Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (97)
  • добавить в избранное
    Добавить в закладки

Ранее убитые

Прочитали: 6180 Комментариев: 72 Рейтинг: 301

12 июля 2016

Иногда случается так, что один и тот же вирус или троянец обнаруживается антивирусом на компьютере с завидной периодичностью, даже если пользователь отдал команду на его удаление. Вопросы о причинах этого явления пользователи задают как на различных сайтах в Интернете, так и в запросах, направляемых в службу технической поддержки «Доктор Веб». Причин этому может быть много. Начнем с традиционных.

  • Вредоносный файл может располагаться на сменном носителе / в папке / на жестком диске, которые исключены пользователем из проверки. Для решения проблемы нужно проверить все без исключения диски и сменные носители антивирусным сканером или утилитой Dr.Web CureIt! c помощью загрузочного диска Dr.Web LiveDisk.
  • Вредоносный файл может располагаться на другом компьютере в локальной сети и проникнуть через открытые на запись папки. Для решения проблемы рекомендуется в случае повторного обнаружения вредоносной программы на одном компьютере проверить антивирусом все компьютеры в сетевом окружении.
  • Вредоносный файл автоматически восстанавливается из резервной копии. Операционная система Windows имеет систему автоматического восстановления, но при создании архивов не предусмотрены процедуры антивирусной проверки. Если ранее удаленный вредоносный файл заразил важный компонент системы, ОС может попытаться его восстановить — и вирус будет обнаружен антивирусом в процессе восстановления. В этом случае проблему сможет решить полная проверка системы антивирусным сканером.
  • Ошибки в настройках антивирусной защиты. Наиболее типичный случай — использование для защиты только антивирусного сканера. В этом случае вылеченные файлы заражаются работающим вирусом прямо в ходе проверки.

Очень часто повторное заражение компьютера осуществляют так называемые загрузочные вирусы — буткиты, способные модифицировать загрузочную запись компьютера. Например, Trojan.GBPBoot.1 состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.

В случае если по каким-либо причинам происходит удаление файла вредоносной службы (например, в результате сканирования диска антивирусной программой), срабатывает механизм самовосстановления. С использованием модифицированной троянцем загрузочной записи в момент запуска компьютера стартует процедура проверки наличия на диске файла вредоносной системной службы. В случае его отсутствия Trojan.GBPBoot.1 перезаписывает стандартный файл explorer.exe собственным, содержащим «инструмент самовосстановления», после чего он запускается одновременно с загрузкой ОС Windows. Получив управление, вредоносный экземпляр explorer.exe повторно инициирует процедуру заражения, после чего восстанавливает и запускает оригинальный explorer.exe.

https://news.drweb.ru/?i=2927&c=23&lng=ru&p=0

  • Вредоносный файл обнаруживается антивирусом, но не может быть удален по причине отсутствия необходимых прав доступа к этому файлу (о том, почему так происходит, подробно написано в выпуске «Рыба гниет с головы, а смартфон с корня») или ошибок в процессе лечения, уведомления о которых были проигнорированы пользователем.

Подобные ситуации возникают не только на компьютерах, работающих под управлением Windows, но и на мобильных устройствах. Так, поскольку троянцы семейства Android.Loki размещают часть своих компонентов в системных папках ОС Android, к которым у антивирусных систем нет полного доступа, при обнаружении на устройстве любой из таких вредоносных программ самый оптимальный способ ликвидировать последствия заражения — перепрошивка устройства с использованием оригинального образа ОС.

http://news.drweb.com/show/?c=5&i=9822&lng=ru

#троянец

Антивирусная правДА! рекомендует

  • К сожалению, антивирус не может обнаружить все (т. е. 100%) новейшие вредоносные программы. Поэтому для уменьшения вероятности их проникновения необходимо ограничивать права работающих на компьютере пользователей. Не имеющий прав администратора пользователь не сможет запускать все программы подряд, и единственный способ, который останется для запуска троянца, — использовать уязвимости. Ограничение прав пользователя снижает опасность заражения, например, через фишинговые атаки.
  • Необходимо регулярно проводить полную антивирусную проверку системы и устанавливать критические обновления для всех используемых программ (не только антивируса!).

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: