Вылечить компьютер своими руками — реально.

Издавна известно, что Антивирус для защиты компьютера — не панацея. Я уверяю, что самое большое зло для компьютера — это пользователь. :) Никакой антивирус не спасает, когда пользователь с умным, или не очень, видом берёт и сам запускает вредоносное ПО, а если оно не запускается, то ставит в антивирусе «разрешить», «запустить» и другие одобряющие вариации. Существует множество программных средств позволяющих уберечь компьютер от заразы! Теперь даже браузер способен подсказывать, что страница какая-то не такая и тем не менее, рядом с кнопкой «покинуть страницу» всегда есть «продолжить просмотр», ибо жалкая машина подчиняется человеку, и если человек хочет загрузить в неё дрянь — он её непременно загрузит! :)

Разумеется, разговор пойдет о семействе Microsoft Windows. Как это ни странно, механизм запуска вредоносного ПО за многие годы практически не изменился. Самих вариаций вирусов, троянов и т.д. великое множество и храниться в системе они могут где угодно, но алгоритм запуска в основном одинаков и, зная его, можно легко изловить вирус голыми руками, чем вызвать восхищение у изумлённой публики. :) Идея такова, что вредоносное ПО, где бы оно ни лежало не может быть запущено само по себе. Ведь Windows не запускает все подряд при загрузке — запускаются только службы и файлы на которые есть ссылки для запуска, а ссылки для запуска, в свою очередь, лежат в строго регламентированных местах.

Прежде чем приступить к практической части, я процитирую support.microsoft: «Неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому при выполнении этих действий рекомендуется строго соблюдать инструкции.» В общем, не уверен — не обгоняй. А если всё-таки хочется попробовать, то при изменении/удалении ветки реестра, или параметров ветки, нужно сделать экспорт данной ветки, в параметрах которой производятся изменения, или когда есть желание её удалить целиком. Сделать это можно кликнув правой кнопкой мыши на ветку и выбрав «Экспортировать». Далее можно пометить это событие чёрной меткой на календаре и если, что-то пошло не так, вспомнить: «Ах, да! Ведь я того числа удалял что-то из реестра, — дважды кликнуть на экспортированный файлик и всё вернется на круги своя.

Приступаем

Когда меня просят посмотреть на комп, который стал вдруг вести себя как-то странно, тормозить, виснуть и т.д., первым делом, я нажимаю WIN+R (WIN — кнопка с флажком), ввожу команду «regedit» и смотрю параметры запуска ОС в нескольких ветках реестра, отвечающих за запуск программ при загрузке ОС. Всё это происходит быстро и на автомате, но для новичков считается мерой крайне опасной. Вот из-за последнего, постараюсь подробно описать, что и где нужно искать. Обо всём по порядку:

Запускаем редактор реестра — нажав одновременно WIN+R, набираем «regedit» и жмем ОК.

запуск редактора реестра

Далее я буду приводить скриншоты со свежеустановленной ОС Windows XP SP3, а вы сверяйте их с тем, что есть у вас. :) Нас интересует содержимое этих веток:

1. HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon

Вообще, ветка HKEY_LOCAL_MACHINE (HKLM) содержит параметры конфигурации, относящиеся к компьютеру целиком. Т.е. к любому пользователю, можно сказать, т.к. сначала выполняются параметры запуска компьютера, а уж потом пользователя.

Вот так выглядит этот раздел реестра в свежеустановленной Windows XP SP3:

HKLM-Software-Microsoft-Windows NT-CurrentVersion-Winlogon

Здесь нужно обратить внимание на то, что параметр «Shell» всегда должен быть равен значению «Explorer.exe», а у параметра «Userinit» в значении должен быть путь до файла «userinit.exe», находящегося в системной папке Windows\System32. Если после запятой («…\userinit.exe,») продолжаются ещё какие-то перечисления ссылок, то с большой вероятностью это ссылки на запуск вредоносного ПО и всё, что после запятой можно смело удалить. Что же случится, если Explorer.exe и userinit.exe отсутствуют, или повреждены?

