Здравствуйте админ! Вопрос, как очистить реестр от накопившегося мусора: оставшихся ключей, параметров, значений удалённых программ, но сделать это хочу правильно, так как есть печальный опыт.
Совсем недавно устанавливал себе на компьютер одну программу и с удивлением обнаружил что вместе с ней установилась и другая, какой-то чистильщик операционной системы и реестра. Самое интересное эта программа стала запускаться вместе с Windows, постоянно предлагая очистить компьютер от различного мусора. Ради интереса я решил попробовать и нажал ОК, начался процесс очистки реестра от ненужных записей, через минуту проверка закончилась и программа выдала отчёт, было найдено 1024 ошибки, которые утилита предложила исправить, я согласился и опять нажал ОК, ошибки реестра были удалены и компьютер перезагрузился и больше уже не загрузился!
При следующей загрузке на чёрном экране вышла ошибка Windows\system32\config\system... и что-то там ещё. С огромным трудом операционную систему удалось восстановить по вашей статье .
Ещё на вашем сайте нашёл интересную статью, где производите чистку реестра от ключей оставленных вирусом не прибегая ни к каким программам. Поэтому я и решил вам написать, спросить как очистить реестр от мусора, да и вообще нужно ли это, ведь многие пользователи вообще никогда не очищают реестр и не задумываются об этом.
Как очистить реестр
1) Что такое реестр!
2) Так ли необходима очистка реестра.
3) Знаете ли вы, что если вредоносная программа оставит свои ключи в реестре, то ни один чистильщик реестра их не найдёт. Как найти ненужные ключи в реестре ручками не прибегая ни к каким программам.
3) Как очистить реестр программой EnhanceMySe7en
4) Как очистить реестр программой CCleaner
Привет друзья! Хороший задан вопрос и чтобы на него ответить, я в двух словах расскажу вам что такое реестр и как он используется Windows.
Реестр - важнейший компонент Windows, появился в древней Windows 3.1 в виде файла Req.dat .
Реестр содержит в себе огромную базу данных или хранилище конфигурационной информации всех установленных в операционную систему программ и самой Windows. Информация о всех пользователях, расширениях файлов, драйверах, подключенных устройствах, активациях и так далее, всё это хранится в реестре.
Любое приложение при своей установке в операционную систему оставляет свои конфигурационные данные в реестре и также любое приложение не удаляет все данные из реестра при свой деинсталляции (удалении) с компьютера. Это общеизвестный факт.
Например я удалю с компьютера программу Adobe Photoshop, а затем проверю реестр на наличии ключей этой программы и они там найдутся,
Тоже самое будет с программой Download Master.
А если удалить из Windows более серьёзную программу, к примеру , то обратите внимание сколько она оставит после себя в реестре мусора. А если представить что мы пользуемся операционной системой год!
Становится ясно, что всего этого хлама, оставленного программами после своего удаления с компьютера, в реестре остаётся довольно много, но вот ведь ещё какой вопрос друзья мои - А мешает ли весь этот хлам быстродействию операционной системы? То что мешает, доказать никому так и не удалось. Тому ли не доказательство то, что сам разработчик Windows всем известный Майкрософт так и не создал специального инструмента для своего детища, который бы производил автоматическую очистку реестра. есть, тоже присутствует, а вот очистить реестр можно только ручками специальным встроенным в Windows редактором regedit.
В каких случаях произвожу очистку реестра я сам
Друзья, в своё время я до тошноты экспериментировал с различными чистильщиками реестра, но к убедительному результату так и не пришёл. Я считаю, что нет большой необходимости в постоянной автоматической чистке реестра, так как ни одна автоматическая очистка так хороша как вам кажется. Если вы удалили какую-либо программу и она оставила свои ключи в реестре, то Windows к этим ключам никогда не обратится и из-за этих ключей ни в коей мере не будет происходить падение быстродействия системы и выходить какие-либо ошибки. Мусор в реестре может составлять несколько десятков килобайт ненужных разделов и не оказывать на скорость системы ощутимого воздействия
Но как удалять ненужные записи в реестре вы всё же должны знать и вот почему.
Для примера приведу реальный случай. Мой знакомый подхватил вредоносную программу запускавшую исполняемый файл из папки C:\Windows\AppPatch\hsgpxjt.exe. Вирус мы успешно удалили , но созданные в реестре вредоносной программой записи остались, так как при загрузке системы появлялось вот такое окно.
Ни одна из существующих автоматических чистилок реестра мне тогда не помогла, они просто не нашли вредоносные записи.
