Комп’ютерні віруси всіх мастей для Windows-систем є справжнім бичем. Багато з таких загроз відомі ще з тих пір, коли в якості основної операційної системи використовувалася DOS і Windows тільки-тільки починала свій розвиток. На жаль, незважаючи на своє моральне старіння, погрози типу «Вирус_ехе.ехе», де «Вірус» є можливим назвою виконуваного аплету, і сьогодні продовжують свою деструктивну дію на операційні системи від Microsoft. Далі пропонується розглянути кілька базових понять, пов’язаних з тим, що собою представляють віруси цієї категорії, в чому полягає їхній вплив на комп’ютерну систему, і як з ними боротися.
Що таке «Вирус_ехе.ехе»?
Почати варто саме з того, як саме такі аплети впливають на операційні системи, що дозволить пояснити їх природу. Як відомо, на зорі розвитку комп’ютерної техніки з застосуванням в якості основної платформи систем Windows самі ОС піддавалися виключно деструктивного впливу, пов’язаного з порушеннями їх роботи шляхом впливу на певні важливі компоненти, без яких функціонування ОС ставало неможливим. Погрози типу «Вирус_ехе.ехе» і сьогодні працюють подібним чином, але, як можна зробити висновок з назви, заражають виключно виконувані файли формату EXE.
Після такого впливу файли запустити стає неможливо, а сама операційна системи негайно повідомляє користувачеві, що шуканий об’єкт не знайдений, хоча насправді з жорсткого диска він нікуди не дівається.
Нюанси впливу загрози на комп’ютерну систему
Те, що віруси зразок Some_exe.exe або його аналоги (наприклад, різновиди Virus.Win32.Expiro) спрямовуються виключно на виконувані файли, – далеко не найстрашніше, що може підстерігати користувача сучасного комп’ютера. Більшість таких загроз, зазвичай, маскується під системні процеси, наприклад, svchost.exe і безпосередньо на EXE-файли можуть не впливати, надаючи це право деяких антивірусів. Так-так! Саме так! При первинному зараженні піддався атаці виконуваний об’єкт починає розпізнаватися штатним сканером вже як вірус, після чого може не тільки блокуватися, але ще й видалятися антивірусом.
На жаль, такі ситуації досить часто спостерігаються при наявності в системі захисного ПЗ у вигляді хваленого антивіруса Avast. При такому положенні справ стає зрозуміло, що для деяких загроз категорії «Вирус_ехе.ехе» методи боротьби залишають бажати кращого. Тим не менш, незважаючи навіть на таку плачевну ситуацію, кілька варіантів дій по нейтралізації таких аплетів запропонувати все-таки можна.
Система заражена загрозою «Вирус_ехе.ехе»: що робити в першу чергу?
Отже, почати варто з виявлення самого вірусу в системі. Як вже було сказано, такі загрози можуть досить добре маскуватися і активуватися навіть при установці якихось програм, завантажених з Інтернету, причому навіть не в момент запуску інсталятора, а після закінчення процесу установки або навіть через деякий час. Якщо при спробі старту якогось користувальницького додатка, системного інструменту або навіть без жодного на те приводу, коли якась служба працює у фоновому режимі, Windows починає видавати повідомлення з приводу відсутності або недоступності виконуваних файлів, спочатку зверніть увагу на дерево активних процесів в «Диспетчері завдань». Можливо, там будуть присутні якісь невідомі служби зразок ahtomsys.exe або psagor.exe, які створюються погрозами типу «Вирус_ехе.ехе». Сміливо використовуйте примусове завершення їх роботи.
На всяк випадок перевірте всі копії процесу svchohst.exe на предмет розташування відповідає за нього файлу через меню ПКМ (оригінальний об’єкт повинен знаходитися виключно в папці System32 і ніде більше). Такі копії теж потрібно завершити і, якщо є можливість, відразу видалити підозрілі вірусні об’єкти на жорсткому диску (за умови, що вони не будуть заблокованими).
