В 98% случаев, когда обращаются за моей помощью, мне приходится иметь дело с вирусами. Именно поэтому я решил написать это краткое руководство.

Здесь будут представлены основные шаги поиска и удаления вирусов с компьютера под управлением операционной системы семейства Windows. Для наглядности я продемонстрирую их на двух реальных вирусах, с которыми не так давно имел дело.

Trojan-Ransom.Win32.PinkBlocker.ip – блокирует Диспетчер Задач. В моем случае он работал в паре с вирусом, представленном ниже.

Trojan-Ransom.Win32.PornoBlocker.ko – почти по всей площади экрана отображает окно с порнографическим содержимым, представленным ниже. Окно располагается поверх всех других окон без возможности его закрыть. Содержит сообщение, что-то вроде: «Вы добровольно согласились установить баннер, для получения доступа к нашему порно-сайту, если вы хотите его закрыть – пришлите СМС с сообщением ### на номер ###». Естественно, что вы ничего подобного не хотели. По словам жертвы, заражение произошло на вполне приличном сайте, когда он нажал на ссылку бесплатной скачки фильма.

trojan ransom win32

 

Интересны они тем, что обнаруживаются только антивирусными программами Kaspersky и NOD32.

Итак, приступим.

Что-то делать в условиях, когда вы видите только узкие полоски рабочего стола затруднительно. Зайдем в безопасном режиме.

Для этого перезагружаем компьютер, и как только он начнет загружаться (как только он зашумит) кратковременно периодически часто жмем (тыкаем) клавишу F8 на клавиатуре пока не увидим черный экран со списком вариантов загрузки. Выбираем вариант загрузки в безопасном режиме либо безопасный режим с загрузкой сетевых драйверов, что бы иметь доступ к интернету. Система запустится в безопасном режиме.

В безопасном режиме не загружаются видеодрайвера, из-за чего разрешение экрана может быть меньшим, чем вы привыкли. Но это не страшно.

В безопасном режиме окно вируса не появилось.

Запускаем, заранее скаченный (или скачиваем) Dr.Web CureIt! И проверяем систему.

Dr.Web CureIt! – это бесплатный разовый антивирусный сканер, который можно бесплатно скачать с http://www.freedrweb.com. Я его скачиваю периодически не реже раза в неделю и проверяю свой компьютер, несмотря на то, что у меня уже стоит лицензионный антивирус. Как известно идеальных антивирусов не существует. Доверяй, но проверяй.

Во многих случаях во время этой проверки большинство вирусов будут обнаружены и удалены. Но наши экземпляры не из таких. В ходе проверки ничего не было обнаружено.

В этом случае нужно действовать самостоятельно и вручную удалить вирус.

Для этого в вашем арсенале не лишним будет иметь бесплатную антивирусную утилиту AVZ, которую можно бесплатно скачать с http://z-oleg.com.

AVZ

Перезагружаемся и запускаем систему в обычном режиме (как всегда). Окно вируса появилось. Используя видимые части экрана, запускаем AVZ.

Открываем Сервис – Диспетчер процессов. Это аналог стандартного диспетчера задач.

В нижней части окна диспетчера открываем вкладку «Окна процесса» и, перебирая все процессы, ищем, тот который имеет активное открытое окно примерно в тех же координатах где находится окно вируса. Таким процессом оказался explorer.exe.

Explorer.exe – системная программа. Одними из ее функций являются: отображение стандартного меню «Пуск», рабочего стола, стандартных окон папок (Мои документы и др.) и т.д. Все программы, что вы запускаете, запускаются от имени explorer.exe (он будет их «родителем»).

В диспетчере процессов для explorer.exe в нижней части выбираем вкладку «Используемые DLL». Просматриваем список и выписываем в блокнотик все подозрительные. В утилите AVZ есть список доверенных (хороших, добрых) программ. Они будут выделены зеленым цветом. Их не нужно выписывать.

В нашем случае все было более чем очевидно. Вирус сидел во временной папке:

C:\Document and Settings\User\Local Settings\Temp\teasqga.tmp

В других случаях все будет не так очевидно. И все выписанные программы необходимо будет в безопасном режиме скопировать на «флешку» или другой съемный носитель (если вы будете проверять их на другом компьютере), либо проверить их на текущем в Online антивирусных сканерах, например в Антивирусный сканер Jotti или Virus Total. Обводим в блокноте кружком врагов.

Одного нашли. Остался блокировщик диспетчера задач.

В антивирусной утилите AVZ открываем Сервис – Менеджер планировщика заданий (Task Scheduler). Проверяем всех, кто там есть, так же как и предыдущие. Записываем в блокнот.

В итоге у нас будет список вирусов, которые теперь нужно удалить.

Для каждого вируса в AVZ выполняем Файл – Отложенное удаление файла, указываем место расположения вируса и нажимаем удалить. На предложение удалить его и все его напоминания из системы – соглашаемся.

Перезагружаемся. Готово.

Хочется отметить Лабораторию Касперского. По ссылке Сервис деактивации вымогателей-блокеров можно перейти на страницу, где ввести текст СМС и номер на который вирус предлагает выслать это СМС. Вам будет совершенно бесплатно и легально сгенерирован код деактивации вируса.

Эта статья не является панацеей всех проблем и решает только небольшую часть проблем. Надеюсь, она вам поможет.

Если вы решите воспользоваться методами, предложенными в этой статье, то знайте, что вы их будете использовать на свой страх и риск. Автор предупреждает вас, что не несет какой-либо ответственности за порчу (утрату) ваших данных.

Если вы не являетесь программистом, администратором или на худой конец, хотя бы продвинутым пользователем — настоятельно рекомендую обратиться к специалистам и не пытаться удалить вирус вручную, т.к. это может привести к отказу системы и порче данных.