Пришлось ручками найти в реестре вредоносные ключи расположенные в кустах реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows
Добавлены ключи
Load REG_SZ C:\WINDOWS\apppatch\hsgpxjt.exe
Run REG_SZ C:\WINDOWS\apppatch\hsgpxjt.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Добавлен ключ
userinit REG_SZ C:\Windows\apppatch\hsgpxjt.exe
Об этом случае я написал подробную статью " " можете почитать. Из этой статьи вы сможете узнать как найти ненужные ключи в реестре при помощи встроенного в Windows редактора regedit.
Ну а что пожелать пользователям, которые хотят иметь под руками автоматический инструмент для очистки реестра.
Как очистить реестр программой EnhanceMySe7en
Перед использованием программ чистильщиков реестра советую создать точку восстановления системы (прежде чем упасть подстелим соломенку)
Одно время я пользовался программой EnhanceMySe7en, это очень хороший твикер для Windows 7, включает два десятка удобных инструментов для управления Windows 7. EnhanceMySe7en содержит также менеджер автозагрузки, дефрагментатор жесткого диска, инструмент для мониторинга винчестера и диспетчер процессов (некоторые инструменты доступны только в платной версии). Эта классная программулька к сожалению на английском языке, но Вам всё будет понятно и так.
Официальный сайт программы http://seriousbit.com/tweak_windows_7/
Нажимаем Download v3.7.1, 12.6 MB и скачиваем бесплатную версию,
Она не содержит некоторые инструменты, например дефрагментатор жесткого диска.
Чтобы запустить очистку реестра нужно пройти на вкладку Tools и нажать всего лишь одну кнопку Registry Cleaner .
Затем можете посмотреть детали Details или сразу нажать на кнопку Delete Удалить ошибки.
Вот и всё, реестр очищен.
Как очистить реестр программой CCleaner
Ещё более простая программа CCleaner, которой пользуется подавляющее количество пользователей. Она установлена буквально у всех кому это надо и не надо. Мне иногда кажется что она входит в набор стандартных программ Windows. Какой бы мне компьютер не принесли на ремонт, так она там обязательно уже установлена.
Скачать программу можно на её официальном сайте
http://ccleaner.org.ua/download/
Можете портативную версию CCleaner, работающую без установки и носить её с собой на флешке. Есть версия даже для Mac.
Скачали, запускаем программу от имени администратора.
В первую очередь идём в Настройки и выбираем русский язык.
Вкладка Реестр. Нажимаем на кнопку Поиск проблем.
В первый раз программа найдёт очень много ошибок.
Нажимаем Исправить.
И выбираем место для сохранения резервной копии.
Затем можете просмотреть все ошибки реестра или просто нажать кнопку Исправить отмеченные.
Данная резервная копия будет вам нужна если после очистки реестра что-то пойдёт не так. Что может пойти не так? К примеру какая-нибудь уже активированная программа заново попросит активацию, но не беспокойтесь, это бывает очень редко. В этом случае нажмёте двойным щелчком правой мыши на резервном файле реестра
Ответите Да
Вирус и реестр!
Как-то, года три - четыре назад Евгений Касперский сделал такой прогноз, поскольку активность компьютерного преступного мира растет, то в «ближайшем будущем ходить по интернету будет так же опасно, как по тёмным улицам ночью». Медленно, но верно такое время наступает.
Вирусами называют специальные вредоносные программы. Попав на компьютер, в большинстве случаев вирус прописывается в реестре и производит следующие действия: вызывает выключение компьютера, его перезагрузку; тормозит работу операционной системы; портит файлы; производит рассылку по Интернету, что приводит к расходу трафика; и ещё многое другое, ибо нет предела совершенству.
* Запустите HijackThis. Нажмите на кнопку "Do a system scan and save a logfile". Обязательно нужно запускать данные программы с правами администратора.
Для оптимизации и лечения реестра сейчас нет дефицита программ, выбирать можно разные, тестировать, чистить, дефрагментировать. Многие утилиты имеют несколько функций для помощи реестру. У многих утилит очень хороший интерфейс и есть возможности настройки, можно производить запуск по времени, при загрузке компьютера. Вот проверенные временем утилиты: AusLogics Registry Defrag, AusLogics BoostSpeed, Register_DivX, Reg docins, Trash Reg, OneButton Checkup.
При работе с реестром надо быть очень внимательным и делать только то, что понятно, а лучше пригласить специалиста. Он и установит и покажет, как следить за реестром.
