CMW – Комплекс обслуживания рабочих станций

    Занимаясь обслуживанием компьютеров разных клиентов, чаще всего мне приходилось вычищать операционную систему (Windows) компьютера от всяческих “вирусов”, если их можно так назвать и другого рода малвари. Ведь именно из-за них компьютер в целом начинает «тормозить», вести себя «неадекватно» или мучать пользователя всяческой рекламой. По большей части вирусы не так страшны в их устранении, как могло бы показаться менее опытному пользователю.

Давайте я вам вкратце расскажу, как их наблюдать, устранять и предупреждать вручную.

Предупреждение

    Для начала разберёмся, как они к нам попадают, не смотря на то, что у вас может стоять антивирусная защита. Да, даже наличие антивируса не может на 100% гарантировать их отсутствие. Это связано с тем, что антивирус не может обнаружить в их действиях «противоправных действий», ведь они не «ломают» ваш компьютер, не крадут напрямую файлы и не блокируют работу системы.

    На сегодняшний день большинство малвари направлено рекламой на пользователей и вымогательством на работников компаний. Ведь у домашнего пользователя не всегда имеются сверхважные файлы, удаление которых приводит к катастрофе, но если вы работник большой компании и все ваши архивы или текущие отчеты и документы будут заблокированы, вы будете вынуждены заплатить вымогателям за их расшифровку и восстановление.

    Основная масса вирусов попадает через сеть Интернет. Ну а время, когда вирусы перемещались по флешкам и компакт дискам почти прошло. Но тут не стоит заблуждаться, т.к. сами по себе вирусы не могут попасть к вам в компьютер лишь по тому, что он подключен к сети. Элементарный сёрфинг интернета не угрожает вашему компьютеру. Вы можете сколько угодно кликать по ссылкам и переходить от страницы к странице. Опасность представляет файл скаченный вами специально или же случайно. Однако и тут не стоит заблуждаться, ведь пока вы не попытаетесь его открыть – он так же безобиден, как и обычный текстовый файл. Поэтому не стоит запускать файл напрямую из браузера. Безопаснее будет перейти в каталог загрузок и найти этот файл и далее проверить его:

  1. Если расширение файлов не отображается в системе – он (файл) не должен отображать расширение.
    rar.exe
    Как видно на рисунке, даже если скрыть расширения, у файла отображается «.rar». Ну а если расшираения отображены, то у файла будет два расшираения «.rar.exe» – такого быть не должно и это напрямую указывает на то, что файл подозрительный и лучше его не открывать.
  2. Если вы качаете видео или фильм, то его расширение должно быть, например «.avi» или «.mpg», но ни как не «.exe» или «.rar» или «.bat».
  3. Если вы качаете не программу, а например картинку, то остерегайтесь любых исполняемых файлов, в основном это: exe, bat, cmd, js, json, vbs, com, jar, msi, pif, scr, vbe, vb, hta, jse.

    Так же я рекомендую отказаться от «ускорителей ПК», «чистильщиков» и «бесплатной защиты», предлагаемых в сети Интернет.

    В качестве основного источника для работников компаний выступает почта: Спам-рассылка или маскировка. Чаще всего маскируют письмо под письмо из какого-нибудь государственного ведомства, суда и т.д. с “важными данными”, “претензиями” или “задолженностями”. Такие письма не опасны, но они как правило идут с прикреплёнными материалами, якобы документами. Файл можно скачать, ну а дальше как и сверху, уделить внимание расширению файла. Однако, неизвестные документы не стоит открывать сразу, так как в них тоже может содержаться вредоносный код под видом макроса. Такие файлы следует проверить антивирусом.

Наблюдение

Любой вирус можно наблюдать в диспетчере задач. Они могут маскироваться названием под системный процесс например под svchost.exe. Их проще определить, если в диспетчере добавить столбец “Путь к образу” или лучше “Командная строка” в пункте меню “Вид” – “Выбрать столбцы…”.

Большая часть вирусов прячутся в индивидуальных каталогах пользователя в “AppData”

"C:\Users\%пользователь%\AppData" или "C:\Пользователи\%пользователь%\AppData"

Замечу, что только в очень редких случаях в AppData находятся программы (например Chrome или Yandex), по этому если вы видите работающий процесс в AppData и не знаете, что это за программа, то смело завершайте его и удаляйте.

Также, малварь часто устанавливается в систему в качестве службы или драйвера, что даёт ей ещё больший контроль над компьютером. Службу ещё можно увидеть в процессах, т.к. за каждой службой должен стоять хотя бы один процесс, а вот если это драйвер, то тут необходимо лезть в Диспетчер устройств и смотреть там. Это более опасный случай, т.к. остановка того или иного драйвера может привести к краху системы (к перезагрузке, не более).