Explorer.exe — это пользовательская оболочка для работы с ОС (рабочий стол, меню Пуск). В случае его отсутствия при входе в учетную запись пользователя будет просто пустой экран с курсором мыши. В этом случае можно переписать файл «explorer.exe» с «живого» компьютера с аналогичной ОС. Отсутствовать он может, например, потому что был заражён и удалён в дальнейшем в результате лечения антивирусом. Замечу, что отсутствие рабочего стола не делает невозможным копирование файлов и запуск программ. Например, можно нажать сочетание клавиш CTRL+SHIFT+ESC — запустится «Диспетчер задач Windows», в нём выбрать «Файл -> Новая задача (Выполнить…) -> Обзор», и тут уже можно выполнять операции с файлами, как в проводнике (переименовывать, копировать, перемещать, удалять, назначать разрешения, открывать общий доступ к папкам), а также запускать программы.

userinit — файл, отвечающий за загрузку учётной записи пользователя. В случае его отсутствия при попытке входе в учетную запись пользователя сразу же будет осуществлено завершение сеанса пользователя. Файл также можно переписать с рабочего компьютера с аналогичной ОС.

2. HKLM/Software/Microsoft/Windows/CurrentVersion/Run

В этом разделе указаны ссылки на автозапуск программ при запуске Windows. Вот как он выглядит:

HKLM-RunНа только что установленной ОС в нём нет ровным счётом ничего. :) Не стоит пугаться если у вас в этом разделе пруд пруди значений с какими-то ссылками — много полезных программ любят запускаться при запуске Windows и некоторым из них действительно лучше позволить запускаться. С опытом придёт понимание того, что нужно, а что нет, а пока можно каждую программу забивать в поиск Google, читать описание и делать вывод — нужна она вам в автозапуске, или нет. Допустим, видите вы там какой-нибудь параметр типа «nwiz» со значением «C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet» — забиваете в Google nwiz.exe и узнаете, что это часть программы Nvidia Nview для управления графическим ускорителем. Далее решаете — нужна она вам в автозагрузке, или нет (я бы оставил, если в компьютере есть видеокарта от nvidia). Вирус же обычно имеет название запускающего файла из случайного набора букв и запускается откуда-нибудь из временной папки пользователя. Например, параметр со ссылкой наподобие этой: «C:\Documents and Settings\User\Local Settings\Temp\a6b43fgbn.exe», — я бы удалил не задумываясь. :) Но не теряйте бдительность — кроме названий обращайте внимание и на путь к файлу. Тот же nwiz.exe, если он лежит не в Program Files\NVIDIA Corporation\nView, скорее всего, не тот за кого он себя выдает. ;)

3. HKCU/Software/Microsoft/Windows NT/CurrentVersion/Winlogon

Ветка HKEY_CURRENT_USER, как видно из названия, содержит параметры текущего пользователя. Раздел Winlogon в частности дополняет Winlogon из HKLM (из первой рассматриваемой ветки), но параметрами применимыми к пользователю, а не компьютеру, как в первом случае. Здесь редко что бывает плохого, но всё-таки иногда бывает, поэтому привожу скриншот того, как он должен выглядеть:

Ничего лишнего. Как-то встречал тут добавленную строчку с Scheduler’ом а в ней путь на запуск вредоносного ПО.

4. HKCU/Software/Microsoft/Windows/CurrentVersion/Run

Раздел Run здесь аналогичен разделу Run в ветке HCLM, но на этот раз применительно к параметрам пользователя, а не компьютера. Также, не густо — лишь ссылка на автозапуск CTFMON.EXE, отвечающая за запуск языковой панели Windows в системном трее (той самой синей переключалки RU/EN).

Команда «msconfig»

Совокупность Run’ов из веток HKLM и HKCU можно в увидеть настройках системы, в закладке «Автозагрузка». Для запуска настроек системы нажмите WIN+R, наберите «msconfig«и нажмите ОК.

В автозагрузке указаны: «Элемент Автозагрузки» (название файла), «Команда» (путь к запуску файла и дополнительные ключи запуска) и «Расположение» (место, где прописана эта ссылка на автозапуск).

На скришноте выше мы видим только ctfmon, ссылка на запуск которого хранится в ветке HKCU\SOFTWARE\Microsoft\CurrentVersion\Run, а вообще расположение может быть в:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Эти две ветки реестра мы рассмотрели выше. Их редактирование через настройки системы невозможно, но возможно отключать отдельные строки, или отключать/включать все их разом. Отличное решение для слабаков для людей, которые неуверенно себя чувствуют при редактировании реестра вручную. ;)

Startup
Программы из автозапуска — Меню Пуск -> Программы -> Автозагрузка

Common Startup
Также программы из автозапуска в меню Пуск, но прописаны не для конкретного пользователя, а для All User (т.е. выполняется для всех существующих пользователей и новых в том числе)

Несколько примеров ссылок на автозапуск нежелательного ПО

Приведу пару примеров из личного опыта, дабы показать описанное на практике:

Настройка системы - Автозагрузка

Сразу же можно отключить запуск процесса «userwook.exe». Во-первых ни одна уважающая себя программа не будет запускаться из временного каталога (Temp), во-вторых google и другие поисковики также не оправдывает её существования — там нет вообще никакой информации об этом процессе. Следовательно — какая-нибудь дрянь-однодневка, даже непопулярная в вирусных кругах. :) Можно ещё заподозрить процесс reboot.exe, но место жительства у него порядочное (Program Files), к тому же я сам ставил эту программу и знаю, что это не вирус. ;)

На следующем скриншоте мы с изумлением можем рассмотреть непонятный процесс, подгружающийся после userinit.exe в ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:

Дважды кликаем на эту строчку и удаляем всё, что после «…/userinit.exe, «. Клиент, кстати, жаловался на жуткие тормоза — помогло. :) Можно ещё сходить по этой ссылке и удалить сам файл, но он уже и так не запустится, коль нет на него ссылки в автозапуске.

Резюме

А под эпилог расскажу-ка я вам одну шокирующую весть. На сам деле, можно жить и без антивируса, при этом не нахватав никакой дряни! O_o Сам так пробовал — жил «голый» со встроенным брандмауэром целый год, пока не появился халявный Microsoft Security Essential. Ну нахаляву-то можно и поставить. :) Нет, я ни в коем случае не пропагандирую отказ от антивирусов, но! Если воспитать в себе аккуратность, не тыкать куда попало, не открывать флэшки автозагрузкой, не ставить программы по умолчанию (как многие любят: «далее, далее, далее, готово!»), а всегда в расширенных настройках смотреть, что она предлагает, то вирусу крайне тяжело будет попасть к вам на компьютер. Ведь он не может сам по волшебству взять и запрыгнуть — запрыг этот инициирует сам пользователь. Можно даже на порносайты ходить и при этом не поймать смс-блокер с просьбой оплатить просмотр гей-порно. :) Если же всё-таки пришла беда к вам в дом, то пусть даже эта статья и описывает не все возможные пути лечения, но логика, здравый смысл и поисковые системы помогут вам избавиться от любой заразы!

Запись опубликована в рубрике IT, Главная с метками . Добавьте в закладки постоянную ссылку.

3 комментария: Вылечить компьютер своими руками — реально.

  1. AVSh говорит:

    Могу даже сказать — антивирус — зло!!! Он НЕ защищает от новых вирусов, он удаляет полезные файлы (кейгены, унлокеры и т.п). Грамотному пользователю он не нужен — а неграмотному — как бульдозер пятилетнему. Dixi!

  2. DCat говорит:

    У меня стоит Dr.Web…
    За последний год всего один раз сработала сигналка на зараженную флэшку. Так что даже трудно сказать за что конкретно я плачу — за защиту или за спокойствие.
    Антивирус — мера предосторожности. Страховка.

    Все что автор описал — касается не только вирусов, но и программ, весьма безопасных, которые устанавливаются без ведома юзера. Виджеты каких-нибудь сайтов, Тулбары разные и прочая фигня, которую обычные юзеры откуда-то берут =)

    • Modicus говорит:

      Абсолютно верно про тулбары и виджеты! Бывало, открываешь IE у пользователя, а там половину браузера занимают тулбары. Всякие там яндекс-бар, google, rambler, какое-нибудь радио tipatop… А пользователь сидит и проклинает почем зря «тормозной IE», утверждая, что ничего этого он не ставил. Да ставил! :) Просто, опять же, всегда расширенную установку нужно выбирать в которой и видно, что кроме нужной программы в установке ещё и ненужная дрянь бывает. Есть вообще очень наглые надстройки. Например, при установке по умолчанию qip, в IE кроме qip-поиска будет ещё утверждение: «Internet Explorer предоставлен: QIP.ru» — то-то Microsoft бы удивилась. :) Тулбары, конечно, бывают и полезные, но выбирать их нужно вдумчиво и с опаской — любая надстройка делает браузер более тяжелым. В общем, это целая отдельная тема для статьи. :)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *