Несколько дней назад, в блоге Как мой компьютер заразился трояном или во сколько могут обойтись «бесплатные» игры и программы я рассказал о том, как несмотря на все меры предосторожности на мой основной ПК проникла троянская программа, и скорее всего не одна. И перед тем, как установить Windows и все программы заново, из свежих и безопасных дистрибутивов, мне стало интересно, получится ли восстановить работоспособность этой Windows 10.
А то, что с операционной системой что-то не в порядке, было сразу заметно — загружалась она медленно, связь с сайтами, несмотря на 100 мегабитный проводной интернет, была нестабильна, и появлялись признаки того, что на ПК работают какие-то левые программы. Иногда появлялось на доли секунды окно программы, или возникали непонятные паузы в работе Windows. Я предпочитаю переустанавливать Windows спустя несколько месяцев работы даже при менее пугающих симптомах, а вернее — распаковывать готовый и настроенный образ Windows, созданный программой Acronis True Image. Очень удобным оказался и способ переноса Windows с другого раздела с помощью утилиты MiniTool Partition Wizard.
Но в моем случае я не был на 100% уверен, что троянская программа попала в Windows уже после создания ее настроенного образа, и поэтому переустановлю ее заново. А если читателям интересно, что я сделал со второй операционной системой, которая будет использоваться для банковских платежей, использования Госуслуг и прочих критичных моментов, то ставить Linux я не решился, хотя это был бы самый безопасный способ. И оставил в этой роли Windows 10, но включил в ней шифрование с помощью встроенного средства BitLocker, и не присваивал этому тому букву, например, E или F, так что для большинства программ эта ОС будет недоступна. Конечно, есть риск проникновения вредоносных программ в загрузочную область диска, но и даже с предпринятыми мерами предосторожности защищенность этой системы гораздо более высокая, чем у большинства игровых ПК.
А перед тем, как снести зараженную Windows 10 с ПК, я попробую ее восстановить, и это станет пошаговым гайдом для тех, чья система заразилась вирусами или троянскими программами, а ее переустановка невозможна. Например, если это ваш рабочий ноутбук на даче, где дети попытались установить на него Roblox и заразили вредоносной программой, и он нужен в рабочем состоянии, а из-за медленного интернета, отсутствия флешки и внешнего накопителя для бекапа переустановить Windows на нем невозможно.
Антивирусные сканеры
Первым делом стоит скачать бесплатные антивирусные сканеры, перезагрузить Windows в безопасный режим и проверить не только в режиме быстрой проверки, но и со сканированием всего системного раздела. Одними из популярных сканеров считаются Dr.Web CureIt! и Kaspersky Virus Removal Tool, а еще можно рекомендовать Malwarebytes Anti-Malware, который частенько находит то, что пропускают «большие» антивирусы, но скачать его сегодня проблематично, так как разработчик не дает это сделать, если у вас российский IP-адрес. Но не спешите с лечением зараженных файлов, если они найдутся, проверьте, нет ли среди них важных, которые потом не удастся восстановить. Использование нескольких сканеров дает более высокую надежность обнаружения троянов, например, Dr.Web CureIt! у меня на ПК нашел кое-что, что пропустил Kaspersky Virus Removal Tool.
Ищем вредоносные процессы вручную
После этот стоит посмотреть на процессы в вашей Windows, но делать это с помощью обычного Диспетчера задач вряд ли окажется продуктивным, так как многие вредоносные программы прячутся от него или встраиваются в svchost.exe. Лучше использовать утилиту от разработчиков из Microsoft — Process Explorer, которая, к тому же, может автоматически проверить все запущенные процессы на сайте VirusTotal.
Проверяем автозагрузку
После этого стоит проверить, не настроен ли старт вредоносных программ через автозагрузку. И здесь опять же не стоит полагаться на встроенное средство Диспетчера задач — оно показывает только часть автозапускающихся программ. Я использую для этих целей утилиту HiBit Uninstaller, которая покажет еще и службы Windows вместе с планировщиком задач, но можно обойтись и утилитой Autoruns от создателей Process Explorer. Ее функционал еще более широк, но разобраться с ней труднее, так как она только на английском языке.
Расширения браузера
Еще один путь проникновения вредоносов на ПК и кражи ими ваших логинов и паролей — расширения браузера. Поэтому лучший способ минимизировать риски — ставить только необходимые расширения, имеющие высокий рейтинг и сотни тысяч пользователей, проблемы с ними выявляются очень быстро. Особенно опасны всякие «читерские» расширения, например, для скачивания музыки или видео с сайтов.
Удаляем лишнее
Теперь, когда основные векторы угрозы для операционной системы перекрыты, можно заняться ее чисткой от лишних программ и файлов, среди которых все еще могут скрываться вредоносные. Для этого заходим в Программы и компоненты Панели управления и удаляем весь ненужный софт, которым вы не пользуетесь или который скачивали с небезопасных источников. По моему опыту, гораздо больше шансов заразить ПК вирусами и троянами именно через «крякнутый» или взломанный софт, чем через игры с торрентов.
Чистим папку Application Data
Любимое место обитания вредоносного ПО — это папка Application Data, в которой хранятся рабочие файлы и настройки множества программ, сохранения игр и «кряки» взломанных игр. Я показал содержимое папки Application Data с помощью файлового менеджера Total Commander, который подсчитывает занимаемое папками место и показывает скрытые и системные файлы. Еще стоит не забыть почистить папки LocalLow и Local в папке AppData, а затем, папки Program Files (x86) и Program Files в корне системного диска и, чтобы не удалить что-то нужное, гуглить по названию непонятные папки.
Чистим Windows от мусора
Теперь можно заняться чисткой Windows от мусора, которая иногда может заметно ускорить работу ОС, а уж драгоценное место на SSD освободит наверняка. Моей Windows не исполнилось и года, в папка Windows уже распухла в объеме до 30 ГБ, и по сравнению с 16 ГБ, которые она занимала сразу после установки, понятно, что мусора в ней просто гигантское количество. Для чистки стоит использовать утилиту WiseDiskCleaner, которая стала более адекватной заменой для популярной CCleaner, но не стоит чистить этой утилитой неверные ярлыки, это чревато проблемами с меню Пуск. И не стоит использовать утилиты для чистки реестра Windows — проблем от них можно получить много, а пользы увидеть не удастся, так как времена Windows 98, когда это требовалось, давно прошли.
Ставим сторонний фаерволл
Теперь можно установить сторонний фаерволл, или как их еще называют, брандмауэр или сетевой экран. Он заметно повысит защищенность вашей системы, ведь многие трояны докачивают вредоносный код с серверов их разработчиков, и когда какая-то программа активно пытается вылезти в интернет, это должно вызывать подозрения. Конечно, если она не пытается проверить обновления, но большинству программ, которые установлены на игровом ПК, они не очень нужны и медиаплеер или редактор изображений прекрасно обойдутся без них. Фаерволл для этого стоит перевести в режим, когда доступ в интернет будет разрешен только по «белым» спискам и первое время — это довольно хлопотно, но, когда весь нужный софт будет в них записан, вы не будете замечать работы фаерволла. Я использую для этих целей бесплатный simplewall, но можно использовать надстройки над стандартным фаерволлом Windows — Windows Firewall Control или Firewall App Blocker. А еще есть довольно продвинутый Comodo Firewall.
sfc /scannow
Думаю, вы наверняка встречали эту команду для проверки и восстановления отсутствующих или повреждённых файлов Windows, выполнять которую рекомендуют практически при любых проблемах с операционной системой. Ее стоит запустить в командной строке, запущенной от администратора, и она наверняка найдет поврежденные файлы даже на стабильно работающей и не зараженной вредоносами Windows.
Меняем пароли и проверяем активность на почте и в соцсетях
И только теперь можно считать нашу Windows достаточно очищенной для того, чтобы поменять пароли от всех важных сервисов, которые могли утечь к злоумышленникам при ее заражении. Хотя лучше всего сразу сделать это на другом ПК или смартфоне, если есть возможность. И конечно же, не стоит хранить пароли в текстовых файлах, используйте для этого менеджер паролей или хотя бы положите ваш файл «пароли.txt» в зашифрованный архив winrar. Не стоит хранить важные пароли и в браузере — отключите сохранение паролей для важных сайтов. А сами пароли должны быть достаточно сложными, ведь похожие на «12345» или «qwerty» в наши дни подбираются ботами в интернете менее, чем за секунду. И напоследок стоит проверить в вашей почте историю последних действий — IP-адрес и браузер, с которого в нее заходили последний раз, и сделать тоже самое в соцсетях, которые имеют эту возможность, например, во ВКонтакте.
Итоги
После принятых мер моя Windows 10 заработала почти как новенькая, но я все-таки переустановлю ее ради 100% безопасности. А все примеры из этого блога можно выполнить и на Windows 11. В начале блога я упомянул про ситуацию, когда для сохранения важных файлов с зараженного ПК или ноутбука нужен внешний накопитель. Сегодня для этого можно использовать классические внешние жесткие диски в формфакторе 2.5″, например, на Яндекс Маркете покупатели часто выбирают Western Digital WDBUZG0020BBK-CESN объемом 2 ТБ или Seagate Basic Easy Storage STJL2000400.