Відкат системи
Незважаючи на небезпеку, яку становлять загрози категорії «Вирус_ехе.ехе», іноді для їх знешкодження можна застосовувати і найпростіші методи. Так, наприклад, відомі випадки, коли позбавитися від вірусу можна було звичайним відновленням системи до тимчасової точки, що передує появі загрози на комп’ютері. Правда, особливо розраховувати на таку методику не варто тільки з тієї простої причини, що визначити точно, коли саме загроза проникла в систему, буває досить проблематично (як уже говорилося, вірус може активуватися через деякий час, а не відразу).
Перевірка антивірусним ПЗ
В принципі, для нейтралізації вірусів цього типу можна скористатися і портативними утилітами, серед яких найбільшою функціональністю відрізняються додатки KVRT і Dr. Web CureIt! за умови негайного оновлення антивірусних баз відразу ж після запуску аплетів.
Однак найбільш потужною програмою, яка дозволяє знаходити і видаляти віруси з усіх можливих локацій у комп’ютерній системі, включаючи навіть оперативну пам’ять, є дискова утиліта Kaspersky Rescue Disk, за допомогою якої можна завантажитися ще до старту операційної системи і виконати повне сканування з подальшим лікуванням.
Перевірка розділу автозавантаження
Але давайте подивимося, як видалити «Вирус_ехе.ехе», якщо під рукою жодного з вище перелічених інструментів немає. Для початку слід перевірити всі елементи, що завантажуються разом з операційною системою.
В ОС Windows сьомої версії і нижче для цього використовується відповідний розділ в конфігураторі (msconfig), восьмою і десятою модифікаціях автозавантаження знаходиться прямо в «Диспетчері завдань» (taskmgr). Як вже зрозуміло, якщо там присутні підозрілі елементи, їх слід вимкнути, попередньо завершивши процеси. Однак виконувати перезавантаження, запропоновану системою, поки не варто.
Пошук і видалення компонентів вірусу на жорсткому диску
Наступним кроком стане пошук файлів і папок вірусу на жорсткому диску. Якщо їх розташування було визначено заздалегідь (наприклад, в «Диспетчері завдань»), проблем бути не повинно. Також можна задати пошук, скажімо, за назвою процесів в розділі автостарт і видалити знайдені об’єкти. Якщо файли з будь-яких причин виявляться заблокованими, можна скористатися програмою Unlocker або встановити для себе додаткові привілеї або права доступу. Окремо зверніть увагу на присутність в теці System32 каталогу deter, і якщо він є, видаляйте його без зволікання, оскільки більшість погроз типу «Вирус_ехе.ехе» якраз і використовують його для зберігання своїх програмних компонентів. У деяких випадках для видалення файлів вірусів спочатку потрібно буде провести аналогічні операції в реєстрі, але якщо з видаленням проблем немає, їх можна виконати і після того.
Примітка: для найбільш результативного пошуку рекомендується відразу включити відображення прихованих файлів і каталогів, оскільки в більшості випадків вірусні погрози ховаються саме в таких локаціях і представлені саме в такому вигляді.
Дії в системному реєстрі
У редакторі реєстру (regedit) у першу чергу необхідно звернути увагу на папки автозавантаження Run і RunOnce в гілках HKLM і HKCU (їх можна знайти через звичайний пошук за допомогою поєднання Ctrl + F). В цих розділах слід видалити всі підозрілі запису і ключі.
Крім того, в гілці HKLM через розділи SOFTWARE, Microsoft і WindowsNT слід знайти папку CurrentVersion з подкаталогом Winlogon, де параметр Shell має бути вказано значення Explorer.exe, а для ключа Userinit – повний шлях до однойменного виконуваного файлу (Userinit.exe) в теці System32. Якщо значення відрізняються, їх слід змінити. І тільки тепер можна виконати повний рестарт системи. По ідеї, від вірусів зазначеного типу і сліду не залишиться.
Висновок
Такі коротко основні методи пошуку і нейтралізації вірусних загроз, що впливають на виконувані файли. Підводячи короткий підсумок усьому вищесказаному, залишається сказати, що при ручному видаленні загроз, якщо вони з якихось причин не зможуть бути нейтралізовані антивірусними засобами, після їх видалення і повного перезавантаження системи на всяк випадок все одно слід виконати сканування комп’ютера, але при цьому бажано змінити сканер або використовувати кілька однотипних програм від різних розробників.