64 битная система и ее вирусы

Файловые вирусы уже хорошо известны и давно изучены, но подобные инфекторы, в абсолютном большинстве случаев, нацелены на модификацию 32-битных файлов. Одно из таких семейств — Expiro (Xpiro) было обнаружено достаточно давно и мало чем может удивить сегодня. Однако недавно нашей антивирусной лабораторией была обнаружена новая модификация Expiro, которая способна заражать 64-битные файлы. Кроме того, тело этой модификации является универсальным и полностью кроссплатформенным, так как может заражать 32-битные и 64-битные файлы (и наоборот, т. е. из зараженных 32-битных файлов заражать 64-битные). В нашей системе именований вирус получил название Win64/Expiro.A (aka W64.Xpiro или W64/Expiro-A). При этом 32-разрядные зараженные файлы обнаруживаются как Win32/Expiro.NBF.

Само тело вируса, в 64-битном зараженном файле, представляет из себя добавленную в конец исполняемого файла новую секцию .vmp0 размером 512 000 байт (на диске). Для передачи управления на основное тело вирус вставляет вредоносный стартап-код размером 1269 байт на место точки входа. При этом оригинальные байты переносятся в начало .vmp0 секции. Этот стартап-код представляет из себя распаковщик для основного кода, который располагается в секции вируса. Ниже на скриншоте представлен шаблон стартап-кода, который будет записан на место точки входа 64-битного файла при заражении.

При формировании этого кода для заражения, часть данных инструкций будет перезаписана, таким образом обеспечивается уникальность данных оригинальной секции .vmp0. При этом изменению подвергаются инструкции типа add, mov или lea, в которых фигурируют непосредственные смещения (immediate). В конце кода добавляется инструкция перехода к распакованному коду секции .vmp0.

Аналогичный код стартапа для 32-битных файлов также располагается в секции .vmp0 и имеет вид.

Что в 32-битном варианте выглядит так:

Размер этого стартап кода в 64-битном варианте равен 1269 байт, а в 32-х 711 байт.

Вирус заражает исполняемые файлы, проходя рекурсивно по директориям логических дисков, при этом заражение исполняемого файла происходит с применением создаваемого .vir-файла, в котором вредоносный код формирует новое содержимое файла, а затем записывает его в инфицируемый файл блоками по 64K. Если вирус не может открыть файл на чтение/запись, он пытается изменить у него дескриптор защиты и информацию о владельце (owner).

Не являются исключением для заражения и подписанные исполняемые файлы. После заражения такого файла, он перестает быть подписанным, так как вирус записывает свое тело после последней секции, где в оригинальном файле располагается оверлей с цифровой подписью. Кроме этого, вирус корректирует значения поля Security Directory в Data Directory, выставляя поле RVA и Size в 0. Соответственно, в дальнейшем, такой файл также может быть исполнен, поскольку лишен любой информации о цифровой подписи. Ниже показаны различия в оригинальном и зараженном 64-битном файле, который снабжен цифровой подписью. Слева в модифицированной версии видно, что на месте оверлея начинается секция .vmp0 и оригинальные байты точки входа.

Для поддержания своего присутствия в системе, Expiro создает два мьютекса с именем gazavat.

Кроме этого, сам процесс инфектора можно определить в системе по большому количеству операций ввода-вывода и прочитанных/записанных байт. Так как вирусу нужно просмотреть все файлы в системе, процесс заражения может занять длительное время, что также является симптомом присутствия подозрительного кода в системе.

В теле вируса используется обфускация при вызове различных API и передачи им значений, смещений строк и прочего. Например, в следующем коде, при передаче аргумента SERVICE_CONTROL_STOP (0x1), в функцию в API advapi32!ControlService, которая используется для отключения сервисов, используется арифметика из зарезервированных констант.

Этим кодом вирус пытается отключить следующие сервисы: wscsvc (Windows Security Center), windefend (Windows Defender Service), MsMpSvc (Microsoft Antimalware Service), NisSrv (часть Microsoft Antimalware).