Но, если вы хотите получить от внешнего накопителя более высокие скорости, компактность, небольшой вес и гораздо более лучшую устойчивость к тряске и падениям, то присмотритесь к внешним SSD. Например, Kingston SXS1000 или Adata SSD ASE760.
А еще понадобится флешка для создания загрузочного образа Windows, и сегодня лучше выбирать модели объемом 64 ГБ, так как менее емкие флешки имеют более высокую стоимость одного гигабайта объема и уже непрактичны. Например — SanDisk Ultra Flair или Transcend JetFlash 700.
Пишите в комментарии, а вы бы стали восстанавливать Windows после заражения или установили бы заново? А также напишите, сталкивались ли вы за последние годы с вредоносными программами и насколько большой был ущерб от них? А еще я порекомендую вам прочитать несколько моих новых блогов:
Собираем оптимальный игровой компьютер без переплаты, которого вам хватит еще на пять лет
Не только God of War: Ragnarök — девять лучших игр разных жанров про викингов на ПК
7 неторопливых стратегий на ПК для отдыха — строим домики и восстанавливаем нервные клетки. Часть 2
Telegram-канал @overclockers_news — теперь в новом формате. Подписывайся, чтобы быть в курсе всех новостей!
Для Windows 11, Windows 10 и предыдущих версий операционной системы существует множество бесплатных утилит для автоматического исправления распространенных ошибок и средств для удаления вредоносных программ, а также последствий их работы. В этом обзоре речь пойдет об одном из таких инструментов.
SmartFix — полностью бесплатная программа, доступная на русском языке, которая позволяет в автоматическом режиме восстановить системные файлы и сбросить все параметры сети Windows (может помочь, в случае, если вирус блокирует сайты антивирусов), может быть интегрирована в среду восстановления системы, использована для запуска сторонних инструментов удаления вирусов и других задач удаления вредоносного софта и восстановления работоспособности системы.
Использование SmartFix Tool
Скачать утилиту SmartFix можно бесплатно с официального сайта разработчика https://smartfix.pro/, установка не требуется.
После запуска утилиты в сеансе Windows, вам доступны следующие варианты действий:
- Интеграция SmartFix в средство восстановления системы — добавляет возможность запуска утилиты из среды восстановления Windows 11, Windows 10 или предыдущих версий. Может быть полезным, когда запуск антивирусных утилит блокируется вредоносным ПО (и в случае, если вход в систему вдруг станет невозможным).
- Выполнить полное восстановление настроек сети и перезагрузиться — выполняет сброс сетевых параметров, файла hosts и других: может помочь, если вирус «вмешивается» в работу Интернета, например, блокирует доступ к определенным сайтам.
- Запустить — здесь мы можем выбрать один из сторонних инструментов для запуска (будет автоматически загружен утилитой SmartFix). Доступны AutoRuns для работы с программами в автозагрузке; AdwCleaner, Dr.Web CureIt!, ESET Online Scanner и Kaspersky Virus Removal для удаления вирусов, вредоносных и потенциально нежелательных программ, WinRepair — для автоматической проверки и восстановления хранилища и самих системных файлов Windows.
Утилита SmartFix в среде восстановления Windows
Одна из самых полезных возможностей SmartFix — интеграция утилиты в среду восстановления. Её наличие там позволяет попробовать выполнить автоматическое восстановление работоспособности, если в рамках запущенной системы сделать это не получается или вход в Windows невозможен.
- Для интеграции SmartFix в среду восстановления достаточно выбрать соответствующий пункт в окне программы и дождаться завершения процесса — при необходимости, будут загружены необходимые компоненты.
- После интеграции вы сможете найти SmartFix Tool в среде восстановления в разделе «Поиск и устранение неисправностей». Здесь может быть полезным: Как зайти в среду восстановления Windows 10.
- При запуске SmartFix Tool из среды восстановления, утилита произведет автоматическое устранение неполадок сети и «попробует» удалить последствия работы вирусов.
- Журнал работы программы вы сможете найти в папке Windows\SmartFix. Файлы журнала находятся в архивах, пароль к которым «SmartFix.pro» (без кавычек).
- Обратите внимание, что в процессе программа может отключить автозагрузку подозрительных элементов. Если в список отключенных попали нужные вам элементы, вы можете снова включить их в msconfig или на вкладке «Автозагрузка» диспетчера задач.
Однозначно рекомендовать утилиту я не могу, так как сам не являюсь её регулярным пользователем и не имею возможности объективно оценить эффективность SmartFix Tool, но отзывы пользователей о ней преимущественно положительные.
Как восстановить операционную систему после заражения
Как восстановить операционную систему после заражения
Этот раздел содержит информацию о восстановлении операционной системы после заражения вредоносными программами.
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Восстановление работы ОС после вируса-вымогателя
Время на прочтение3 мин
Количество просмотров8.5K
Мой лучший друг принёс мне посмотреть нетбук, на котором сурово погуляли вирусы, и попросил помочь почистить систему от зоопарка. Впервые увидел воочию забавную ветку в развитии вредоносного ПО: «вымогатели». Такие программы блокируют часть функций операционной системы и требуют отправить SMS сообщение для получения кода разблокировки. Лечение вышло не совсем тривиальным, и я подумал, что возможно эта история сбережёт кому-нибудь немного нервных клеток. Я постарался приводить ссылки на все сайты и утилиты, которые понадобились в ходе лечения.
В данном случае, вирус изображал из себя антивирусную программу Internet Security и требовал отправки SMS K207815200 на номер 4460. На сайте Лаборатории Касперского есть страница позволяющая сгенерировать коды ответа «вымогателям»: support.kaspersky.ru/viruses/deblocker
Страница с подробными рекомендациями по борьбе с вымогателями есть у DrWeb: www.drweb.com/unlocker/index/?lng=ru
Тем не менее, после введения кода, функции ОС оставались заблокированными, а запуск любой антивирусной программы приводил к мгновенному открытию окна вируса, старательно эмулировавшего работу антивируса:
Попытки загрузиться в безопасных режимах приводили точно к такому же результату. Также дело осложняло то, что пароли на все учётные записи администраторов были пустые, а вход на компьютер по сети для администраторов с пустым паролем по умолчанию закрыт политикой.
Пришлось загружаться с USB Flash диска (в нетбуке по определению отсутствует привод для дисков). Самый простой способ сделать загрузочный USB-диск:
1. Форматируем диск в NTFS
2. Делаем раздел активным (diskpart -> select disk x -> select partition x -> active)
3. Используем утилиту \boot\bootsect.exe из дистрибутива Vista/Windows 2008/ Windows 7: bootsect /nt60 X: /mbr
4. Копируем все файлы дистрибутива (у меня под рукой был дистрибутив Windows 2008) на usb диск. Всё, можно грузиться.
Так как нам надо не устанавливать ОС, а лечить вирусы, копируем на диск набор бесплатных лечилок (AVZ, CureIt) и вспомогательных утилит (забегая вперёд, мне потребовалась Streams от Марка Руссиновича) и Far. Перезагружаем нетбук, в BIOS выставляем загрузку с USB.
Загружается программа установки Windows 2008, соглашаемся с выбором языка, Install now и после этого нажимаем Shift+F10. Появляется окно командной строки, из которого мы можем запускать наши антивирусные средства и искать заразу на системном диске. Тут я столкнулся с трудностью, CureIt ронял систему в синий экран смерти с руганью на ошибку работы с NTFS, а AVZ, хотя и отрабатывал, ничего не мог найти. Видимо вирус очень и очень свежий. Единственная зацепка — сообщение AVZ о том что обнаружен исполняемый код в дополнительном NTSF-потоке для одного из файлов в каталоге Windows. Мне это показалось странным и подозрительным, поскольку дополнительные потоки NTFS используются в очень специфических случаях и ничего исполняемого там храниться на нормальных машинах не должно.
Поэтому пришлось скачать утилиту Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) от Марка и удалить этот поток. Размер его составлял 126464 байта, точно также как и dll-файлы которые вирус раскладывал на флеш-диски вставленные в систему.
После этого я при помощи Far проискал весь системный диск на предмет файлов такого же размера и обнаружил ещё 5 или 6 подозрительных файлов, созданных за последние 2-3 дня. Они точно так же были удалены. После этого CureIt смог отработать (видимо он спотыкался на дополнительных потоках) и успешно вычистил ещё два трояна 
После перезагрузки всё заработало, дополнительные прогоны антивирусных сканеров ничего не обнаружили. При помощи AVZ были восстановлены политики, ограничивающие функции ОС. Другу было сделано строгое внушение о том, как важно пользоваться антивирусами, тем более что, есть много бесплатных (Security Essentials, которым я пользуюсь сам на домашних машинах, Avast Home Edition, который мне тоже очень симпатичен.
Upd: наконец-то дошли руки перенести в тематический блог.