Пока что я не знаю никого, кто бы прямо или косвенно не пострадал от действий компьютерных вирусов. Антивирусные компании много хотят за свои продукты, которые так и не обеспечивают надлежащей защиты. Спрашивается, зачем вообще тогда покупать антивирусное ПО? Все что создано человеком может быть уничтожено, это относится как к антивирусам, так и к вирусам. Человека обмануть намного сложнее, чем программу. Поэтому эта статья посвящена описанию методики обнаружения и деактивации вирусного программного обеспечения без антивирусного продукта. Запомните есть только одна вещь, ценность которую невозможно обойти/сломать/обмануть - это Знание, собственное понимание процесса. Сегодня я расскажу на реальных примерах как обнаружить и поймать у себя на компьютере Интернет-червей и шпионское ПО. Конечно есть еще много видов, но я взял самые распространенные и решил написать про то, что было у меня на практике, дабы не сказать чего лишнего. Если повезет в поиске расскажу про макро-вирусы, бэкдоры и руткиты. Итак перед тем как приступись, отмечу, в данной статье рассматриваю только операционную систему семейства NT, подключенную к интернету. У меня самого стоит Win2000 SP4, вирусы ловлю на WinXP PE. Итак перейдем к беглому, а затем и детальному анализу системы на предмет червей и шпионов. Беглым осмотром мы просто обнаружаем наличие программы и локализуем ее, детальный анализ уже идет на уровне файла и процессов. Там я расскажу о прекрасной программе PETools, впрочем всему свое время.
[Анализ системы]
Логично, что для того чтобы обнаружить и обезвредить вредоносную программу необходимо существование таковой программы. Профилактика остается
профилактикой, о ней поговорим позже, однако надо первым делом определить есть ли на компьютере вообще вирусы. Для каждого типа вредоносных программ соответственно есть свои симптомы, которые иногда видны
невооруженным глазом, иногда незаметны вовсе. Давайте посмотрим, какие вообще бывают симптомы заражения. Поскольку мы ведем речь о компьютере, подключенном к глобальной сети, то первым симптомом является
чрезмерно быстрый расход, как правило, исходящего трафика, это обуславливается тем, что очень многие интернет-черви выполняют функции DDoS-
машин или просто ботов. Как известно, при DDoS атаке величина
исходящего трафика равна максимальной величине трафика за единицу времени. Конечно, на гигабитном канале это может быть и не так заметно если проводится DdoS атака шириной с диалап соединение, но как правило
бросается в глаза заторможенность системы при открытии интернет ресурсов (Еще хотелось бы отметить, что речь пойдет о вирусах, которые хоть как то скрывают себя системе, ведь не надо объяснять ничего если
у вас в папке Автозагрузка лежит файл kfgsklgf.exe который ловится фаерволлом и т.д.). следующее по списку, это невозможность зайти на многие сайты антивирусных компаний, сбои в работе платных программ
типа CRC-error, это уже обусловлено тем, что достаточно многие коммерческие протекторы поддерживают функцию проверки четности или же целости исполняемого файла (и не только протекторы, но и сами разработчики
защит), что сделано для защиты программы от взлома. Не будем говорить об эффективности данного метода против крякеров и реверсеров, однако сигнализацией к вирусному заражению это может сработать идеально.
Плата начинающих вирмейкеров за не убиваемые процессы, то что при выключении или перезагрузке компьютера идет длительное завершение какого нибудь-процесса, или же вообще компьютер зависает при завершении
работы. Думаю про процессы говорить не надо, а так же про папку автозагрузка, если там есть что-то непонятное или новое, то, возможно, это вирус, однако про это попозже. Частая перезагрузка компьютера,
вылет из интеренета, завершение антивирусных программ, недоступность сервера обновления системы microsoft, недоступность сайтов антивирусных компаний, ошибки при обновлении антивируса, ошибки вызванные
изменением структуры платных программ, сообщение windows, что исполняемые файлы повреждены, появление неизвестных файлов в корневом каталоге, это лишь краткий перечень симптомов зараженной машины. Помимо
прямых вредоносных программ существует так называемое шпионской программное обеспечение, это всевозможные кейлоггеры, дамперы электронных ключей, нежелательные "помощники" к браузеру. Честно говоря, по
методу обнаружения их можно разделить на два противоположных лагеря. Допустим кейлоггер, присоединенный динамической библиотекой к оболочке операционной системы обнаружить на лету крайне сложно, и наоборот,
невесть откуда взявшийся помощник (плагин, строка поиска и т.д.) к internet Explorer"у (как правило) бросается в глаза сразу же. Итак, я думаю, настало время оставить эту пессимистическую ноту и перейти
к реалистичной практике обнаружения и деактивации вредоносного программного обеспечения.
[Обнаружение на лету]
%WINDIR%\Driver Cache\driver.cab
затем из папок обновления ОС, если таковые
имеются, после этого из %WINDIR%\system32\dllcache\ и уже потом просто из
%WINDIR%\system32\
Возможно, ОС скажет, что файлы повреждены и попросит диск с дистрибутивом, не соглашайтесь! А не то он восстановится
и опять будет открыта дыра. Когда вы проделаете этот шаг можно приступать к локализации вируса. Посмотреть какие приложения используют сетевое подключение, помогает маленькая удобная программа TCPView,
однако некоторые черви имеют хороший алгоритм шифрации или хуже того, прикрепляются к процессам либо маскируются под процессы. Самый распространенный процесс для маскировки - это, несомненно, служба svhost.exe,
в диспетчере задач таких процессов несколько, а что самое поразительное, можно создать программу с таким же именем и тогда отличить, кто есть кто практически невозможно. Но шанс есть и зависит от внимательности.
Первым делом посмотрите в диспетчере задач (а лучше в программе Process Explorer) разработчика программ. У svhost.exe это как не странно M$, конечно можно добавить подложную информацию и в код вируса, однако
тут есть пара нюансов. Первый и наверное главный состоит в том, что хорошо написанный вирус не содержит не таблицы импорта, не секций данных. Поэтому ресурсов у такого файла нет, а, следовательно, записать
в ресурсы создателя нельзя. Либо можно создать ресурс, однако тогда появится лишний объем файла, что крайне нежелательно вирмейкеру. Еще надо сказать про svhost.exe, это набор системных служб и каждая служба
- это запущенный файл с определенными параметрами. Соответственно в Панели управления -> Администрирование -> Службы,
содержатся все загружаемые службы svhost.exe, советую подсчитать количество
работающих служб и процессов svhost.exe, если не сходиться, то уже все понятно (только не забудьте сравнивать количество РАБОТАЮЩИХ служб). Подробнее в приложении А.
Надо так же отметить, что возможно
и среди служб есть вирус, на это могу сказать одно, список служб есть и на MSDN и еще много где в сети, так что просто взять и сравнить проблемы не составит. После таких вот действий вы сможете получить
имя файла, который возможно является вирусом. О том, как определять непосредственно вирус или нет, я расскажу чуть дальше, а сейчас оторвемся от рассуждений и посмотрим еще несколько моментов. Как вы, наверное,
уже знаете, для нормальной работы ОС необходимо всего 5 файлов в корневом каталоге, поэтому все остальные файлы вы можете смело удалять, если конечно вы не умудряетесь ставить программы в корневой каталог.
Кстати файлы для нормальной работы, вот они: ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Больше ничего быть не должно. Если есть и вы не знаете, откуда оно там появилось то переходите
к главе [Детальный анализ].Приаттачивание к процессам мы так же рассмотрим в главе [детальный анализ], а сейчас поговорим про автозапуск. Естественно вирус должен как-то загружаться при старте системы,
как правило. Соответственно смотрим следующие ключи реестра на предмет подозрительных программ. (А если вы уже нашли вирус, то ищите имя файла везде в реестре и удаляйте):
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskSchedulerHKLM\
SOFTWARE\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Это все было сказано про детектирование простых червей. Конечно, вычислить хороший скрытый вирус сложно. Обнаружение этого червя и его деативация заняли у меня около 10 минут времени, конечно, я знал,
где искать, это упростило задачу. Однако допустим на обнаружение хорошего бэкдора, кейлоггера, стелс-вируса, или же просто вируса, в котором используется перехват вызовов API-функций файловой системы (тогда
вирус получается действительно невидимым), потокового вируса, в общем, есть еще ряд нюансов, однако таких творений действительно мало, мало настоящих вирмейкеров в наши дни. Огорчает... Постараюсь рассказать
о них в следующих статьях. теперь перейдем к шпионским программам, или, как их называют буржуи SpyWare. Объяснять буду опять же на примерах шпионов, которых я ловил сам лично, чтобы мои слова не казались
пустой фантазией.
