Загрузите файл на сайт, который сканирует файлы с помощью нескольких антивирусных программ. Сайты, предоставляющие этот тип услуг бесплатно, включают в себя следующее:
- VirusTotal - теперь принадлежит Google. В настоящее время сканирует загруженные файлы с помощью 56 антивирусных программ.
- Jotti's Malware Scan
- VirSCAN
Если это вредоносное ПО, есть большая вероятность, что одна из антивирусных программ, используемых на этих сайтах, обнаружит вредоносное ПО. Получив имя, данное вредоносному ПО поставщиком антивирусных программ, вы сможете искать в Интернете это имя, чтобы получить дополнительную информацию о том, что оно делает.
Если это вредоносная программа, простого удаления файла или переименования может оказаться недостаточно, чтобы избавить вашу систему от вредоносной программы. Могут быть и другие файлы и параметры реестра Windows , связанные с вредоносным ПО, которое может потребоваться удалить. Даже если этот файл был одним из важнейших для работы вредоносного ПО, некоторые вредоносные программы содержат код "реаниматолога", который просто воссоздает или загружает любой файл, который ему нужен, который вы удаляете, если вы не избавились от остальной части вредоносного ПО.
Поэтому вам нужно сканировать вашу систему с помощью антивирусного / антишпионского программного обеспечения. Ниже перечислены некоторые бесплатные антивирусные и антишпионские программы, которые я использую для сканирования зараженных систем. Поскольку в вашей системе сейчас нет антивирусного программного обеспечения, не будет никакого конфликта с существующим антивирусным программным обеспечением.
- Рекламный бесплатный антивирус +
- Malwarebytes Anti-Malware
- Утилита для удаления Sophos Virus
- SUPERAntiSpyware
- Spybot - поиск и уничтожение
Примечание. Бесплатные версии антивирусных и антишпионских программ часто не выполняют сканирование в режиме реального времени. Т.е. они сканируют систему только тогда, когда вы запускаете сканирование вручную. Это предпочтительнее, если у вас имеется антивирусное программное обеспечение, поскольку оно уменьшает вероятность конфликта между несколькими антивирусными программами в системе, что может значительно замедлить работу системы, если каждый файл, к которому осуществляется доступ, сканируется несколькими антивирусными программами, что я даже видел, система непригодна Но вы должны установить в систему антивирусную программу, которая выполняет сканирование в режиме реального времени после того, как вы удалили все вредоносные программы. У вас должно быть некоторое программное обеспечение, постоянно отслеживающее систему на наличие вредоносных программ, чтобы предотвратить заражение.
Поэтому я бы порекомендовал изначально использовать бесплатные версии вышеперечисленных программ. После того, как вы уничтожили любую вредоносную программу, вы можете приобрести в режиме реального времени сканирующую версию одной из вышеуказанных или другой антивирусной программы.
Возможно, вам придется сканировать систему с помощью более чем одного из перечисленных выше способов, поскольку иногда производители антивирусов A, B, C и D еще не сталкивались с вредоносным ПО X, но программное обеспечение производителя антивируса E знает о вредоносном ПО X и может его уничтожить. Но для вредоносного ПО Y антивирусное программное обеспечение E может не знать об этом, но B и D, возможно, столкнулись с ним и поэтому имеют для него сигнатуру вируса и знают, как его уничтожить.
Вы также можете сканировать систему с помощью программы обнаружения руткитов, которая ищет вредоносные программы, которые умеют скрывать себя. Я перечислил несколько бесплатных программ обнаружения руткитов ниже.
- GMER
- Kaspersky TDSSKiller
- Malwarebytes Anti-Rootkit
Мне нравится иметь возможность загружать зараженную систему с Live CD, чтобы операционная система, обычно используемая для загрузки системы, не работала во время сканирования. Многие производители антивирусов предоставляют бесплатный Live CD, который вы можете использовать для таких целей. Некоторые, которые я использовал, включают следующее:
- Avira Rescue System
- AVG Rescue CD
- BitDefender Rescue CD
- F-Secure Rescue CD
- Kaspersky Rescue Disk
Я считаю, что в прошлом я видел то, что вы описываете в чьей-то системе, зараженной вредоносным ПО, но я не могу вспомнить название вредоносного ПО, ответственного в этом случае.
