telah menemui virus, kemudian cari nama fail di mana-mana dalam pendaftaran dan padam):

Dari awal lagi kita mencari virus dalam rantaian:
\WindowsNT\CurrentVersion\Winlogon Cari entri dalam senarai Shell(XP) Windows7 tidak mempunyai bahagian ini.

Mari lihat: nilai parameter, secara lalai sepatutnya Explorer.exe, jika ada apa-apa lagi, kami padamkannya.

Sekarang kita dapati entri: Usernit(Hadir dalam mana-mana Versi Windows). Nilai entri ini mestilah C:\Windows\system32\userinit.exe Semua yang ada kecuali entri ini dipadamkan. Sememangnya, jika OS tidak dipasang pada pemacu C, maka rakaman akan berbeza.

Langkah seterusnya ialah mengedit bahagian permulaan Lari .

Kami mencari dan membuka rantaian: HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Run (bahagian ini terpakai untuk Windows 7) Dalam urutan ini anda boleh mengalih keluar segala-galanya kecuali perisian anti-virus dan perisian yang juga diperlukan untuk kerja anda (utiliti untuk pencetak, skype, pengimbas).

Rantaian seterusnya: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run Di sini kita melakukan perkara yang sama seperti dalam perenggan sebelumnya.

Anda mungkin perlu menggantikan fail "tuan rumah" yang terletak di: Buka Mula" dan masukkan: %systemroot%\system32\drivers\dsb

Kami menyalin yang standard daripada tapak web pembangun http://support.microsoft.com/kb/972034/ru dan menamakan semula yang lama hosts.old.

Klik kanan masuk ruang kosong dalam folder %WinDir%\system32\drivers\etc,

pilih Baharu, klik elemen Dokumen Teks, masukkan nama hos/Buka yang baharu fail hos dalam editor teks Notepad dan salin teks yang disimpan dari tapak ke fail. Kami but semula komputer.

Kadang-kadang ia berlaku bahawa anda tidak perlu mencari application.exe dalam pendaftaran Windows, tetapi cukup untuk melaksanakannya semak cepat"Security Esseentiats", but semula dan apabila komputer dihidupkan, tetingkap akan muncul yang menunjukkan nama program, katakan 2088322.exe, yang pembela tingkap tidak dapat mengenali. Anda hanya perlu menulis nilai ini dalam "Mula" - "Cari program dan fail" dan kemudian gunakan butang kanan tetikus untuk mengetahui alamat sepanduk ini dan padamkannya dahulu ke tong sampah dan kemudian selamanya.

Jika anda perlu menyemak pendaftaran untuk komputer bekerja, iaitu apabila OS dimuatkan sepenuhnya, tidak perlu menggunakan "Mod Selamat" hanya taip menu "Mula" arahan regedit dan klik pada fail yang terbuka, dan "Editor Pendaftaran" akan dibuka di hadapan anda.

Tetapi apa yang perlu dilakukan jika mustahil untuk boot OS dalam mod selamat, bagaimana untuk mengeluarkan sepanduk dan membuka kunci Windows? Dalam kes ini kita perlu mengambil jalan keluar maksud pihak ketiga, anda tidak boleh bertahan dengan hanya satu komputer. Mari kita pertimbangkan yang paling utiliti terbaik hari ini, yang akan membantu kami membuka kunci komputer kami: "Bagaimana untuk mengalih keluar sepanduk jika Windows tidak but dalam mod selamat"

Lelaki ini
paling virus yang menakutkan
Di Bumi.
"inpropart"

Baru-baru ini, beberapa tahun yang lalu, seseorang membuat ramalan bahawa dalam beberapa tahun, berjalan di tapak Internet akan menjadi berbahaya seperti berjalan di jalanan bandar yang gelap. Pada masa kini, virus komputer telah menjadi sangat biasa, dan kenyataan ini telah menjadi kenyataan.

Mereka dipanggil virus program komputer yang mengganggu kerja produktif pengguna pada komputer. Apabila komputer dijangkiti virus, virus hampir selalu ditulis ke dalam pendaftaran sistem pengendalian. Virus komputer boleh menyebabkan: penutupan atau but semula komputer, kelembapan sistem pengendalian, kerosakan dan pemadaman fail, serangan pada pelayan melalui Internet, peningkatan trafik komputer dan banyak tindakan lain.

Ini memerlukan beberapa langkah. Perlu pembersihan Ram daripada virus, keluarkan virus daripada cakera keras anda dan keluarkan pautan kepada virus daripada windows registry. Selepas itu anda perlu memasang antivirus berkualiti tinggi, atau kompleks perlindungan antivirus. Untuk perlindungan penuh Pertama sekali, komputer anda perlu mempunyai pendaftarannya dibaiki dengan betul. Pembaikan dan analisis pendaftaran dijalankan oleh program berikut:

AVPTool daripada Kaspersky Lab atau Dr. Web CureIt daripada Doctor Web.

Pilihan program untuk mengimbas komputer anda untuk virus bergantung pada antivirus yang dipasang pada komputer anda. Anda harus menyemak dengan antivirus pihak ketiga. Iaitu, jika anda telah memasang Kaspersky, maka anda perlu menyemaknya dengan Doctor Web. Apabila menyemak antivirus pihak ketiga, anda perlu menjeda sementara perlindungan antivirus utama anda.

Untuk melakukan ini, komputer mesti dibut ke mod selamat. Selepas itu, lancarkan salah satu utiliti yang dimuat turun. Jika virus dikesan, ia harus diubati, atau jika rawatan tidak boleh dipindahkan, atau pautan dalam pendaftaran. Selepas ini, mulakan semula komputer anda seperti biasa.

Putuskan sambungan internet anda dan tutup semuanya buka aplikasi. Lari program AVZ dan mengemas kini pangkalan data tandatangan. Kemudian jalankan imbasan sistem. Program ini akan bermula dan secara automatik membetulkan pautan dalam pendaftaran dan membuang virus.

Anda juga boleh mengimbas komputer anda dengan utiliti lain, HiJackThis. Jalankan HiJackThis sebagai pentadbir dan klik pada butang "Lakukan imbasan sistem dan simpan fail log".

Untuk mengoptimumkan sistem pengendalian selepas itu, terdapat banyak program. Banyak utiliti membaiki pendaftaran komputer, keluarkan fail yang tidak diperlukan dan defragment cakera keras.

Apabila bekerja dengan pembetulan pendaftaran, anda perlu berhati-hati. Sebarang perubahan yang salah boleh menyebabkan sistem pengendalian tidak berfungsi dan juga ranap. Iaitu, apabila tindakan yang salah komputer mungkin tidak boleh boot.