Căutarea și îndepărtarea manuală a virușilor
Căutarea și îndepărtarea manuală a virușilor
[Sistem de analiză]
Este logic că, pentru a detecta și elimina malware-ului
impune existența unui astfel de program. Prevenirea rămâne prevenirea,
Vorbim despre asta mai târziu, dar este necesar să se stabilească mai întâi dacă o chestiune are
viruși de calculator, în general. Pentru fiecare tip de malware în consecință
Ea are propriile sale simptome, care sunt uneori vizibile cu ochiul liber, uneori invizibile
la toate. Să vedem ce sunt toate simptomele de infecție. din moment ce
Este vorba despre un calculator conectat la rețeaua globală, primul simptom
este rata excesiv de rapidă, de regulă, trafic de ieșire este
Aceasta se datorează faptului că mulți viermi de Internet efectua funcții DDoS-
mașini, sau pur și simplu roboții. După cum este bine cunoscut. DDoS valoare atunci când un atac de ieșire
Traficul este cantitatea maximă de trafic pe unitatea de timp. Desigur, pe
Gigabit link-uri nu poate fi atât de vizibil în cazul în care atacul este DDoS
lățime cu conexiune dialup, dar de obicei prinde retardarea ochi
sistem la deschiderea de resurse pe Internet (aș dori, de asemenea, să se constate că
du-te despre virusuri, care sunt cel puțin așa cum se ascunde de sistem, pentru că nu este necesar
pentru a explica ceva, dacă vă aflați în folderul Startup că fișierul este kfgsklgf.exe
prins de un firewall, etc). următor de pe listă, este imposibil de a merge mai departe
Multe site-uri ale companiilor antivirus, funcționarea defectuoasă a programelor plătite, cum ar fi CRC-
eroare, acest lucru se datorează faptului că destul de mulți protectori comerciale
sprijină funcția de paritate sau integritatea fișierului executabil (și nu
Numai protectori, dar dezvoltatorii înșiși de protecție) a fost făcut pentru a proteja
Programul de la rupere. Să nu vorbim despre eficiența acestei metode împotriva
biscuiti si reverser, dar este de semnalizare la infectii virale se poate
Acesta funcționează perfect. Taxa pentru incepatori nu virmeykerov pentru a ucide procesele care
că este sfârșitul unei perioade lungi atunci când opriți sau reporniți computerul
un proces, sau chiar computerul îngheață în timpul opririi. cred că
despre procesele nu trebuie să spun, de asemenea, și despre folderul Startup, dacă există
ceva ciudat sau nou, este posibil să aveți un virus, dar despre asta mai târziu.
repornire calculator frecvente, plecari de pe Internet, finalizarea anti-virus
server de actualizare software de sistem Microsoft nu este disponibil, inaccesibilitate
site-uri ale companiilor antivirus, eroarea atunci când actualizarea antivirus cauzate de erori
schimbări în structura programelor plătite, ferestre de mesaje, că fișierele executabile
deteriorat, apariția unui fișier necunoscut în directorul rădăcină, aceasta este doar o scurtă
Lista de simptome ale mașinii infectate. În plus față de malware directe
există așa-numitele software de spionaj, sortează
keyloggers, chei electronice amortizoare, „ajutoare“ nedorite în browser.
Sincer, în metoda de detectare poate fi împărțită în două opuse
tabără. Să presupunem keylogger bibliotecă dinamică atașată la carcasă
sistemul de operare găsit pe zbor este foarte dificil, și dimpotrivă, știe
de la asistent grefată (plug, șir de căutare, etc) la internet Explorer'u
(De obicei) frapant imediat. Deci, cred că e timpul să plece
această notă pesimistă și du-te la practica realistă de detecție și
dezactivați software-ul rău intenționat.
Și, în sfârșit, a treia cale este de a atașa biblioteca standard
programe de sistem de operare, cum ar fi explorer.exe și iexplorer.exe, pur și simplu scriind mai mult
plug-in-uri pentru aceste programe. Aici, din nou, există câteva moduri, este atașamentul față
folosind un BHO (despre metoda de atașare a scris Gorlum, am profit de această ocazie pentru a
salut la el și onoare) și punerea în aplicare doar a bibliotecii sale într-un fișier executabil.
diferență ceea ce am înțeles este că obiectul Browser Helper a fost descris și a propus
corporația în sine M $, și este folosit ca un plug-in pentru browser-ul, și introducerea
biblioteci - nu este atât de mult un plug-in, dar ca un program de sine stătător,
Este mai mult ca un fișier infector de anii anteriori.
Eu vă dau pentru cheile de registry de formare generale, care pot fi înregistrate
mărfurilor de proastă calitate, sub formă de bare de instrumente, butoane și pagini de pornire
browser-ul.
acasă
HKEY_CURRENT_USER \ Software \ parametru Microsoft \ Internet Explorer \ Main StartPage.
HKEY_USERS \ S-1-5-21-. \ Software \ parametru Microsoft \ Internet Explorer \ Main StartPage
(S-1-5-21-. Această cheie poate fi diferit pe mașini diferite)
obiecte de înregistrare în jurnal, cum ar fi butoane, bare de instrumente, etc.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ Browser
Obiecte Helper \
Aici se înregistrează toate „ajutoare“ și dacă cei care nu aveți must cheie
să fie gol, în cazul în care nu este gol, apoi se scoate.
Deci, dacă nu sunt corect cu aceste chei, și doriți să înțeleagă
în continuare, atunci nu căutați mai departe.
[În final]
Aici aș dori să menționez câteva lucruri în cele din urmă.
În [Anexa B] voi da o listă de servicii de rețea standard și protocoale
Ferestre cu dorințele ce să păstreze și ce să interzică. Anexa B acum
se așteaptă finalizate în zilele următoare.
[Multumesc]
Aș dori să-și exprime recunoștința față de toți oamenii pe care îi vorbesc pentru ceea ce sunt.
Și, ca oameni care au avut o influență asupra mea în nici un fel și ceva trimis la calea
ME reală
1dt.w0lf, MozgC, Mario555, c0Un2_z3r0, _4k_, Foster, etc.
[Anexa A]
Listă svhost.exe (WinXP) servicii de sistem
Am uitat hiberfil.sys, care pot fi prezente și în rădăcina unității pe care sistemul de operare.
Dacă aveți experiență cu debugger, cum ar fi SoftIce puteți seta un punct de întrerupere privind accesul la registru (RegSetValueA BPX, BPX RegSetValueExA) și urmăriți ce program, în afară de standard, face referire la registru.
Pentru a face acest lucru, am fugit PETools și vizionat doar ceea ce biblioteca utilizează browser-ul. M-am întors în fața succesului virmeykera neglijente, pe fondul sistemului
Biblioteci de la% SYSTEMROOT% sported unele cale smt.dll, trecut, undeva în
TEMP.
Despre pachet / virus de codificare se aplică nu numai la
biblioteci, dar toate fișierele de sistem.