Службу для начала необходимо остановить, потом отключить и/или удалить. Остановить можно в Диспетчере задач и в Службах, а вот отключить только в Службах. Службы находятся в Управлении компьютером. Удалить службу или драйвер можно только командой ниже, но для начала узнайте её имя в списке:

scdr

Управление компьютером (Диспетчер устройств, Службы)

mmc compmgmt.msc

Удаление службы

sc delete "имя службы"

Наблюдая за процессами и драйверами – вы полностью контролируете систему!

Устранение

Остановив все подозрительные процессы, отключив службы и драйвера, можно приступить к зачистке следов их пребывания. А это: Автозагрузка, задачи, службы с автозапуском, плагины и т.д., но всё по порядку.

Автозапускаемые элементы находятся в виде ярлыков или даже файлов в каталогах Автозагрузки текущего пользователя и “Всех пользователей” (All users).

Определённый пользователь: 
C:\Users\%ваш пользователь%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Общие или для всех пользователей: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Также автозапускаемы элементы хранятся в виде записей в реестре.

Текущий пользователь: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Если у вас 64-битная версия ОС, то ещё
HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\CurrentVersion\RunOnce

Общие элементы:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Если у вас 64-битная версия ОС, то ещё
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\CurrentVersion\RunOnce

Вирусы часто пользуются Планировщиком задач, добавляя себя туда самостоятельно. Планировщик задач находится в Панели управления для XP и в Управлении компьютером для Win7 и выше.

Планировщик задач, удаление лишних задач, путь к файлу задачи windows

Левые задачи нужно завершить, отключить и посмотреть путь к файлу для дальнейшего его удаления.

Удаление службы и драйвера описано выше.

Далее необходимо проверить все расширения, дополнения, плагины и надстройки ваших браузеров в том числе и Internet Explorer. После чего проверить файл hosts:

C:\Windows\System32\drivers\etc\hosts

В целом он должен выглядеть так:
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

и далее пусто, если только вы уже не вносили в него изменения сами

Зайдите в свойства обозревателя и посмотрите не стоит ли стороннего прокси подключения:

Свойства обозревателя, настройка сети, прокси

Есть и ещё более сложные места, где прячутся вирусы, здесь же наиболее распространённые.

В целом это занимает не малое количество времени и сил. Поэтому я начал разрабатывать более простой и удобный способ устранения вирусов и других нежелательных программ. Данный комплекс содержит огромное количество инструментов помогающих обнаружить вирус в том числе и автоматический сканер – антивирус. А также он может помочь в обслуживании компьютера, сигнализируя о неполадках исходя из журналов операционной системы, данных жесткого диска и других источников.

Ниже представлена таблица основных инструментов программы:

Имя Описание Просм. Редак. Удал. Доп. инф.
1 Автозагрузка Программы и команды, автоматически запускаемые во время загрузки ОС (реестр, каталоги автозагрузки) Да Нет Да
2 Установленные программы Программы и компоненты установленные в ОС Да Нет Да Удаление как программы так и ключа реестра
3 Информация об ОС Некоторая информация о работе ОС (загрузка ЦП, ОЗУ, системного диска и статическая информация) Да
4 Службы Список служб и драйверов ОС Да Нет Да Также доступно управление службами
5 Процессы Мониторинг процессов системы в режиме реального времени (при включении мониторинга) Да Да
6 Сетевые порты Запрос использование сетевых подключений, включая привязку к процессу Да Нет Нет Имеется переход от портов к процессам и наоборот
7 Брандмауэр Состояние сетевого экрана и список исключений Да Нет Нет
8 Очистка Модуль очистки ОС от мусора. Временные файлы, логи и т.д. С возможностью проверки файлов. (Сигнатурный антивирус)
9 Смарт дисков Получение S.M.A.R.T дисков в системе Да Необходим мониторинг в реальном времени
10 События Windows Получение событий Windows Да С возможностью подключения сохранённого журнала
11 Планировщик задач Вывод элементов планировщика задач Да Нет Да
12 Редактор реестра Локальные редактор реестра Да Нет Нет С возможностью загрузки автономного реестра
13 Модуль исправлений Это набор скриптов выполняющих исправления в ОС (твики) Необходимо увеличение возможностей и упрощённый гайд по созданию скриптов
Скриншоты программы

Данная программа не требует установки и работает в самых трудных условиях (её возможно запустить даже в среде восстановления Windows). Также работает в режиме только чтение (в ограниченном режим), если у вас нет прав администратора.

Ссылки на beta-версии:

CMW (32/64 бита).zip~10 МБ CMW (32/64 бита).rar~10 МБ

Share

You may also like...

Добавить комментарий