раніше убиті

Прочитали: 4652 Коментарів: 124 Рейтинг: 290

Іноді трапляється так, що один і той же вірус або троян виявляється антивірусом на комп'ютері із завидною періодичністю, навіть якщо користувач віддав команду на його видалення. Питання про причини цього явища користувачі задають як на різних сайтах в Інтернеті, так і в запитах, які направляються в службу технічної підтримки «Доктор Веб». Причин цьому може бути багато. Почнемо з традиційних.

  • Шкідливий файл може розташовуватися на змінному носії / в папці / на жорсткому диску, які виключені користувачем з перевірки. Для вирішення проблеми потрібно перевірити всі без винятку диски і змінні носії антивірусним сканером або утилітою Dr.Web CureIt! c допомогою завантажувального диска Dr.Web LiveDisk.
  • Шкідливий файл може розташовуватися на іншому комп'ютері в локальній мережі і проникнути через відкриті на запис папки. Для вирішення проблеми рекомендується в разі повторного виявлення шкідливої ​​програми на одному комп'ютері перевірити антивірусом всі комп'ютери в мережевому оточенні.
  • Шкідливий файл автоматично відновлюється з резервної копії. Операційна система Windows має систему автоматичного відновлення, але при створенні архівів не передбачені процедури антивірусної перевірки. Якщо раніше віддалений шкідливий файл заразив важливий компонент системи, ОС може спробувати його відновити - і вірус буде виявлений антивірусом в процесі відновлення. У цьому випадку проблему зможе вирішити повна перевірка системи антивірусним сканером.
  • Помилки в налаштуваннях антивірусного захисту. Найбільш типовий випадок - використання для захисту тільки антивірусного сканера. В цьому випадку вилікувані файли заражаються працюючим вірусом прямо в ході перевірки.

Дуже часто повторне зараження комп'ютера здійснюють так звані завантажувальні віруси - буткіти, здатні модифікувати завантажувальний запис комп'ютера. наприклад, Trojan.GBPBoot.1 складається з декількох модулів. Перший з них модифікує головний завантажувальний запис (MBR) на жорсткому диску комп'ютера, після чого записує в кінець відповідного розділу (поза файлової системи) модуль вірусного інсталятора, модуль автоматичного відновлення троянця, архів з файлом explorer.exe і сектор з конфігураційними даними. Після чого поміщає в системну папку вірусний інсталятор, запускає його, а власний файл видаляє.

У разі якщо з яких-небудь причин відбувається видалення файлу шкідливої ​​служби (наприклад, в результаті сканування диска антивірусною програмою), спрацьовує механізм самовідновлення. З використанням модифікованої троянцем завантажувального запису в момент запуску комп'ютера стартує процедура перевірки наявності на диску файлу шкідливої ​​системної служби. У разі його відсутності Trojan.GBPBoot.1 перезаписує стандартний файл explorer.exe власним, що містить «інструмент самовідновлення», після чого він запускається одночасно із завантаженням ОС Windows. Отримавши управління, шкідливий екземпляр explorer.exe повторно ініціює процедуру зараження, після чого відновлює і запускає оригінальний explorer.exe.

https://news.drweb.ru/?i=2927&c=23&lng=ru&p=0

  • Шкідливий файл виявляється антивірусом, але не може бути видалений через відсутність необхідних прав доступу до цього файлу (про те, чому так відбувається, докладно написано у випуску « Риба гниє з голови, а смартфон з кореня ») Або помилок в процесі лікування, повідомлення про які були проігноровані користувачем.

Подібні ситуації виникають не тільки на комп'ютерах, що працюють під управлінням Windows, але і на мобільних пристроях. Так, оскільки троянці сімейства Android.Loki розміщують частину своїх компонентів в системних папках ОС Android, до яких у антивірусних систем немає повного доступу, при виявленні на пристрої будь-який з таких шкідливих програм найоптимальніший спосіб ліквідувати наслідки зараження - перепрошивка пристрою з використанням оригінального способу ОС .

http://news.drweb.com/show/?c=5&i=9822&lng=ru

# троянець

Отримуйте Dr.Web-ки за участь в проекті
Кожна активність = 1 Dr.Web-ка

Оцініть випуск

Зробіть репост

Поставте «Подобається»

Щоб отримувати нагороди треба увійти на сторінку випуску через акаунт на сайті «Доктор Веб» (або Створити аккаунт ). Аккаунт повинен бути пов'язаний з вашим аккаунтом в соціальній мережі. Відео про зв'язуванні аккаунта .


Ru/?
Com/show/?