В качестве полезной нагрузки вирус пытается установить расширения для браузеров Google Chrome и Mozilla Firefox. Манифест-файл для устанавливаемого расширения Chrome выглядит следующим образом:

В директории с расширениями, каталог этого плагина будет называться dlddmedljhmbgdhapibnagaanenmajcm. Расширение использует для своей работы js-срипты background.js и content.js. После деобфускации шаблон background.js имеет вид.

В переменной HID сохраняется идентификатор системы, с ее версией и Product ID. Переменная SLST содержит список доменов, которые используются для перенаправления пользователя на вредоносные ресурсы, часть из них перечислена в переменной SLST.

Манифест расширения для Mozilla Firefox выглядит следующим образом.

Часть кода из скрипта content.js, которая отвечает за парсинг элементов форм.

Метод заражения исполняемых файлов является очень эффективным вектором распространения вредоносного кода. Описанная модификация Expiro представляет из себя серьезную угрозу как для домашних пользователей, так и для работников компаний. Поскольку вирус заражает файлы и на локальных дисках, съемных устройствах и по сети, эпидемия может принять довольно серьезные масштабы. В случае с Expiro дело ухудшается тем, что если в системе остается хотя бы один зараженный файл, который будет исполнен, процесс тотального заражения дисков начнется снова. С точки зрения доставки полезной нагрузки файловый инфектор является также довольно предпочтительным вариантом именно в виду активности распространения своего тела.

Все мы привыкли к мнению, что без антивируса, а еще лучше Internet Security безопасная жизнь на винде невозможна. Хочешь обойтись без него — добро пожаловать на Linux или OS X. А так ли это на самом деле? Давай проверим на практике! Подопытных систем у нас будет две: Windows 7, потому что она крутая и вообще респект ей, и Windows 10, потому что ее агрессивно продвигает Microsoft, всегда есть шанс на нее случайно обновиться :), да и, так или иначе, все равно пользователи винды на нее рано или поздно пересядут.

Наш план

Мы возьмем две чистые системы — Windows 7 SP1 и Windows 10 со всеми последними обновлениями, которые только будут найдены. Стандартные средства (вроде защитника Windows) будут выключены, сторонние антивирусы — не установлены. После этого будем открывать инфицированные документы и проверять улов. Для проверки будет использоваться не требующий установки сканер от Dr.Web (CureIt) — это гарантия того, что ни один антивирус не будет запущен в реальном времени.

Начинаем издалека: старые вирусы

Однажды я разбирал свои архивы и очень удивился, когда увидел бурную реакцию современного антивируса на старые вирусы и даже asm-файлы. Понятное дело, что от asm-файлов ничего хорошего ждать не приходится :), но DOS-овским вирусам-то за что досталось? Простая программистская логика подсказывает, что вирусы времен DOS — Windows 98 современной винде не страшны. Но проверим!

Я достал старый архив Live Viruses 3732 for Anti-Virus Testing и начал их запускать. Ничего не вышло — старые вирусы несовместимы с семеркой. Логика победила!

Старые вирусы не запускаются

Подобный тест в десятке проводить не стану — и так понятен его результат.

Cтарые вирусы новым системам не страшны. В антивирусных базах современных защитничков они присутствуют исключительно как балласт и дань традициям.

Посещаем неблагонадежные сайты

Подобно Семену Семеновичу Горбункову, который искал неприятности на свой гипс, посещая всевозможные места, мы займемся тем же самым, но в виртуальном мире. В этом тесте ось будет со всеми апдейтами, в качестве браузера — Chrome, а вот антивируса не будет.

Для начала я стану щелкать по всем подряд рекламным баннерам. Chrome (для большей правдоподобности использую его, а не IE) помогает в обеспечении безопасности — он то и дело закрывает различные всплывающие окна, в одном из них как раз может быть вирус. URL специально затерт, дабы не делать бесплатной рекламы сайту.

Блокировка всплывающих окон

Похоже, что от перехода по рекламным баннерам никакой вирус в моей системе не поселился. Поэтому пришлось искать списки сайтов, явно распространяющих вирусы. И такой список я нашел. Далее все просто: буду заходить на сайты из списка (не на все, а выборочно) — посмотрим, что из этого выйдет.

Совсем уж неблагонадежный сайт

После перехода на сайт всплывающие окна размножаются быстрее, чем кролики. Браузер их блокировал, а я, в свою очередь, снимал блокировку :). Не знаю, инфицирован компьютер или нет, но Chrome повис намертво. Пришлось убить процесс. Ура! Троян HTML:Popupper-B оказался сильнее моего Chrome.

Размножение всплывающих окон

Интересно, что Chrome ругается не на все вирусы из списка — то ли с определенных сайтов был удален вредоносный код, то ли их просто нет в базе Chrome. Был бы установлен антивирус, можно было бы сказать конкретнее.

После нескольких часов странствий в интернете я решил оценить улов и запустил сканер CureIt. Увы, все мои старания тщетны: вирусов не найдено.

Вирусов нет

Призываем на помощь родственников

Родственники! Вот по-настоящему надежный источник! Несколько часов я серфил самые подозрительные сайты, пока не вспомнил про компьютер, который в основном используют жена с дочкой и на котором уже год как не установлен какой-либо антивирус.
Загружаю CureIt на него и жду, пока он просканирует все диски. Увы, результат такой же. Вирусов нет.

Родственники не помогли. Малварь пока не поймана.

Призываем на помощь коллег

Я кинул клич и спустя несколько дней получил отличную подборку современной малвари от нуля до десяти лет выдержки: 139 файлов, из них 118 инфицированных документов (doc и PDF), остальное — EXE.

В качестве офисного пакета будет использоваться Microsoft Office 2013 SP1 — не самая новая, но и не самая старая версия MS Office. Думаю, что далеко не все перешли на 2016, поэтому и рассматривать ее пока нет смысла. Обрати внимание, что Microsoft Office все-таки отягощен сервис-паком.

Методика следующая: сначала я буду открывать инфицированные документы Word, потом — PDF, а уже потом — EXE. После каждой группы файлов система будет проверяться с помощью CureIt (если, конечно, выживет).

Прежде чем начну, скажу пару слов о защитнике Windows в десятке. Фича не новая — она есть и в семерке. Но вот в десятке это, похоже, полноценный антивирус. Сначала я забыл отключить в Windows 10 встроенный антивирус — защитник Windows. На удивление он отлично отработал (как выяснилось, в семерке он тоже был включен, но никаких уведомлений от него я не получал).

Защитник Windows обнаружил вирус

Параметры защитника Windows

Потом для чистоты эксперимента пришлось отключить штатный антивирус и заново распаковать архив с вирусами — некоторые антивирус уже успел уничтожить. Самое интересное, что после перезагрузки защита снова включается, хочешь ты этого или нет. Поэтому при написании статьи (когда дело дошло до EXE-файлов) случился небольшой конфуз. После успешного инфицирования десятки я запустил CureIt, но он работал настолько медленно (ведь параллельно оставались запущенными десятки вирусов), что мне пришлось перезагрузить комп. А после перезагрузки обнаружилось, что вирусов нет. Куда они подевались? Штатный антивирус успел их обезвредить, пока я отлучился от компа.

Документы Microsoft Word

Инфицировать систему документами Microsoft Word не выйдет, если не включать макросы. На скрине ниже показано типичное содержимое такого документа — мол, контент не виден, пока не включите макросы. По умолчанию выполнение макросов отключено.

Хороший ответ 4

Геееееееениально. Море инфы.

Хороший ответ 1

Для удаления программы в ОС Windows необходимо войти в Панель управления, затем в пункт "Программы и компоненты", В появившемся окне из списка выбрать необходимое ПО и нажать "Удалить".

Хороший ответ 5 5

Обратите внимательно, это ВАЖНО!

Метoд лечения зависит oт прoявлений вируса:

• хирургический;
• кoнсервативный;
• нетрадициoнный;
• радиoхирургический.

Врачи предлагают метoды лечения вируса папиллoмы и удаления нарoстoв:

• Криoдеструкция жидким азoтoм. Пoсле замoраживания oбразуется пузырь с серoзнoй жидкoстью, егo вскрывают и oбрабатывают зеленкoй.
• Электрoкoагуляция (прижигание). Пoсле прoцедуры пoявляется сухая кoрoчка, кoтoрая сама схoдит через неделю.
• Плазменная кoагуляция. Лечение этим метoдoм буквальнo раствoряет нарoст и oказывает бактерициднoе действие.

Лазерная хирургия – эффективный спoсoб удаления нoвooбразoваний. Лазерные лучи запаивают стенки крoвенoсных сoсудoв вoкруг папиллoмы, предoтвращают крoвoтечения и oбеззараживают oбрабoтанный участoк кoжи. Если размер папиллoмы дo 5 мм, врач ее удалит без oжoгoв или рубцoв. Если нарoст был бoльшим, на теле женщины мoгут oстаться небoльшие шрамы, слабoпигментирoванные пятна.

Электрoкoагуляция – метoд удаления папиллoм электрическим тoкoм нужнoй частoты. Электрoд нагревается дo 70-80°, вызывает oжoг папиллoмы, прижигает сoсуды, предoтвращает крoвoтечение.

• Oбразуется струп, кoтoрый мoжнo oбрабатывать слабым раствoрoм марганца; через пару недель oн oтпадет. Инoгда электрoд в фoрме петли набрасывается на папиллoму на нoжке, и нарoст срезается.
• Хватит oднoгo сеанса электрoкoагуляции, чтoбы избавится oт папиллoмы.
• Лечение кoндилoм пoсредствoм электрoкoагуляции испoльзуется при удалении бoрoдавчатых элементoв на шейке матки и oбразoваний в интимных местах. Oсoбеннoсть папиллoм в гинекoлoгии в тoм, чтo эти нарoсты oбразуют целые кoлoнии благoдаря влажнoй среде oбитания.

Шейка матки не имеет бoлевых рецептoрoв, анестезия не требуется.

Аптеки предoставляют бoльшoй ассoртимент эффективных прoтивoвирусных препаратoв для лечения инфекции. Иммунoмoдулятoр Аллoкин-альфа пoказан женщинам, кoтoрые заражены ВПЧ высoкoгo oнкoгеннoгo риска.

При внутривеннoм введении средствo бoрется с патoгенным вирусoм. Так же действует Грoпринoзин и таблетирoванные аналoги Панавир, Эпиген интим. Спрей, мазь, суппoзитoрии Виферoн oстанавливают развитие патoгеннoй инфекции.

Пo назначению врача мoжнo принимать Генферoн – мoщнoе средствo терапии и пoвышения иммунитета.

1. Бактерициднoе и прижигающее действие раствoра ферезoла действеннo прoтив бoрoдавoк и генитальных кoндилoм. Применяют oстoрoжнo, пoтoму чтo препарат мoжет oставить следы и рубцы на теле. Нoвooбразoвание на тoнкoй нoжке исчезнет, если ферезoл нанести на верхнюю часть нарoста на 45 минут.Прoделывать прoцедуру неoбхoдимo 5 дней.
2. Ляписный карандаш нейтрализует папиллoмавирус нитратoм серебра за неделю. Если нарoсты небoльшие, прижигание этим препаратoм пoлнoстью удалит патoлoгический oчаг и oчистит телo oт папиллoм. Прoцедуру прoделывают 1 раз через 10 дней в течение месяца.Лечение ляписoм мoжет oставлять oжoги и шрамы, пo этoй причине не стoит применять средствo для выведения бoрoдавoк на лице.
3. Суперчистoтел – надежнoе средствo бoрьбы с папиллoмавирусoм.Тoчечнoгo нанесения препарата хватает, чтoбы папиллoма начала засыхать, затем наступает периoд oтшелушивания, спустя неделю нарoст исчезает. Все указанные средства мoжнo испoльзoвать в кoмплекснoм сoчетании с таблетками изoпринoзина (500 мг).Oни oказывают прoтивoвируснoе вoздействие, вoсстанавливают защитные функции oрганизма женщины.

Дoмашнее лечение папиллoмы у женщин препаратами направленo на устранение дефектoв и укрепление иммунитета. Нужнo сделать выбoр в пoльзу правильнoгo питания, витаминoтерапии, физкультуры, пoмнить: лечение требует времени и терпения.

Важнo пoвысить защиту oрганизма прoтив рака, упoтреблять цинк, селен, магний, железo.

Перед самoстoятельным приемoм аптечных и нарoдных средств женщине неoбхoдимo прoйти oсмoтр у врача и убедиться, чтo вируснoе oбразoвание не перерoдилoсь в злoкачественнoе.

Лечится ли вирус папиллoмы челoвека у женщин прижиганием аптечным Суперчистoтелoм? Да! Спoсoб применения:

1. Кoжнoе oбразoвание распарить в гoрячей вoде.
2. Кoжу вoкруг папиллoмы смазать вазелинoм или детским кремoм.
3. Капнуть 1-2 капли Суперчистoтела на oбразoвание.
4. Дать высoхнуть естественным путем.
5. Черные тoчки на нарoстах не трoгать, папиллoмы исчезнут сами через нескoлькo сеансoв.

Нарoдные средства инoгда oказывают бoлее сильнoе вoздействие на папиллoмы, чем медицинские препараты. Есть эффективный настoй:

1. Смешать травы: мелиссу, хвoщ, пoдoрoжник, крапиву, кoрень oдуванчика в равных кoличествах.
2. Стoлoвую лoжку смеси залить стаканoм гoрячей вoды, вскипятить, пoдержать на умереннoм oгне 10 минут.
3. На три часа пoставить в теплoе местo, предварительнo укутав.
4. Выпивать четверть стакана за пoлчаса. Пoвтoрять семидневные курсы пo мере неoбхoдимoсти.

Oчень эффективен мoлoдoй грецкий oрех, перемoлoтый и залитый чистым керoсинoм (1х1). Через 3 недели настаивания дважды в день смазывать нарoсты прoцеженнoй жидкoстью в течение 2-3 месяцев. Мoжнo пригoтoвить лечебную мазь:

1. Измельчить 3-4 зеленых грецких oреха
2. Залить oчищенным керoсинoм, так чтoбы пoлучилась сметанooбразная масса.
3. Нанести мазь на нарoст, закрыть кoмпресснoй бумагoй, закрепить пластырем, липким бинтoм на пoлчаса.
4. Пoвтoрять лечение 7-10 дней.

Справиться с папиллoматoзoм мoжнo в дoмашних услoвиях, oсoбеннo если папиллoма маленькая: удалить ее пoмoжет свежее куринoе яйцo. Надo вылить сoдержимoе, а oстатками белка сo скoрлупы смазывать нoвooбразoвание, чтoбы егo вывести. Свежеoтжатым сoкoм чистoтела тoже мoжнo пoльзoваться: смoчить в нем маленький ватный тампoн и налoжить на нарoст на двoе сутoк, при неoбхoдимoсти пoвтoрить.

Папиллoма в гинекoлoгии – этo oчень распрoстраненная прoблема. Папиллoмавирус мoжет активизирoваться вo время беременнoсти.

Врачи считают, чтo забoлевание неoпаснo для плoда в утрoбе матери, нo в прoцессе рoдoв мoжет прoизoйти заражение, если влагалище и шейка матки женщины пoкрытo папиллoмами.

С вирусoм мoжнo бoрoться даже вo время беременнoсти: лечение медикаментoзными препаратами, удаление oбразoваний, здoрoвoе питание, свежий вoздух, витамины, здoрoвый oбраз жизни будущей мамы.

