Комп заражен что делать. Что делать, если ваш компьютер заражен вирусом? Как выглядит веб-вирус

К сожалению, иногда случается так, что установленный в системе антивирус с самыми последними обновлениями не в состоянии обнаружить новый вирус, червя или троянскую программу. Увы — 100% безопасности не гарантирует ни одна антивирусная защита. В этом случае необходимо определить факт заражения, обнаружить вирусный файл и отправить его в антивирусную компанию, продукт которой « проморгал» вредную программу и не смог защитить компьютер от заражения.

Однако в большинстве случаев самостоятельно (без помощи антивирусных программ) заметить факт заражения компьютера достаточно сложно — многие черви и троянские программы никак не проявляют своего присутствия. Бывают, конечно, случаи, когда троянцы явно сообщают пользователю, что компьютер заражен — например, в случаях шифрования пользовательских файлов с последующим требованием выкупа за утилиту расшифровки. Но обычно они скрытно инсталлируют себя в систему, часто используют специальные методы маскировки и также скрытно ведут свою троянскую деятельность. Зафиксировать факт заражения можно только по косвенным признакам.

Признаки заражения

К основным признакам заражения относится увеличение исходящего интернет-трафика — правило справедливое как для индивидуальных пользователей, так и для корпоративных сетей. Если при этом не ведётся активная интернет-деятельность (например, ночью), то это означает, что её ведёт кто-то еще. И, скорее всего, — в злоумышленных целях. При наличии сетевого экрана сигналом о заражении могут являться попытки неизвестных приложений открыть интернет-соединения. Многочисленные рекламные « поп-апы» при посещении веб-сайтов могут сигнализировать о том, что в системе присутствует рекламная система (Adware ).

Частые зависания и сбои в работе компьютера могут также быть вызваны фактом заражения. Однако во многих случаях причина сбоев не вирусная, а аппаратная или программная. Если же похожие симптомы проявляются сразу на нескольких (многих) компьютерах в сети, если при этом резко возрастает внутрисетевой трафик, то причина, скорее всего, кроется в распространении по сети очередного сетевого червя или троянской программы-бэкдора.

Косвенными признаками факта заражения могут являться также симптомы и не компьютерные. Например, счета за телефонные звонки или SMS-сообщения, которых на самом деле не было. Это может говорить о том, что на компьютере или в мобильном телефоне завёлся « телефонный троянец». Если зафиксированы случаи несанкционированного доступа к личному банковскому счёту или факты использования кредитной карты, то это может быть сигналом о шпионской программе, внедрённой в систему.

Возможно, что устарел набор антивирусных баз — необходимо скачать последние обновления и проверить компьютер. Если это не помогло, то, возможно, помогут антивирусы от других производителей. Большинство известных антивирусных компаний выпускают бесплатные версии своих продуктов (пробные версии или одноразовые « чистильщики») — рекомендуется воспользоваться этой услугой. Если вирус или троянская программа обнаружена другим антивирусом — в любом случае зараженный файл следует отослать разработчику того антивируса, который его не определил. Это поможет более оперативно добавить его в обновления и защитить от заражения других пользователей этого антивируса.

Если ничего не обнаружено, то, прежде чем приступить к поиску зараженного файла, рекомендуется физически отключить компьютер от интернета или от локальной сети, если он был к ней подключен, выключить Wi-Fi-адаптер и модем (если они есть). В дальнейшем пользоваться сетью только в случае крайней необходимости. Ни в коем случае не пользоваться системами интернет-платежей и банковскими интернет-сервисами. Избегать обращения к персональным и любым конфиденциальным данным, не пользоваться интернет-службами, для доступа к которым необходимо ввести логин и пароль.

Как найти заражённый файл

Обнаружение вируса или троянской программы на компьютере бывает как задачей непростой, требующей высокой квалификации, так и достаточно тривиальной — в зависимости от сложности вируса или троянца, от методов, которые используются для скрытия вредоносного кода в системе. В « тяжелых случаях», когда используются специальные методы маскировки и скрытия зараженного кода в системе (например, руткит-технологии), непрофессионалу найти зараженный файл не представляется возможным. Данная задача потребует специальных утилит, возможно — подключения жесткого диска к другому компьютеру или загрузки системы с CD-диска. Если же встретился обычный червь или троянская программа, то найти её иногда можно достаточно простыми способами.

Абсолютное большинство червей и троянских программ должны получать управление при старте системы. Для этого в большинстве случаев используются два основных способа:

запись ссылки на зараженный файл в ключи автозапуска системного реестра Windows;
копирование файла в каталог автозапуска Windows.

Наиболее « популярные» каталоги автозапуска в Windows 2000 и XP следующие:

\%Documents and Settings%\%user name%\Start Menu\Programs\Startup\
\%Documents and Settings%\All Users\Start Menu\Programs\Startup\

Если в этих каталогах обнаружены подозрительные файлы, то их рекомендуется незамедлительно отослать в компанию-разработчика антивируса с описанием проблемы.

Ключей автозапуска в системном реестре достаточно много, наиболее « популярные» из них ключи Run, RunService, RunOnce и RunServiceOnce в ветках реестра:

Вероятнее всего там будут обнаружены несколько ключей с малоговорящими названиями и пути к соответствующим файлам. Особое внимание следует обратить на файлы, размещенные в системном или корневом каталоге Windows. Необходимо запомнить их название, это пригодится при дальнейшем анализе.

Также « популярна» запись в следующий ключ:

По умолчанию в данном ключе стоит значение» %1» %*».

Наиболее удобным местом для размещения червей и троянцев являются системный (system , system32) и корневой каталог Windows. Связано это с тем, что, во-первых, по умолчанию показ содержимого данных каталогов в Explorer отключен. А во-вторых, там уже находится множество разнообразных системных файлов, назначение которых для рядового пользователя абсолютно неизвестно, да и опытному пользователю понять является ли файл с именем winkrnl386.exe частью операционной системы или чем-то чужеродным — весьма проблематично.

Рекомендуется воспользоваться любым файловым менеджером с возможностью сортировки файлов по дате создания и модификации и отсортировать файлы в указанных каталогах. В результате все недавно созданные и измененные файлы будут показаны вверху каталога, и именно они будут представлять интерес. Наличие среди них файлов, которые уже встречались в ключах автозапуска, является первым тревожным звонком.

Более опытные пользователи могут также проверить открытые сетевые порты при помощи стандартной утилиты netstat. Рекомендуется также установить сетевой экран и проверить процессы, ведущие сетевую активность. Также рекомендуется проверить список активных процессов, при этом пользоваться не стандартными средствами Windows, а специализированными утилитами с расширенными возможностями — многие троянские программы успешно маскируются от штатных утилит Windows.

Но универсальных советов на все случаи жизни не существует. Часто приходится иметь дело с технически « продвинутыми» червями и троянскими программами, вычислить которых не так просто. В этом случае необходимо обратиться за помощью либо в службу технической поддержки антивирусной компании, защита от которой установлена на компьютере, либо в одну из компаний, специализирующихся на компьютерной помощи, либо попросить помощи на соответствующих интернет-форумах. К таким ресурсам можно отнести русскоязычные www.virusinfo.info и anti-malware.ru, а также англоязычные www.rootkit.com и www.gmer.net. Кстати, подобные форумы, специализирующиеся на помощи пользователям, есть и у многих антивирусных компаний.

К сожалению, иногда случается так, что установленный в системе антивирус с самыми последними обновлениями не в состоянии обнаружить новый вирус, червя или троянскую программу. Увы - 100% безопасности не гарантирует ни одна антивирусная защита. В этом случае необходимо определить факт заражения, обнаружить вирусный файл и отправить его в антивирусную компанию, продукт которой «проморгал» вредную программу и не смог защитить компьютер от заражения.

Однако в большинстве случаев самостоятельно (без помощи антивирусных программ) заметить факт заражения компьютера достаточно сложно - многие черви и троянские программы никак не проявляют своего присутствия. Бывают, конечно, случаи, когда троянцы явно сообщают пользователю, что компьютер заражен - например, в случаях шифрования пользовательских файлов с последующим требованием выкупа за утилиту расшифровки. Но обычно они скрытно инсталлируют себя в систему, часто используют специальные методы маскировки и также скрытно ведут свою троянскую деятельность. Зафиксировать факт заражения можно только по косвенным признакам.

Признаки заражения

К основным признакам заражения относится увеличение исходящего интернет-трафика - правило справедливое как для индивидуальных пользователей, так и для корпоративных сетей. Если при этом не ведётся активная интернет-деятельность (например, ночью), то это означает, что её ведёт кто-то еще. И, скорее всего, - в злоумышленных целях. При наличии сетевого экрана сигналом о заражении могут являться попытки неизвестных приложений открыть интернет-соединения. Многочисленные рекламные «поп-апы» при посещении веб-сайтов могут сигнализировать о том, что в системе присутствует рекламная система (Adware).

Косвенными признаками факта заражения могут являться также симптомы и не компьютерные. Например, счета за телефонные звонки или SMS-сообщения, которых на самом деле не было. Это может говорить о том, что на компьютере или в мобильном телефоне завёлся «телефонный троянец». Если зафиксированы случаи несанкционированного доступа к личному банковскому счёту или факты использования кредитной карты, то это может быть сигналом о шпионской программе, внедрённой в систему.

Возможно, что устарел набор антивирусных баз - необходимо скачать последние обновления и проверить компьютер. Если это не помогло, то, возможно, помогут антивирусы от других производителей. Большинство известных антивирусных компаний выпускают бесплатные версии своих продуктов (пробные версии или одноразовые «чистильщики») - рекомендуется воспользоваться этой услугой. Если вирус или троянская программа обнаружена другим антивирусом - в любом случае зараженный файл следует отослать разработчику того антивируса, который его не определил. Это поможет более оперативно добавить его в обновления и защитить от заражения других пользователей этого антивируса.

Как найти заражённый файл

Обнаружение вируса или троянской программы на компьютере бывает как задачей непростой, требующей высокой квалификации, так и достаточно тривиальной - в зависимости от сложности вируса или троянца, от методов, которые используются для скрытия вредоносного кода в системе. В «тяжелых случаях», когда используются специальные методы маскировки и скрытия зараженного кода в системе (например, руткит-технологии), непрофессионалу найти зараженный файл не представляется возможным. Данная задача потребует специальных утилит, возможно - подключения жесткого диска к другому компьютеру или загрузки системы с CD-диска. Если же встретился обычный червь или троянская программа, то найти её иногда можно достаточно простыми способами.

запись ссылки на зараженный файл в ключи автозапуска системного реестра Windows;
копирование файла в каталог автозапуска Windows.

Наиболее «популярные» каталоги автозапуска в Windows 2000 и XP следующие:

\%Documents and Settings%\%user name%\Start Menu\Programs\Startup\
\%Documents and Settings%\All Users\Start Menu\Programs\Startup\

Ключей автозапуска в системном реестре достаточно много, наиболее «популярные» из них ключи Run, RunService, RunOnce и RunServiceOnce в ветках реестра:

Также «популярна» запись в следующий ключ:

По умолчанию в данном ключе стоит значение «%1″ %*».

Наиболее удобным местом для размещения червей и троянцев являются системный (system, system32) и корневой каталог Windows. Связано это с тем, что, во-первых, по умолчанию показ содержимого данных каталогов в Explorer отключен. А во-вторых, там уже находится множество разнообразных системных файлов, назначение которых для рядового пользователя абсолютно неизвестно, да и опытному пользователю понять является ли файл с именем winkrnl386.exe частью операционной системы или чем-то чужеродным - весьма проблематично.

Более опытные пользователи могут также проверить открытые сетевые порты при помощи стандартной утилиты netstat. Рекомендуется также установить сетевой экран и проверить процессы, ведущие сетевую активность. Также рекомендуется проверить список активных процессов, при этом пользоваться не стандартными средствами Windows, а специализированными утилитами с расширенными возможностями - многие троянские программы успешно маскируются от штатных утилит Windows.

Но универсальных советов на все случаи жизни не существует. Часто приходится иметь дело с технически «продвинутыми» червями и троянскими программами, вычислить которых не так просто. В этом случае необходимо обратиться за помощью либо в службу технической поддержки антивирусной компании, защита от которой установлена на компьютере, либо в одну из компаний, специализирующихся на компьютерной помощи, либо попросить помощи на соответствующих интернет-форумах. К таким ресурсам можно отнести русскоязычные www.virusinfo.info и anti-malware.ru, а также англоязычные www.rootkit.com и www.gmer.net. Кстати, подобные форумы, специализирующиеся на помощи пользователям, есть и у многих антивирусных компаний.

В данной статье рассмотрим ситуацию, когда на компьютере появилось сообщение о том, что на нём обнаружен вирус , он работает медленно или с ошибками, и какие действия пользователь должен предпринять в таком случае, и как обезопасить свои данные от утери .

На самом деле, если пользователь обнаружил сообщение об обнаружении вируса – это хорошо. Это значит, что антивирусная программа обнаружила вирус и скорее всего удалит его без участия пользователя.

Данное сообщение совсем не означает, что компьютер заражен вирусом. Просто вы загрузили или скопировали на компьютер инфицированный вирусом файл и антивирусная программа скорее всего удалила его до того, пока от него начнут появляться проблемы. Таким же образом антивирусная программа может сообщить об обнаружении интернет страницы, которая заражена вирусами и дальнейшее использование которой может привести к возникновению проблем с компьютером.

Другими словами, сообщение об обнаружении вируса при правильном использовании компьютера совсем не означает, что он уже заражен или повреждён. Это означает, что вы не должны пользовать инфицированной страницей или зараженным файлом. Система просто предупреждает вас о возможной проблеме в случае их использования.

Также можно перейти к антивирусной программе и проверить карантин или логи определения вирусов, чтобы посмотреть более детальную информацию о вирусе и о том какие действия к нему были применены.

Если на компьютере не используется антивирусная программа

Если на компьютере не используется антивирусная программа и компьютер начал работать медленно или с ошибками, то существует большая вероятность того, что он заражен вирусами. Также, данная ситуация может произойти в случае использования антивирусной программы с неактуальной антивирусной базой.

Если на компьютере не установлена антивирусная программа, то её необходимо как можно скорее установить. Конечно же, качественных бесплатных антивирусных программ существует не так уж много. Можно рассмотреть одну из них, предоставляемую компанией Microsoft – Microsoft Security Essentials . Данная антивирусная программа защитит и очистит компьютер от вирусов.

Но имейте ввиду, что использование данной программы будет актуально только для версий Windows до 7 (включительно). Начиная с Windows 8, в операционной системе уже предусмотрено использование встроенной антивирусной программы Windows Defender, который уже установлен и готов к работе.

Если антивирусная программа не обнаружила вирус

Если на компьютере установлено антивирусное ПО, но у вас есть подозрения о наличии вирусов, попробуйте установить ещё одну антивирусную программу и проверить с её помощью компьютер.

Некоторые разработчики предлагают антивирусные программы с пробным периодом использования или даже онлайн версии. Используя такие программы можно бесплатно просканировать свой компьютер на предмет наличия вирусов.

Более сложные случаи инфицирования компьютера

Некоторые вирусы и другие типы вредоносного программного обеспечения проникают насколько глубоко в систему, что удалить их оттуда становится довольно проблематично. Особенно антивирусными программами, которые были установлены после заражения компьютера, так как вирусы имели достаточно времени чтобы размножиться и загрузить дополнительное вредоносное ПО.

В таком случае не обойтись без загрузки в Безопасном режиме. Загружаясь в Безопасном режиме, Windows не загружает сторонние приложения (к которым также относятся и вирусы). Таким образом можно запустить антивирусную программу без вмешательства вирусов.

Чтобы загрузиться в Безопасном режиме перезагрузите компьютер удерживая клавишу Shift. Запустите антивирусную программу после загрузки компьютера в Безопасном режиме и перезагрузите его после этого снова.

Если очистка компьютера от вирусов с Безопасного режима не работает, можно также попробовать воспользоваться «Antivirus Rescue Disk» – применяется для проверки и лечения зараженных компьютеров, которые невозможно вылечить с помощью антивирусных программ, запускаемых под управлением операционной системы. Загружая «Antivirus Rescue Disk», антивирусная программа получает чистое пространство для работы с компьютером и очистки его от вирусов, которые в данном случае будут бездействовать.

Как правило, крупные компании разработчики антивирусного ПО имеют среди своих продуктов «Antivirus Rescue Disk».

Если вредоносное программное обеспечение насколько повредило систему, что после удаления вирусов Windows не загружается или продолжает работать неправильно, то можно попробовать сбросить его к заводским настройкам или осуществить чистую установку операционной системы.

Но имейте ввиду, что осуществляя это на компьютере будут

Каждый вебмастер сталкивался с проблемой поиска уязвимых мест своего сайта, с помощью которых злоумышленник может загрузить свой вредоносный код, который так или иначе повлияет на работоспособность всего сайта, вплоть до его исключения из поисковой выдачи.

Чаще всего заражение происходит из-за человеческого фактора, но что делать, если сайт все-таки взломан?

Основные проблемы

Меньшее из зол - это найти и удалить сам вредоносный код. Основная же проблема заключается в поиске того уязвимого места, через которое злоумышленник загрузил свой код на ваш сайт, чтобы обезопасить себя от следующих подобных прецедентов.

Для поиска вредоносного кода написано немало антивирусных программ, создано много сервисов, которые могут указать на адрес зараженной страницы, предоставив даже сигнатуру и исчерпывающую информацию о самом вирусе. Но ни одно программное обеспечение не сможет сказать Вам, как этот «чужой код» появился на сайте. Здесь стоит полагаться только на себя.

Ниже я приведу несколько команд, которые можно применять при поиске зараженных файлов и/или загруженных к Вам на сайт shell-ов/backdoor-ов. Для этого нам потребуется программа Putty и SSH-доступ к сайту.

Поиск зараженных файлов

С помощью нижеперечисленных команд можно найти файлы, содержащие «опасные» элементы, с помощью которых злоумышленник может выполнить вредоносный обфусицированный код.

Вывод файлов будет записан в лог-файл в вашей текущей директории. В каждом файле будет содержаться путь к найденному файлу и строка с подозрительным участком кода.

find /Каталог с сайтом -type f -iname "*" -exec grep -Him1 "eval" {} \; > ./eval.log
find /Каталог с сайтом -type f -iname "*" -exec grep -Him1 "base64" {} \; > ./base64.log
find /Каталог с сайтом -type f -iname "*" -exec grep -Him1 "file_get_contents" {} \; > ./file_get_contents.log

Поиск директорий с полными правами на запись

Следующая команда выводит список директорий, на которых установлены полные права на запись. Именно такие директории используют для заражения сайта.

find ./Каталог с сайтом -perm 777 -type d

Поиск измененных файлов за период

Если Вы знаете когда примерно произошло заражение, можно посмотреть список измененных файлов за последние несколько дней (параметр –mtime -7 указывает на дату изменения отличную от текущей за 7 прошлых дней)

find ./Каталог с сайтом -type f -iname "*" -mtime -7

Что делать, если сайт заражен?

Итак, предположим, что мы нашли зараженные файлы или shell-файл. Перед тем как его удалить/удалить из него вредоносный код, запомните его имя (полный путь), дату изменения/создания файла, его gid и id пользователя (для unix систем), это позволит найти способ его загрузки к нам на сайт. Начнем с пользователя и группы:

Посмотрите, от какого пользователя работает Ваш web-сервер:

ps -aux | grep "apache2" | awk {"print $1"}

Если этот пользователь совпадает с пользователем, создавшим вредоносный файл, то можно предположить, что он был загружен через сам сайт. Если же нет – файл могли загрузить через ftp (мы настоятельно рекомендуем изменить пароли к FTP-серверу и административной панели сайта).

cat ./site.ru.access.log | grep “имя filenameOfShellScript”

И получаем вывод всех запросов к нашему скрипту. По нему определяем userAgent и ip адрес нашего взломщика.

Следующей командой мы получаем список всех запросов, на которые он к нам заходил.

cat ./site.ru.access.log | grep “ip” | grep “userAgent”

Внимательно его проанализировав можно найти уязвимое место на сайте, следует обратить особое внимание на POST-запросы из вывода, с помощью которых мог быть залит вредоносный файл.

Ижаковский Андрей, системный администратор

Иногда случается, что антивирус, сканируя ваш сайт, сигнализирует об угрозах. Это значит, что он заражен вирусом, то есть вредоносным кодом. Из-за вирусов сайт начинает медленнее загружаться, некоторые его скрипты перестают работать. Все это будет сразу же замечено посетителями и их недовольство плохой работой сайта резко возрастет.Если произошло заражение сайта, то для того, чтобы устранить вирус, владельцу сайта нужно понимать, что это такое, откуда оно взялось и как работает.

Что такое вирус и как он заражает сайт?

Вирус – это зашифрованный вредоносный код, внедряющийся в код страницы ресурса. Он часто бывает сформирован в iframe — элементе, который дает внедрить одну страницу в содержание другой. Обычно, iframe внедряет еще более зараженную страницу, код которой ищет уязвимости в браузере и использует их для того, чтобы загружать и запускать файлы вирусов на компьютере посетивших сайт пользователей.

Как правило, большинство вирусов работают по одному и тому же принципу. Оказавшись на компьютере, владелец которого входил на сайт по FTP протоколу, вирус находит реквизиты для входа на этот сайт. Найденные данные отправляются на компьютеры к хакерам. Используя эти реквизиты, хакеры, с помощью роботов, сканируют сайт и ищут корневые файлы. Когда файлы найдены, они загружаются на компьютер хакера, в них добавляется опасный код, и такой зараженный файл отправляется обратно на сайт.

Для владельца сайта такая активность практически незаметна. Он видит лишь авторизацию пользователя и работу с файлами, что обычно и происходит, когда разработчик обновляет ресурс.

Как устранить заражение

Для борьбы с заражением сайта, нужно точно следовать следующим шагам:

Если сайт заражен, то, в первую очередь, он несет опасность для своих клиентов. Для их защиты отключите веб-сервер. После этого, с помощью антивируса, проверьте все файлы веб-сервера, а также смените абсолютно все пароли от всех рабочих станций.
Если у вас имеется резервная копия, созданная до того, как сайт был заражен вирусом, загрузите ее. Обязательно обновите все ПО сайта и изучите уязвимости, исправленные в последних версиях. Это может помочь в поиске причины заражения файлов.
Лишите повышенных полномочий всех пользователей, в которых вы до конца не уверены. Внимательно проверьте, нет ли на вашем сервере веб-шелла, используя который хакеры имеют возможность вносить правки в код вашего ресурса без авторизации.

Поиск опасного кода

Просканируйте все шаблоны, скрипты, базы данных.
Просканируйте конфигурационные файлы.
Проверьте все файлы, размещенные на одном с вами сервере. Быть может, под угрозой находится весь сервер, и дело не только в вашем сайте.

Для более успешного поиска вредоносного кода в зараженных файлах обращайте внимание на следующие особенности:

Вредоносный код отличается от кода в резервной версии. Регулярно сохраняйте резервные копии и используйте системы контроля версий. Это часто облегчает борьбу с заражением.
Код не читается и не имеет четкой структуры.
Время изменения файла и время заражения сайта вирусом совпадают. Этот параметр не всегда объективен, так как время изменения файла может быть подделано самим вирусом.
В коде имеются функции, похожие на вирусный код.

Предотвращение заражения

Бороться с заражением сайта лучше до того, как оно произошло. Для того, чтобы избавиться от всех уязвимостей и минимизировать возможность заражения, следуйте следующим правилам:

Позаботьтесь, чтобы FTP клиенты не имели возможности сохранять пароли.
Регулярно меняйте пароли доступа и не храните их на компьютере.
Уменьшите количество пользователей, которые могут со своих адресов подключаться по FTP.
Все компьютеры пользователей, которые имеют доступ к FTP, должны быть в обязательном порядке оснащены антивирусами и последними обновлениями всех программ.

Если ваш сайт подключен к панели вебмастера и в ней также было сообщение об угрозе, после избавления от нее вам нужно, чтобы Яндекс снял с вашего сайта пометку об опасности. Для этого вы должны отправить соответствующий запрос. Перепроверка будет сделана и без запроса, но времени это займет значительно больше.