Начну я свой рассказ с самых распространенных шпионов. В одном небезызвестном журнале один хороший программист правильно назвал их блохами ослика. Простейший шпион очень часто скрывается
за невинным на вид тулбаром. Знайте, что если у вас, вдруг, откуда не возьмись, появилась новая кнопка или же строка поиска в браузере то считайте, что за вами следят. Уж очень отчетливо видно, если у вас
вдруг изменилась стартовая страница браузера, тут уж и говорить нечего. Конечно, прошу простить меня за некоторую некорректность в терминах. Вирусы, меняющие стартовые страницы в браузере вовсе не обязательно
будут шпионами, однако, как правило, это так и поэтому позвольте здесь в этой статье отнести их к шпионам. рассмотрим пример из жизни, когда я пришел на работу и увидел на одном компьютере странного вида
строку поиска в браузере, на мой вопрос откуда она взялась я так ничего и не получил. пришлось разбираться самому. Как вообще может пролезть шпион в систему? Есть несколько методов, как вы уже заметили
речь идет про Internet Explorer, дело в том, что самый распространенный метод проникновения вируса в систему через браузер - это именно посредством использование технологии ActiveX, саму технологию уже
достаточно описали и зацикливаться я на ее рассмотрении не буду. Так же заменить стартовую страницу, к примеру, можно простым Java-скриптом, расположенным на странице, тем же javascript можно даже закачивать
файлы и выполнять их на уязвимой системе. Банальный запуск программы якобы для просмотра картинок с платных сайтов известного направления в 98% случаев содержат вредоносное ПО. Для того чтобы знать, где
искать скажу, что существует три наиболее распространенных способа, как шпионы располагаются и работают на машине жертвы.
Первый - это реестр и ничего более, вирус может сидеть в автозагрузке, а может
и вообще не присутствовать на компьютере, но цель у него одна - это заменить через реестр стартовую страницу браузера. В случае если вирус или же скрипт всего лишь однажды заменил стартовую страницу, вопросов
нет, всего лишь надо очистить этот ключ в реесре, если же после очищения, через некоторое время ключ снова появляется, то вирус запущен и постоянно производит обращение к реестру. Если вы имеете опыт работы
с отладчиками типа SoftIce то можете поставить точку останова на доступ к реестру (bpx RegSetValueA, bpx RegSetValueExA) и проследить, какая программа, кроме стандартных, производит обращении к реестру.
Дальше по логике уже. Второй - это именно перехватчики системных событий, так назваемые хуки. Как правило, хуки используются больше в кейлоггерах, и представляют собой библиотеку, которая отслеживает и
по возможности изменяет системные сообщения. Обычно есть уже сама программа и прикрепленная к ней библиотека, поэтому исследуя главный модуль программы вы ничего интересного не получите.
Подробнее об
этом и следующем способе смотрите ниже в главе детальный анализ.
И, наконец, третий способ это прикрепление своей библиотеки к стандартным программам ОС, таким как explorer.exe и iexplorer.exe, проще говоря написание плагинов к этим программам. Тут опять же есть пара способов, это прикрепление с помощью BHO (об самом способе прикрепления писал Gorlum, пользуясь случаем привет ему и почет) и просто внедрение своей библиотеки в исполняемый файл. разница, какой понимаю ее я в том что Browser Helper Object описано и предложено самой корпорацией M$, и используется как плагин к браузеру, а внедрение библиотек - это уже не столько плагин, сколько как самодостаточная программа, больше напоминающая файловый вирус прошлых лет.
Предоставлю вам для общего обучения ключи реестра, куда могут прописаться недоброкачественные товары, в виде тулбаров, кнопок и стартовых страниц браузера.
Стартовая страница
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main параметр StartPage.
HKEY_USERS\S-1-5-21-....\Software\Microsoft\Internet
Explorer\Main параметр StartPage (S-1-5-21-.... этот ключ может быть разный на разных машинах)
Регистрирование объектов типа кнопок, тулбаров и т.д.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Explorer\Browser Helper Objects\
Вот тут регистрируется все "помошники" и если у вас таковых нет то ключ должен быть пуст, если не пуст, то удаляйте.
Итак, если у вас не все в порядке
с этими ключами, и вы хотите разобраться дальше, то смотрим дальше.
[Ищем получше]
Поскольку к моменту написания данной статью я хотел сделать ее понятной всем, то эта глава может и показаться
некоторым людям непонятной, но я старался упростить все как мог. Я не буду объяснять вас архитектуру PE-файла, хотя мы будем к ней обращатся. Подробнее есть множество мануалов в сети, а про PE-файлы хорошо
было написано Iczelion"ом. Может быть, когда ни будь, да опишу тоже.
Итак, приступая к детальному анализу нам потребуются некоторые инструменты, я использую в этом случае и советую использовать PETools
by NEOx и PEiD (Можно вообще обойтись одним Soft Ice"ом, но лучше побольше инструментов да попроще, для реверсеров отмечу, что сейчас пойдет речь о просмотре таблицы импорта и упакованности файла, поэтому
пропустите мимо ушей то извращение, которое вы сейчас увдите)
Значит, как я уже говорил, был такой случай, что в браузере появилась непонятно откуда строка поиска и стартовая страница. Проверив реестр,
я не нашел изменения статовой страницы, а так же не нашел регистрации плагинов в браузере. При детальном осмотре оказалась, что данная строка поиска (тулбар проще) появляется во всех окнах ОС. Это уже немного
меняло суть дела. Я предположил, что занимаются этим два независимых друг от друга шпиона и именно методом внедрения динамической библиотеки. При этом надо различать, что если тулбар был бы только в браузере,
значит, внедрился он в процесс iexplorer.exe, но у нас был он везде, следовательно, проверять надо было в explorer.exe. Я начал проерять браузер. Для этого я запустил PETools и просто посмотрел, какие библиотеки
использует браузер. Мне подвернулась удача в лице нерадивого вирмейкера, на фоне системных библиотек из %SYSTEMROOT% красовалась некая smt.dll с путем, уходящем, куда то в TEMP. Перезагрузка в безопасном
режиме и удаление этой библиотеки, и все в норме, шпион убит. Осталось только опять вызвать PETools, кликнуть правой кнопкой мыши на нашем процессе и произвести пересборку файла. Это самый простой случай
в моей практике. Перейдем к следующему, находим и убиваем тулбар. Тем же образом я посмотрел процесс explorer.exe и ничего бросающегося в глаза, не нашел. Из этого следует два варианта, либо я не знаю наизусть
всех библиотек, и тулбар затерялся среди них, либо мне не дано по знаниям его обнаружить. К счастью вышло первое. Но как же тогда отличить настоящую библиотеку от подложной. я скажу, а вы уже поймете сами.
Как известно вирмейкеры гонятся за минимализацией и зашифрованостью кода. То есть не один тулбар как правило не будет лежать в открытом виде, во-первых код можно уменьшить, а значит нужно, и во-вторых если
кто нибудь (чаще даже не антивирус, а конкурент) обнаружит данную библиотеку то ему незашифрованный код легче понять. Поэтому берем PEiD и производим массовое сканирование импортируемых библиотек. Библиотеки
от microsoft естественно написаны на visual C++ и ничем не упакованы, поэтому если мы видим (а я как раз увидел подозрительную seUpd.dll упакованную UPX) упакованную или зашифрованную библиотеку то 99%
это, то, что мы искали. Проверит она это или нет очень просто, переместите в безопасном режиме ее и посмотрите результат. Конечно, можно было бы распаковать, посмотреть дизасм листинг и подумать, что же
она делает, но не бдем в то углубляться. Если вы не нашли все-таки упакованную библиотеку, то полезно редактором ресурсов типа Restorator посмотреть версии файла, как я уже говорил у всех библиотек от M$
там так и написано. Вот на таких делах прокалываются вирмейкеры. Стыдно должно быть им вообще писать такие вирусы. На последок хочу еще заметить, что библиотека *.dll не обязательно может внедрятся в процессы.
В ОС Windows есть такое полезное приложение, как rundll32.exe, и я могу запускать с помощью этого процесса любую библиотеку. И при этом не обязательно в автозагрузке писать rundll32.exe myspy.dll, достаточно
прописать это внутри зараженного файла. Тогда вы будете видеть только свои (зараженные файлы, которые маловероятно будут детектироваться антивирусом) и процесс rundll32.exe, и больше ничего. Как быть в
таких случаях? Здесь уже придется углубляться в структуру файла и ОС, поэтому оставим это за рамками данной статьи. Насчет упакованности/зашифрованности вируса относится не только к библиотекам, но и ко
всем системным файлам. На этой приятной ноте я хочу закончить главную часть статьи, написано было много, однако это только 1% всех способов обнаружения. Мой способ пускай и не лучший, но я им пользуюсь
сам и довольно продуктивно (хорошо только не на своем компьютере). По возможности если получится, напишу продолжение про макро-вирусы, кейлоггеры и бэкдоры, словом про то, что я уже ловил.
[Благодарности]
Хотелось
бы высказать благодарности всем с кем я общаюсь за то, что они есть.
А так же людям, кто оказал на меня влияние и хоть как нибудь направил на путь истинный меня:
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0,
_4k_, foster, etc.
