Троян реестр

Троян Poweliks использует системный реестр для избежания обнаружения

Poweliks остается на зараженном устройстве после перезапуска системы благодаря механизму устойчивости.

Вносящая изменения в системный реестр троянская программа Poweliks впервые была обнаружена специалистами в 2014 году. Троян не создает никаких файлов на компьютере жертвы, его можно найти только в виде записи в реестре Windows. Механизм устойчивости Poweliks позволяет ему оставаться на зараженном устройстве после перезапуска системы. Кроме того, вредоносное ПО использует специальный метод присвоения имен для того, чтобы усложнить обнаружение, а затем использует перехват CLSID с целью сохранения своей устойчивости. Poweliks делает компьютер жертвы частью ботнета.

Специалисты Symantec провели тщательный анализ Poweliks. В результате им удалось выяснить, что троян использует несколько методов для того, чтобы сохранить свое присутствие в реестре. При помощи файла rundll32.exe Poweliks выполняет ранее встроенный им в подраздел реестра код. JavaScript-код содержит инструкции чтения дополнительных данных с реестра, которые выступают в качестве полезной нагрузки, а затем выполняет их. Некоторые из этих данных шифруются, а после дешифрования и выполнения троян осуществляет их установку. Эксперты называют это «процессом Watchdog». Он используется для поддерживания устойчивости вредоносного ПО на компьютере жертвы. Процесс Watchdog постоянно проверяет присутствие и работу Poweliks, а также наличие подразделов реестра. В случае, если пользователь удалил подразделы, процесс восстанавливает их.

Poweliks использует несколько способов защиты вредоносной записи системного реестра. Троянская программа создает дополнительный подраздел реестра с механизмом, который предотвращает его открытые и просмотр. Подраздел содержит запись, созданную с использованием символов, которые отсутствуют в наборе печатаемых символов Unicode . Это предотвращает целый подраздел LocalServer32 от чтения и удаления. Некоторые инструменты для работы с реестром позволяют осуществить чтение подраздела, но стандартный редактор реестра Windows не предоставляет такой возможности.

www.securitylab.ru

В реестре хранятся вирусы — чистим его!

Доброго времени суток, друзья. Я вот много пишу о борьбе с разными вредоносными программами, которые блокируют запуск системы, замедляют работу компьютера, отображают рекламу в браузерах. Но удаление зараженных файлов и процессов – это лишь вершина айсберга. Необходимо выполнять более глубокое сканирование. Хотите узнать, как проверить реестр на вирусы? Данная статья полностью посвящена этой теме.

Это своего рода база данных, которая содержит массив атрибутов и значений, отвечающих за конфигурацию Windows и установленных приложений. Также, там храниться информация об учётных записях пользователей.

Полное сканирование системы

После запуска обязательно выберите все объекты сканирования:

  • После открытия следует перейти во вкладку «Реестр» (слева), затем кликнуть по кнопке «Поиск…»:
    • Ручная проверка

      Если в чем-то сомневаетесь, обязательно задавайте вопросы мне или ищите ответы через поисковые системы.

      Возможно, Вам придется потратить больше времени, если вирус оставил множество следов. Но так будет надежнее.

      Кстати, многие «умники» предлагают сервисы, которые способны проверять реестр на вирусы в режиме «онлайн». Отвечу, что это невозможно. Не верите? Можете прочесть мою статью об утилитах для сканирования ПК через интернет. Там много интересного и полезного.

      Что такое реестр?

      Когда Вы деинсталлируете софт, то в реестре остаются следы. В статье про оптимизацию работы ПК я писиал об этом. К примеру, после удаления графического редактора Photoshop я обнаружил немного «мусора»:

      Представьте, сколько подобного «хлама» может собраться за месяц, год. И всё это замедляет систему, потребляя ресурсы ПК.

      С чего начать?

      К реестру мы обязательно вернемся. Сначала я вкратце напомню, что следует делать при обнаружении «заразы». О симптомах и проявлениях читайте в этой статье.

      Автоматический поиск в реестре

      С этой задачей могут справиться разные приложения. Но если Вы не хотите устанавливать «прожорливые» комплексные утилиты, то достаточно будет скачать и запустить программу CCleaner.

    • Будет создан файл с расширением «reg», который, в случае возникновения ошибок после чистки, поможет восстановить удачную конфигурацию.
    • Вот и всё. Реестр почищен. Ошибки устранены.

      Даже самый лучший Касперский антивирус не способен устранять все последствия «жизнедеятельности» вирусов. Придётся немножко поработать руками и головой. Впереди – увлекательное путешествие в мир редактора реестра.

      Эта программа запускается очень просто. Достаточно набрать в консоли «Выполнить» (Win + R) следующую команду:

      Я покажу пример проблемы, с которой пришлось столкнуться не так давно. Мне удалось устранить вирус, который запускался из папки Windows \ AppPatch с помощью файла «hsgpxjt.exe». Решить проблему помог Dr. Web, но после очередного запуска ПК на экране отобразилось окно ошибки.

      • Удалил ключи в разделах «Load» и «Run»:
      • На этом извольте откланяться. Все вопросы и пожелания можете писать в комментариях. Я не обещаю поддержку 24/7, но обязательно отвечу всем оперативно и, по существу.

        А после использования утилиты для поиска рекламных вирусов Anti-Malware (от Malwarebytes) было найдено множество ключей, которые пришлось почистить вручную:

        Хорошо, что есть доступ к утилите «regedit», где можно самостоятельно отыскать неиспользуемые записи и удалить их. Это также очень эффективный способ для выявления вирусов (точнее последствий их активности).

        Вообще-то, реестр не может содержать трояны и прочие вредоносные скрипты, но в нём могут храниться измененные записи, влияющие на работоспособность системы. Вирусы могут влиять на автозагрузку, выполнение процессов и т.д. С этим нужно бороться, согласны?

        Для этой цели подойдет разный защитный софт. Наилучшим образом себя проявляет KIS (Internet Security от Kaspersky Lab). Это комплексный инструмент, который я не хочу сейчас расхваливать. Его преимущества всем и так давно известны.

        Если нет желания платить деньги за качественную проверку, то в качестве альтернативы советую скачать свеженькую версию Cure It! от Доктор Веб.

        Конечно же, данный способ не даёт 100%-ой гарантии успеха, но большинство угроз будут удалены. Останется только обезвредить их и перезапустить компьютер.

        Если после вышеупомянутых шагов (сканирования с помощью антивируса nod32 или любого другого подобного софта) поведение ПК всё еще остается загадочным, то следует выполнить очистку конфигурационной базы данных.

        Уже более пяти лет я использую именно это ПО из-за его простоты и удобства. Иногда тестирую другие продукты аналогичного типа, но в итоге возвращаюсь к данному оптимизатору.

      • Отобразится список ошибок. У меня он оказался небольшим, так как проверку выполняю почти ежедневно. У Вас может быть несколько сотен пунктов, если ни разу не выполняли чистку.
      • После нажатия на «Исправить…» появится окно с предложением создать резервную копию перед очисткой. Соглашаемся и указываем путь сохранения:
    • Теперь выбираем пункт «Исправить отмеченные» в открывшемся окне:
    • Всё указывало на то, что в реестре (разделе автозагрузки) остались следы этого скрипта. Откровенно говоря, CCleaner не помог (увы, он тоже не всесилен). Что я сделал?

    • Перезагрузил ОС и сообщение исчезло!
    • it-tehnik.ru

      Удаляем вирус-баннер в реестре Windows

      Во время начала загрузки компьютера нажимаем клавишу F8. И выбираем «Безопасный режим с поддержкой командной строки» и жмем «Enter»

      По окончанию загрузки появится окно «Администратор :cmd.exe» где через клавиатуру введите «regedit.exe». Снова жмем «Enter» и выходим в «Редактор реестра»

      В реестре Windows regedit содержится системная информация и данные об автоматическом запуске программ при старте операционной системы. Тут-то мы и попытаемся найти следы нашего баннера-вируса.

      Для нормальной работы ОС необходимо всего 5 файлов в корневом каталоге:
      ntldr
      boot.ini
      pagefile.sys
      Bootfont.bin
      NTDETECT.COM

      Без детального анализа удалять из реестра ничего нельзя. Вы должны быть на 100% уверены, что это именно вирус а не программа которая была загружена в корневую папку. Вирус должен как-то загружаться при старте системы, как правило этот процесс происходит при автозапуске. Поэтому смотрим следующие ключи реестра на предмет подозрительных программ. (А если вы уже нашли вирус, то ищите имя файла везде в реестре и удаляйте):

      С самого начала ищем вирус в цепочке: «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. Находим в списке запись «Shell» (XP) В Windows7 данного раздела нет.

      Смотрим: значение параметра, по умолчанию должно быть «Explorer.exe» , если есть еще что то удаляем.

      Теперь находим запись: «Usernit» (Присутствует в любой версии Windows). В значении данной записи должно быть «C:\Windows\system32\userinit.exe» Все что есть кроме этой записи – удаляем. Естественно если ос установлена не на диск С то запись будет другая.

      Следующим этапом будет редактирование автозагрузки раздела «Run» .

      Ищем и открываем цепочку: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (данный раздел применителен к Windows 7) В этой ветке можно удалить все, кроме антивирусного программного обеспечения и так же необходимого для вашей работы софта (утилиты для принтера, skype, сканера).

      Следующая цепочка: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Тут делаем то же самое что и в предыдущем пункте.

      Возможно нужно будет заменить файл «hosts» который находится по адресу: Откройте Пуск» и введите: %systemroot%\system32\drivers\etc

      Копируем стандартный с сайта разработчика http://support.microsoft.com/kb/972034/ru а старый переименовываем hosts.old.

      Щелкните правой кнопкой мыши в свободном месте в папке %WinDir%\system32\drivers\etc,

      выберите пункт Создать, щелкните элемент Текстовый документ, введите имя hosts/ Откройте новый файл hosts в текстовом редакторе»Блокнот» и скопируйте в файл сохраненный текст с сайта. Перегружаем компьютер.

      Иногда бывает, что не требуется искать приложение.ехе в реестре Windows а достаточно только при выходе на рабочий стол произвести быструю проверку «Security Esseentiats» , сделать перезагрузку и когда включится компьютер появится окно, которое указывает имя программы, скажем 2088322.exe, которую защитник Windows не может распознать. Вам нужно будет только записать это значение в «Пуск» — «Найти программы и файлы «, а затем с помощью правой кнопки мышки выяснить адрес этого баннера и удалить его сначала в корзину а потом навсегда.

      Если необходимо проверить реестр на исправном компьютере, т.е. когда ОС полностью загружена, не нужно использовать «Безопасный pежим» достаточно набрать в меню «Пуск» команду regedit и кликнуть по открывшемуся файлу, и перед вами откроется «Редактор реестра».

      Но что делать если невозможно загрузить ОС в безопасном режиме, как убрать баннер и разблокировать Windows? В этом случае нам нужно прибегнуть к сторонним средствам, одним компьютером тут не обойдешся. Рассмотрим самые лучшие утилиты на сегодняшний день, которые помогут нам разблокировать наш компьютер : «Как удалить баннер если Windows не загружается в безопасном режиме»

      Человек это
      самый страшный вирус
      на планете — Земля.

      «inpropart»

      inpropart.ru

      Смотрите еще:

      • Как получить разрешение системы на удаление папки Как удалить файл или папку если они не удаляются? Бывает такое, что Вам просто необходимо удалить папку или файл, а Windows Вам не дает этого сделать и пишет о ошибках вида "данный процесс занят" или "папка […]
      • Файлы с разрешением com Какие файлы потенциально опасны для вашего компьютера? Один из явных признаков, помогающих отличить опытного пользователя от начинающего, это их отношение к расширениям файлов. Первые с одного взгляда могут […]
      • Удалить ненужное из реестра Как почистить реестр? Чистка реестра программой CCleaner! Как почистить реестр? Чистка реестра программой CCleaner! Чистка реестра для начинающих пользователей может показаться каким-то сложным и долгим […]
    Закладка Постоянная ссылка.

    Обсуждение закрыто.