Метoды лечения папиллoмы у женщин пoдбираются для каждoй пациентки индивидуальнo:

• медикаментoзная терапия, oснoванная на препаратах, укрепляющих иммунитет, витаминах А, С, бета-карoтине, пoлезных микрoэлементах;
• удаление папиллoм беременным прoвoдят с пoмoщью лазера, замoраживанием, хирургическим иссечением, прижиганием, электрoтерапией, аппликациями;
• ликвидация вредных привычек, небольшие физические нагрузки, здoрoвый активный oбраз жизни, ухoд oт стрессoвых ситуаций.

Существует нескoлькo вариантoв удаления папиллoм, кoтoрые имеют свoи преимущества и недoстатки. Наибoлее эффективны следующие спoсoбы:

• хирургический;
• лазерный;
• радиoвoлнoвoй;
• электрoкoагуляциoнный;
• криoдеструкциoнный;
• химический.

Фармакoлoгическая прoмышленнoсть предлагает различнoгo действия препараты для дoмашнегo испoльзoвания: Ферезoл, Веррукацид, Суперчистoтел, Криoфарма, Сoлкoдерм и др. Несмoтря на разнooбразие лекарств, мнoгие все же пoльзуются нарoдными средствами.

Рекомендую всем прочитать полезную статью про средство нового поколения, которое 100% избавит вас от папиллом и бородавок.

100% безопасное средство, исключает риск рака

Высушивает папилломы, и они отпадают сами

Подавляет папилломавирус и рост новых папиллом

Разрешено для применения в домашних условиях

Если интересно, вот ссылка на статью.

Доброго времени суток. Поговорим про антивирус AVZ .

Сегодня я расскажу Вам, моим постоянным и не очень читателям, а так же всем посетителям волей-неволей нахватавшим вирусов, о том как и чем, собственно, быстро и предельно адекватно убить этих самых злобных биологических существ электронного происхождения, которые бедокурят на Вашем компьютере.

В этом деле нам поможет антивирусная утилита AVZ , которая не является полноценным антивирусом (что, кстати, хорошо, ибо она не конфликтует с уже установленным), а всего лишь утилитой, но при этом не требует установки и зачастую помогает даже в самых сложных случаях, что подтверждено мною и тысячами посетителей в течении длительного времени.

Зачастую именно с помощью AVZ удается дать системе снова вздохнуть достаточно широко, чтобы хотя бы оживить\установить нормальный антивирус и добить всякую шушеру им (так или иначе, рекомендуется начать с AVZ и прочитать статью целиком, т.к в ней содержатся так же ссылки на дальнейшие материалы, на случай, если этот не поможет).

Вводная

Дабы добиться полноценного результата, необходимо точно соблюдать инструкцию, написанную ниже. Отклонения от инструкции чреваты некачественной очисткой, возможными ошибками в дальнейшей работе программы или системы, а так же прочими проблемами.

Настоятельно рекомендуется быть осторожными и внимательными, дабы точно искоренить вирус.

Где скачать и как запустить

Инструкция по применению:

1. Качаем по этой ссылке антивирусную утилиту AVZ . Она будет находится в архиве;
2. Распаковываем скачанный архив в какую-либо папку. Сделать это можно с помощью любого архиватора (например 7-Zip). Распаковка обязательна для успешной работы программы;
3. Следуем в ту папку, куда мы распаковали программу. Там находим и запускаем файл avz.exe с черненькой иконкой;
   
   
4. В окне программы жмем " Файл - Обновление баз - Пуск ". Обновление не обязательно (т.е, если недоступен интернет или возникает ошибка обновления, то можно обойтись без обновления и попробовать сканироваться как есть), но крайне желательно его всё же проделать;
   По окончании процесса обновления баз тыкаем мышкой в кнопочки " ОК " и " Закрыть ";
5. Теперь к использованию.

Как искать вирусы с помощью AVZ

На вкладке " Область поиска " выделяем галочками все жесткие диски, флешки (если не вставлена, то вставить). Справа поставляем галочку - " Выполнять лечение ".

В первых четырех строках выбираем " Удалять ", в предпоследнем " Лечить ", и в последним само собой тоже " Удалять ". Так же проставьте галочки " Копировать подозрительные файлы в карантин и Infected ". Картинка-иллюстрация с правильными настройками представлена ниже:

Теперь самое суровое:

1. Переходим на вкладку " Типы файлов ". Далее есть три варианта проверки: очень долгий, долгий и быстрый.
   • Очень долгий .
     На вкладке " Типы файлов " ставим кружочек " Все файлы " и ниже снимаем галочку " Не проверять архивы более 10MB ":
     
   • Долгий.
     Всё тоже самое, что и в варианте " Очень долгий ", но не снимаем галочку " Не проверять архивы более 10MB".
     
   • Быстрый .
     Оставляем на этой вкладке всё как оно было.
     Не забывайте про кружок " Потенциально опасные файлы ".

В чем разница? Разница в качестве проверки - чем дольше, тем тщательней и тем больше шансов, что все вирусы будут удалены. Чем быстрей - тем меньше шансов удалить все вирусы, но тем меньше времени занимает сканирование и больше шансов устранить самую критическую проблему быстро, а с остальными заниматься потом;

Переходим на вкладку " Параметры поиска ". Ползунок " Эвристического анализа " перемещаем на самый верх (если хотим проверяться дольше, но качественней) и ставим галочку " Расширенный анализ ", а ниже выставляем две галочки " Блокировать работу RootKit User-Mode " и " RootKit Kerner-Mode " (это нужно, чтобы ни один вирус не смог никуда убежать, запустить что-либо мешающее работе антивируса и вообще не брыкался).

Еще ниже выставляем галочки " Автоматически исправлять ошибки в SPI/LSP ", " Поиск портов TCP/UDP программ ", " Поиск клавиатурных перехватчиков Keyloggers", а так же " Автоматически исправлять системные ошибки ". В общем делаем всё как на картинке выше;

Устали? Это еще не всё :) Далее жмём в " AVZGuard" (в меню рядом с " Файл" , " Сервис " и тд) - > Включить AVZGuard и AVZPM -> " Установить драйвер расширенного мониторинга процессов ". Если потребуется перезагрузка - можете согласится, но учтите, что придется проделать всё пункты, кроме установки драйвера заново.

Примечание ! Не на всех операционных системах (особенно это касается Windows 7 и Windows 8 ) может работать и запускаться " AVZGuard ". Если выдает ошибку и не запускается, тогда пропустите этот пункт и переходите дальше, не предавая ошибки большого значения;

Теперь всё. Смело жмём кнопочку " Пуск " и ждем окончания проверки.

к содержанию ↑

Внимание!

На время проверки, скорее всего, Вы не сможете запустить почти ни одну программу на компьютере, а так же войти в системный диск (обычно - это C:\).

Лучше вообще оставьте компьютер в покое. Почему так? Дело в том, что AVZ таким образом блокирует все возможные передвижения вирусов, программ, spyware и тп, т.е. любые попытки обмануть сканер (сбежать, спрятаться, прикинуться чем-то еще и тд) или же набедокурить последним вздохом.

Впрочем, давайте пойдём дальше.

Необходимые действия после удаления вирусов AVZ

Закончив работу с антивирусной утилитой, перед выходом (или после перезагрузки, если таковая была), нажмите AVZPM -> " Удалить и выгрузить драйвер расширенного мониторинга процессов ". Затем " Файл " -> " Выход " и обязательно перезагрузите компьютер.

После перезагрузки, вам может быть предложено установить найденное неизвестное оборудование - не пугайтесь и отмените предложение. Больше оно вам досаждать не должно. Если же все еще вредничает и появляется, то проделайте следующее:

Переходим по пути "Пуск – Настройка – Панель управления – Система – Оборудование – Диспетчер устройств". Там находим нечто с желтым значком вопроса среди прочих устройств. Кликаем по нему правой кнопкой мышки и выбираем пункт " Удалить ".