[приложение А]
Список системных служб svhost.exe (WinXP)
DHCP-клиентsvchost.exe -k netsvcs
DNS-клиент svchost.exe -k NetworkService
Автоматическое обновление
svchost.exe -k netsvcs
Вторичный вход в систему svchost.exe -k netsvcs
Диспетчер логических дисков svchost.exe -k netsvcs
Запуск серверных процессов DCOM svchost -k DcomLaunch
Инструментарий
управления Windows svchost.exe -k netsvcs
Клиент отслеживания изменившихся связей svchost.exe -k netsvcs
Модуль поддержки NetBIOS через TCP/IP svchost.exe -k LocalService
Обозреватель компьютеров
svchost.exe -k netsvcs
Определение оборудования оболочки svchost.exe -k netsvcs
Рабочая станция svchost.exe -k netsvcs
Сервер svchost.exe -k netsvcs
Служба восстановления системы svchost.exe
-k netsvcs
Служба времени Windows svchost.exe -k netsvcs
Служба регистрации ошибок svchost.exe -k netsvcs
Службы криптографии svchost.exe -k netsvcs
Справка и поддержка svchost.exe -k netsvcs
Темы
svchost.exe -k netsvcs
Уведомление о системных событиях svchost.exe -k netsvcs
Удаленный вызов процедур (RPC) svchost -k rpcss
Центр обеспечения безопасности svchost.exe -k netsvcs
Диспетчер
авто-подключений удаленного доступа svchost.exe -k netsvcs
Протокол HTTP SSLsvchost.exe -k HTTPFilter
Расширения драйверов WMI svchost.exe -k netsvcs
Служба загрузки изображений (WIA)svchost.exe
-k imgsvc
Служба обеспечения сетиsvchost.exe -k netsvcs
Служба серийных номеров переносных устройств мультимедиа
svchost.exe -k netsvcs
Совместимость быстрого переключения пользователей
svchost.exe
-k netsvcs
Съемные ЗУsvchost.exe -k netsvcs
Узел универсальных PnP-устройствsvchost.exe -k LocalService
Управление приложениямиsvchost.exe -k netsvcs
Фоновая интеллектуальная служба передачиsvchost.exe
-k netsvcs
Диспетчер подключений удаленного доступаsvchost.exe -k netsvcs
Сетевые подключенияsvchost.exe -k netsvcs
Система событий COM+svchost.exe -k netsvcs
Служба обнаружения SSDP svchost.exe
-k LocalService
Служба сетевого расположения (NLA)svchost.exe -k netsvcs
Службы терминаловsvchost -k DComLaunch
Телефонияsvchost.exe -k netsvcs
Windows Audiosvchost.exe -k netsvcs
Доступ
к HID-устройствамsvchost.exe -k netsvcs
Маршрутизация и удаленный доступsvchost.exe -k netsvcs
Оповещатель svchost.exe -k LocalService
Планировщик заданийsvchost.exe -k netsvcs
Служба сообщений
svchost.exe -k netsvcs
------ Итого шесть процессов при работе всех служб -------
Содержание
Во время начала загрузки компьютера нажимаем клавишу F8 . И выбираем "Безопасный режим с поддержкой командной строки" и жмем "Enter"
По окончанию загрузки появится окно "Администратор:cmd.exe" где через клавиатуру введите "regedit.exe" . Снова жмем "Enter" и выходим в "Редактор реестра"
В реестре Windows regedit содержится системная информация и данные об автоматическом запуске программ при старте операционной системы. Тут-то мы и попытаемся найти следы нашего баннера-вируса.
Для нормальной работы ОС необходимо всего 5 файлов в корневом каталоге:
ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Без детального анализа удалять из реестра ничего нельзя. Вы должны быть на 100% уверены, что это именно вирус а не программа которая была загружена в корневую папку. Вирус должен как-то загружаться при старте системы, как правило этот процесс происходит при автозапуске. Поэтому смотрим следующие ключи реестра на предмет подозрительных программ. (А если вы уже нашли вирус, то ищите имя файла везде в реестре и удаляйте):
С самого начала ищем вирус в цепочке:
\WindowsNT\CurrentVersion\Winlogon
Находим в списке запись Shell
(XP) В Windows7 данного раздела нет.
Смотрим: значение параметра, по умолчанию должно быть Explorer.exe , если есть еще что то удаляем.
Теперь находим запись: Usernit (Присутствует в любой версии Windows). В значении данной записи должно быть C:\Windows\system32\userinit.exe Все что есть кроме этой записи – удаляем. Естественно если ос установлена не на диск С то запись будет другая.
Следующим этапом будет редактирование автозагрузки раздела Run .
Ищем и открываем цепочку: HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Run
(данный раздел применителен к Windows 7) В этой ветке можно удалить все, кроме антивирусного программного обеспечения и так же необходимого для вашей работы софта (утилиты для принтера, skype, сканера).
