Вредоносные программы malware. Не всегда вещи такие, какими пытаются казаться. То, что поначалу может показаться разрушительной, уничтожающей компьютер, вредоносной программой иногда может быть просто подделкой.
Содержание:
Удаление malware
Эта разновидность вредоносных программ слишком популярна. Вот пошаговый процесс их удаления. При чём, мы ожидаем, что установленное на компьютере антивирусное программное обеспечение, не смогло полноценно выполнить свою работу. Попутно вы увидите, где часто прячутся вредоносные программы malware.
Представьте себе ноутбук, на котором при входе в систему, появляется пугающее сообщение. Но, нет! Вредоносная программа действует не так, как утверждает. Но, она надеется напугать владельцев, и заставив их набрать нужный номер телефона. Мошенник по телефону надеется получить информацию о вашей кредитной карте и снять деньги.
В основе этой аферы лежит программное обеспечение под названием Supremo. Которое, как утверждается, является программным обеспечением для удалённого доступа, аналог RDP, AnyDesk, TeamViewer, UltraVNC, LogMeIn и так далее.
Как и эти программы, Supremo позволяет мошеннику получить удалённый доступ к вашему компьютеру, после чего ваши пароли и личная финансовая информация подвергаются серьёзному риску кражи. Будьте осторожны. Вы можете, через поиск в Google, найти положительные отзывы о Supremo, а также, возможно, поддельные или устаревшие инструкции по его удалению. Supremo может преследовать честную и законную цель, но его связь с этой вредоносной программой - огромный красный флаг.
Первый шаг
Первоначально отображаемый экран намного больше, чем показанный, с номером телефона под нижней частью экрана. Вы ничего не потеряете, если попробуете в браузере обычное сочетание клавиш Ctrl+Minus, чтобы уменьшить размер текста. Сюрприз. Это сработало, поэтому в окне браузера появился красный экран.
Далее, Ctrl+Alt+Del не заблокировано. Оно вызвало обычные варианты выбора, поэтому нажимаем "Диспетчер задач", после чего ноутбук выглядит и ведёт себя нормально, за исключением красного экрана в фоне. Отлично! Значит можно беспрепятственно нажимать меню "Пуск", запускать и завершать программы.
Часто в разных папках скрываются неприятные файлы со скрытым атрибутом. При проверке компьютера на наличие вредоносных программ malware или вирусов, показать защищённые файлы операционной системы и отображать скрытые файлы, папки и диски можно следующим образом:
- Набрав в строке поиска Windows "Панель управления", откройте старую панель управления, затем щёлкните "Параметры проводника".
- Щёлкните вкладку "Вид", затем установите переключатель "Показывать скрытые файлы, папки и диски под скрытыми файлами и папками".
- Снимите галочку с флажка "Скрывать защищённые системные файлы (рекомендуется)".
- Windows будет жаловаться в диалоговом окне.
- Нажмите Yes (Да).
Не забудьте снова спрятать файлы и папки, когда всё закончится.
Очистка системы
Прежде чем делать что-либо ещё, найдите время, чтобы очистить систему.
- Откройте проводник Windows и введите в адресную строку %temp%.
- Выберите с помощью Ctrl+A все файлы, затем "Удалить".
- Windows не сможет удалить, используемые запущенными в данный момент приложениями, файлы и отобразит диалоговое окно с вопросом, что вы хотите сделать. Установите флажок "Сделать это" для всех текущих элементов и нажмите "Пропустить".
%temp% - это папка, в которой многие программы Windows временно хранят данные и, обычно, не убирают за собой. Накопившиеся в %temp% тысячи файлов и папок, система будет сканировать. (На некоторых компьютерах %temp% расширяется до C:\Users\AppData\Local\Temp.)
Продолжая использовать то же окно проводника Windows, которое вы использовали ранее, выполните следующие действия:
- Измените адресную строку на C:\windows\temp.
- Выберите с помощью Ctrl+A все файлы, затем "Удалить".
- Windows не сможет удалить файлы, используемые запущенными в данный момент приложениями, и отобразит диалоговое окно с вопросом, что вы хотите сделать. Установите флажок для всех текущих элементов "Сделать это" и нажмите "Пропустить".
C:\windows\temp - это другая папка, используемая для временных файлов, созданных как Windows, так и некоторыми приложениями Windows. Ей уделяется так же мало внимания, как и %temp%, и поэтому он накапливает столько же мусора.
Вот очень интересное открытие. После удаления всех возможных файлов из собственных временных папок Windows эта заражённая malware система по-прежнему показывала папку SupremoRemoteDesktop. Это означает, что она использовалась. Что является важным ключом к разгадке вредоносного ПО.
Proxy
Следующим шагом, чтобы узнать больше об этой афере, используем браузер Chrome. Chrome пожаловался, что не может получить доступ к Интернету, и предложил исправить настройки прокси-сервера ноутбука. Для этого нажмите "Настройки" (для Windows, а не для Chrome), затем "Сеть и Интернет" и, наконец, "Прокси-сервер".
Настройки прокси на этом ноутбуке определённо необычны: для параметра "Use setup script" установлено значение "On" и адрес сценария nbgvjgjgdjfjf, что вообще не имеет смысла. Очистите поле "Адрес сценария" и установите для параметра "Использовать сценарий настройки" значение "Выкл.".
Для переключателя "Использовать прокси-сервер" было установлено значение "Вкл". С адресом http://gjgjfgjgfgfjjggj и использованием порта 80. Эти значения тоже не имеют смысла, поэтому очистите адрес и порт, а затем установите для параметра "Использовать прокси-сервер" значение "Выкл".
И снова Windows не может удалить, используемые запущенными в данный момент приложениями, файлы и отобразит диалоговое окно с вопросом, что вы хотите сделать. Установите флажок "Сделать это" для всех текущих элементов и нажмите "Пропустить".
Кажущаяся случайной информация о прокси-сервере не служит дополнительной цели, кроме блокирования доступа в Интернет, шаг, явно предназначенный для того, чтобы вызвать ещё большую панику со стороны пользователя — при условии, что он или она когда-нибудь зайдёт так далеко.
После сброса прокси-сервера ноутбука, загружаем последнюю бесплатную программу CCleaner и используем её для очистки файлов и реестра Windows.
После очистки пришло время посмотреть, что диспетчер задач показал о Supremo. Никаких программ с таким именем нет, но процессы Supremo, Supremo Helper и Supremo Service требовали завершения.
После завершения процессов Supremo можно было вернуться в C:\windows\temp, удалить папку SupremoRemoteDesktop и её содержимое, программы, отвечающие за службы. Наконец, очистить корзину Windows от хлама.
Зачем нужны все усилия по очистке? Во-первых, удаление всех этих файлов сокращает время и усилия, необходимые для сканирования вирусов и вредоносных программ malware. Что ещё более важно, файлы, удалённые во время этого процесса, вряд ли могут быть частью вредоносного ПО. Это связано с тем, что файлы вредоносного ПО нельзя удалить во время его работы. По сути, невозможность удаления является, используемым этим подходом, методом обнаружения.
Проверка ПК
Чтобы быть уверенным, что Supremo и все его части работают правильно, сначала, для сканирования на вирусы, загрузите приложение Trend Micro HouseCall. В этом случае HouseCall ничего не нашёл. Чтобы быть уверенным, загрузите пробную версию Malwarebytes. Он обнаружил одну безобидную часть вредоносного ПО - угрожающее отображение красного экрана, которое представляло собой просто изображение. Чтобы убедиться, что компьютер действительно вернулся в нормальное состояние, перезагрузите его несколько раз и немного поработайте, чтобы проверить, остались ли какие-либо побочные эффекты. Наконец, измените параметры проводника в обратном порядке, вернув их к обычным настройкам.
Что заставило Supremo найти своё место в этом ноутбуке? Что бы ни делал клиент, прежде чем он выключил питание, а затем снова включил ноутбук, он видел экран с красным фоном. Отследить точную причину без регистратора данных Windows практически невозможно.
Будьте осторожны с тем, на что вы нажимаете, особенно в электронных письмах.
Вот краткий список папок на компьютерах с Windows, где часто встречаются вредоносные программы и вирусы.
- C:\windows\temp
- %temp%
- C:\windows, включая любую вспомогательную папку, содержащую исполняемые файлы, библиотеки DLL или драйверы
- C:{username}\AppData и вспомогательные папки
- C:\ProgramData и вспомогательные папки
- C:\Program Files
- C:\Program Files (x86)
Этот конкретный вариант вредоносной программы malware скрылся внутри Windows как службы, поэтому ему не нужно было добавлять программы в список автозагрузки или создавать для себя папку в C:\Program Files (x86). Другие виды вредоносных и вирусных программ, чтобы спрятаться, находят другие места, часто создавая скрытые папки.
Лучшая защита от вирусов и вредоносных программ malware находится у вас между ушами. Будьте осторожны с тем, что вы нажимаете!