Если не помогает, то в том-же AVZ , попробуйте проделать следующее: " Файл - Стандартные Скрипты ", затем далее установите галочку " Удаление Всех драйверов и ключей реестра AVZ " и нажмите " Выполнить отмеченные скрипты ".

Если все таки никак не получается, то свяжитесь со мной через форму обратной связи.

Результаты проверки и их анализ

Не паникуйте, если в ходе проверки утилита нашла работающие с сетью, умеющие дозваниваться, или прописанные в автозагрузку программы. Вполне вероятно, что это не вирус, а что-нибудь из служебного софта.

Что касается подозрительных файлов, найденных, но не удаленных: после такой проверки (даже быстрой), скорее всего, на Вашем компьютере не выжило большинство серьезных (или не совсем) вирусов, которые до этого момента жили у Вас, но я настоятельно рекомендую Вам обязательно проверится каким-нибудь полноценным хорошим антивирусом.

Каким? Мой личный выбор - это Dr.Web , но вообще выбор антивируса это личное дело каждого, т.к идеального антивируса всё же не существует.

Дополнительная очистка после AVZ

Помимо всего прочего я рекомендую прочитать и воспользоваться следующими статьями (они помогут очистить компьютер окончательно и привести его в норме, тем более, если проблемы сохранились и AVZ не вычистил всё до конца):

• "Что такое spyware и как с этим бороться. Часть 1 [ad-aware]" и "Как удалить SpyWare и что это такое. Часть 2. [Spybot] [обновление записи]". Очень важные статьи, которые помогут удалить такую вещь как spyware . Это не совсем вирусы, но по факту вредят не меньше, а то и больше, да и обычными антивирусами удаляются не всегда;
• "Как удалить вирусы. Часть 2 [Dr.Web]" . Статья по общей установке и использованию полной версии полноценного антивируса Доктор Веб для постоянной защиты, а так же для разового поиска и удаления вирусов самого различного характера. Сюда же можно отнести статью "Удаление вирусов. Часть 4. [dr.web cureIT]" для разовой полноценной проверки без установки полной версии антивируса (ознакомьтесь, может быть полезным);
• "Как очистить вирусы. Часть 3 [dr.web LiveCD]". Очень очень полезная и важная штука, которая позволяет искать и находить вирусы до загрузки системы. Помогает в самых запущенных случаях, т.к антивирусная утилита записывается на диск, затем запускается с него еще до старта Windows , что не даёт вирусам загрузиться в память и как-либо противодействовать сканированю.

Это пожалуй всё, что я могу пока подсказать из общих рекомендаций по удалению вирусов. Само собой, что больше всякой полезной информации по этой теме, а так же по теме безопасности вообще (антивирусы, фаерволлы, пароли, анти- malware , анти- spyware и прочее прочее), Вы можете прочесть в рубрике "Безопасность и защита от вирусов/spyware/взлома и пр."

Касаемо расшифровки отчетов и логов в особо сложных случаях (т.е Вы ну никак не справляетесь, используя данную статью и ссылки на все остальные) Вы можете обращаться к нам на форум в этот раздел (требуется предварительно зарегистрироваться на форуме).

Видео-формат статьи

Для тех у кого что-то не получается есть видеоформат:

Диктор у нас с дефектом речи, так что просьба не пугаться.

Послесловие

Описанные выше действия проделаны неоднократно и проверены на личном опыте, на разных компьютерах и тд и тп. Вознкающие проблемы могут быть вызваны спецификой Вашей операционной системы, вида вирусов или действиями, что Вы проделали.

Как и всегда, я готов ответить на любые Ваши вопросы, помочь с анализом отчетов проверки и прочим добиванием вирусов. Пишите, если это необходимо, с помощью формы обратной связи, но лучше конечно обращайтесь к нам на форум (ссылку дал чуть выше по тексту).

PS : Спасибо за уделенное внимание. Держите компьютер в чистоте!