Следующая цепочка: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
Тут делаем то же самое что и в предыдущем пункте.
Возможно нужно будет заменить файл "hosts" который находится по адресу: Откройте Пуск" и введите: %systemroot%\system32\drivers\etc
Копируем стандартный с сайта разработчика http://support.microsoft.com/kb/972034/ru а старый переименовываем hosts.old.
Щелкните правой кнопкой мыши в свободном месте в папке %WinDir%\system32\drivers\etc,
выберите пункт Создать, щелкните элемент Текстовый документ, введите имя hosts/ Откройте новый файл hosts в текстовом редакторе"Блокнот" и скопируйте в файл сохраненный текст с сайта. Перегружаем компьютер.
Иногда бывает, что не требуется искать приложение.ехе в реестре Windows а достаточно только при выходе на рабочий стол произвести быструю проверку "Security Esseentiats" , сделать перезагрузку и когда включится компьютер появится окно, которое указывает имя программы, скажем 2088322.exe, которую защитник Windows не может распознать. Вам нужно будет только записать это значение в "Пуск" - "Найти программы и файлы ", а затем с помощью правой кнопки мышки выяснить адрес этого баннера и удалить его сначала в корзину а потом навсегда.
Если необходимо проверить реестр на исправном компьютере, т.е. когда ОС полностью загружена, не нужно использовать "Безопасный pежим" достаточно набрать в меню "Пуск" команду regedit и кликнуть по открывшемуся файлу, и перед вами откроется "Редактор реестра".
Но что делать если невозможно загрузить ОС в безопасном режиме, как убрать баннер и разблокировать Windows? В этом случае нам нужно прибегнуть к сторонним средствам, одним компьютером тут не обойдешся. Рассмотрим самые лучшие утилиты на сегодняшний день, которые помогут нам разблокировать наш компьютер: "Как удалить баннер если Windows не загружается в безопасном режиме"
Человек это
самый страшный вирус
на планете - Земля.
"inpropart"
Совсем недавно, пару лет назад, кто-то сделал прогноз, что через пару лет ходить по сайтам интернета станет так же опасно, как по темным улицам города. Сейчас компьютерные вирусы стали очень распространены, и это утверждение воплотилось в жизнь.
Вирусами называются компьютерные программы, мешающие продуктивной работе пользователя на компьютере. При заражении компьютера вирусами, вирусы практически всегда прописываются в реестр операционной системы. Компьютерные вирусы могут вызвать: выключение или перезагрузку компьютера, торможение операционной системы, порча и удаление файлов, атаки серверов через интернет, увеличение компьютерного трафика и многие другие действия.
Для того чтобы требуется несколько действий. Требуется очистить оперативную память от вирусов, удалить вирус с жесткого диска и удалить ссылки на вирусы из реестра windows. После требуется установить качественный антивирус, или комплекс антивирусной защиты. Для полной защиты компьютера, для начала, требуется грамотно отремонтировать реестр. Ремонт и анализ реестра производится следующими программами:
AVPTool от Лаборатории Касперского или Dr. Web CureIt от компании Доктор Веб.
Выбор какой программой сканировать ваш компьютер на наличие вирусов зависит от установленного на вашем компьютере антивируса. Проверять следует сторонним антивирусам. То есть если у вас установлен Касперский, то проверять необходимо Доктор Вебом. При проверке сторонним антивирусом, необходимо временно приостановить защиту основного антивируса.
Для , компьютер следует загрузить в безопасном режиме. После этого запустить одну из загруженных утилит. При обнаружении вируса следует его вылечить, либо если лечение невозможно перенести или и ссылки в реестре. После этого перезагрузите компьютер в обычном режиме.
Отключите соединение с интернетом и закройте все открытые приложения. Запустите программу AVZ и обновите базы сигнатуры. Затем запустите сканирование системы. Программа начнет и автоматически исправит ссылки в реестре и удалит вирусы.
Так же можно про сканировать компьютер другой утилитой HiJackThis. Запустите от имени администратора HiJackThis и щелкните по кнопке «Do a system scan and save a logfile».
Для оптимизации операционной системы после , существует множество программ. Многие утилиты ремонтируют реестр компьютера, удаляют ненужные файлы и выполняют дефрагментацию жестких дисков.
При работе с исправлением реестра нужно быть предельно внимательным. Любые неправильные изменения могут привести к неисправности операционной системы, и даже к ее поломке. То есть при неправильных действиях компьютер может не загрузиться.