Если вы загрузили его в VirusTotal и ни одна из используемых им антивирусных программ не пометила файл как потенциально опасный, то это может быть innocuos. Вы можете выполнить поиск по контрольной сумме для файла, как Скотт предложил в своем комментарии. Контрольная сумма определяется с помощью математического вычисления, которое должно дать уникальный номер для файла. Возможно, что два неидентичных файла могут иметь одинаковую контрольную сумму MD5 , но это маловероятно. Существуют и другие типы контрольных сумм, например, определенные с помощью алгоритма безопасного хеширования.
Если вы загрузили файл в VirusTotal, перейдите на вкладку « Сведения о файле» после того, как файл будет отсканирован. Найдите значение MD5, а затем найдите его в Интернете. Вы можете найти дополнительную информацию таким образом. Например, если вы случайно переместили / переименовали какой-либо файл операционной системы или файл, связанный с какой-либо программой в вашей системе, в этот файл, контрольная сумма MD5 может показать, что если вы выполняете поиск контрольной суммы в Интернете и обнаруживаете, что она связана с какой-либо программой abcd. exe, например, тогда вы можете случайно переименовать abcd.exe. Или, по крайней мере, вы могли бы получить некоторое представление о первоначальной цели файла. Вкладка « Сведения о файле » может также предоставить вам дополнительную информацию о содержимом загруженного вами файла, например, если в файле была обнаружена информация об издателе или авторских правах.
Если вы загрузите файл в программу сканирования вредоносных программ Jotti, он покажет вам контрольные суммы MD5 и SHA-1 для файла, а также тип файла. Например, он может показывать «PE32 исполняемый файл (консоль) Intel 80386 для MS Windows» в качестве типа, если файл был исполняемой программой. VirSCAN также покажет контрольные суммы MD5 и SHA1, а также тип файла. Вы также можете выполнить поиск по хешу SHA-1, если не нашли соответствия для хеша MD5.
Вы также можете использовать сайт онлайн-хэширования . Вы можете выбрать другие параметры хеширования, такие как SHA-256 или SHA-512, и загрузить файл, и сайт скажет вам значение контрольной суммы для них, нажав кнопку конвертировать файл . Затем вы можете выполнить онлайн-поиск по шестнадцатеричному значению, которое он предоставляет.
Причина, по которой Скотт предложил такой подход, состоит в том, что, если файл, который вы нашли, также существует в других системах, есть большая вероятность, что кто-то еще вычислил контрольную сумму для файла и опубликовал контрольную сумму где-то в Интернете с дополнительной информацией о файле. , Если файл в вашей системе уникален, вы ничего не найдете, но если это не так, вы можете найти дополнительную информацию о нем с помощью этого метода.
Для двоичных файлов вы также можете искать « строки », то есть текст, читаемый человеком, в файле, используя программные строки Microsoft Sysinternals. Это инструмент, который вы запускаете из командной строки. Например, вы можете использовать команду ниже:
C:>strings "C:\Program" > examine.txt
Это приведет к тому, что программа для работы со строками будет искать в файле «C:\Program» текст, читаемый человеком, и сохранять то, что он найдет в файле exam.txt. Откройте файл exam.txt с помощью Блокнота. Там вы можете найти текст, который дает представление о происхождении файла. Например, вы можете увидеть название компании или даже информацию об авторских правах, например, «Copyright (c) 1997 Microsoft Corp.1». Вы даже можете увидеть URL. Или вы можете не увидеть ничего, что поможет вам догадаться о происхождении файла. Но это еще одна проверка, которую вы можете выполнить.
Если вы не найдете ничего подозрительного в отношении файла, тогда может быть безопасно просто переименовать или удалить его, но посмотрите, не появится ли он снова, например, если он появится позже в тот же день или после перезагружать.
