Как найти вирусы в реестре Windows 10
Обновлено: 21.11.2024
Вирус сложно удалить из системного реестра Windows, потому что не так просто найти место, где скрывается вирус. Кроме того, опасно редактировать данные внутри реестра. Если вы введете или удалите неправильный ключ, данные или значение, после этого Windows может перестать работать. Здесь мы просто покажем вам, как проверить любую нежелательную программу, загруженную в память при запуске Windows.
Для изменения данных реестра необходимо запустить редактор реестра Microsoft - RegEdit.exe. Вы можете нажать кнопку «Пуск», затем выбрать «Выполнить». пункт. Когда появится окно «Выполнить», введите «RegEdit» в текстовое поле «Открыть:» и нажмите кнопку «ОК».
Возможно, вы не сможете использовать RegEdit, поскольку вирус блокирует дверной проем. В этом случае вам нужно запустить Windows в безопасном режиме, чтобы запустить RegEdit. Иногда вам нужно войти в учетную запись администратора. Поэтому убедитесь, что вы знаете пароль своей учетной записи администратора, когда станете владельцем нового компьютера.
Утилита Microsoft System Configuration Utility MSConfig.exe хранит записи запускаемых программ. Кроме того, в системном реестре есть узлы входа Run, RunOnce и RunOnceEx для управления тем, какие программы могут запускаться при запуске Windows.
Во-первых, вы должны проверить все запускаемые программы внутри HEKY_LOCAL_MACHINE.
Перейдите к узлу в HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, затем найдите запись программы внутри Run, RunOnce и RunOnceEX. Если вы найдете что-то, чего не знаете, введите имя программы в формате .exe в следующее поле поиска, чтобы узнать, что это такое. Если имя .exe является вирусом или шпионской программой, вы можете удалить его.
Это то же самое, что вам нужно проверить любую запускаемую программу внутри HEKY_CURRENT_USER.
Перейдите к узлу в HEKY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion, затем найдите нежелательные программы .exe внутри Run, RunOnce и RunOnceEX. Если вы что-то найдете, то удалите их.
Некоторые вирусы позже восстановят запись или перезагрузятся, даже если вы удалите запись из редактора системного реестра. Эти вирусы нуждаются в специальных инструментах, чтобы убить их.
Вредоносное ПО реестра может привести к сбою операционной системы Windows и данных на устройстве. Чтобы защитить свой компьютер, вы можете использовать стороннее антивирусное программное обеспечение для сканирования и удаления вредоносных программ. Однако есть и другой способ — удалить вредоносное ПО из реестра Windows. Программное обеспечение MiniTool покажет вам, как использовать второй метод в этом посте.
Реестр Windows — это один из самых важных встроенных инструментов на вашем компьютере с Windows. Он может собирать базы данных, настроенные в Windows. Вредоносное ПО реестра не является редкой проблемой. Вы можете не слышать об этом. Но он существует, что может привести к сбою системы или сбою жесткого диска. Проблема может повлиять на данные на вашем компьютере.
Если вы подозреваете, что на вашем компьютере есть вредоносное ПО, вы можете использовать профессиональное антивирусное программное обеспечение для его сканирования и удаления. С другой стороны, вы также можете проверить реестр Windows на наличие вредоносных программ, потому что любая операция на вашем ПК может найти в нем след. Вы даже можете удалить вредоносное ПО из реестра Windows. Этот пост покажет вам, как выполнить эту работу.
Как проверить реестр Windows на наличие вредоносных программ?
Чтобы сохранить ключ реестра в безопасности, лучше заранее создать его резервную копию или создать точку восстановления системы. Затем вы можете сделать следующее:
- Нажмите Win+R, чтобы открыть «Выполнить».
- Введите regedit и нажмите Enter, чтобы открыть редактор реестра.
- Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion.
- Прокрутите вниз и найдите папки, имена которых начинаются с «Выполнить». На вашем компьютере вы можете найти от одной до шести таких папок по этому пути. Затем вы можете щелкнуть каждую папку, чтобы открыть список программ.
Как определить, какая программа является вредоносной? Вот две ссылки:
- В названии вредоносной программы может быть написана ошибка.
- Это незнакомая программа.
Однако этих двух элементов недостаточно для подтверждения. Вы можете найти подозрительную программу в Google, чтобы подтвердить, является ли она вредоносным ПО. Если да, вы можете щелкнуть правой кнопкой мыши эту запись и выбрать «Удалить», чтобы удалить ее из реестра Windows. После удаления записи вредоносное ПО реестра должно быть удалено.
Вредоносное ПО также может использовать другие разделы реестра, например:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Папки оболочки пользователя
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Папки оболочки пользователя
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Папки оболочки
Если вы потеряли данные из-за вредоносных программ или вирусов
Вы можете использовать профессиональное программное обеспечение для восстановления данных, чтобы вернуть потерянные данные. Прежде чем сделать это, вам лучше удалить вредоносные программы и вирусы с помощью антивирусного программного обеспечения или реестра Windows, чтобы убедиться, что будущие восстановленные файлы находятся в безопасной среде.
Это программное обеспечение имеет пробную версию. Вы можете использовать его для сканирования жесткого диска и посмотреть, сможет ли он найти файлы, которые вы хотите восстановить.
После загрузки и установки этого программного обеспечения на свой компьютер вы можете открыть его и выбрать целевой диск для сканирования.
После сканирования вы можете получить результат сканирования, в котором вы можете найти нужные файлы. Если вы хотите использовать это программное обеспечение для восстановления необходимых файлов, вам необходимо использовать полную версию.
Итог
Читая здесь, вы должны знать, как проверить реестр на наличие вредоносных программ и удалить их, если они есть. Вы также получаете бесплатный инструмент для восстановления файлов, чтобы при необходимости восстановить потерянные данные. Мы надеемся, что этот пост будет вам полезен.
ОБ АВТОРЕ
Должность: обозреватель
Стелла работает в MiniTool Software редактором английского языка более 4 лет. Ее статьи в основном охватывают области восстановления данных, включая восстановление данных с носителей и восстановление данных телефона, загрузку видео с YouTube, управление разделами и преобразование видео.
Инструменты
Существуя сотни миллионов вариантов, вредоносное ПО для Microsoft Windows не всегда изменяет базу данных реестра Windows (то есть реестр)… но обычно это происходит. Вредоносное ПО изменит реестр, чтобы убедиться, что оно может запуститься после перезагрузки, лучше скрыться или интегрироваться с существующим законным процессом. Поэтому имеет смысл отслеживать области реестра, которыми часто манипулируют вредоносные программы.
Проблема в том, что большинство законных программ изменяет те же ключи реестра, что приводит к слишком большому количеству ложноположительных «шума». Вещи, на которые вы действительно должны обратить внимание, скорее всего, будут переполнены и заглушены вещами, о которых вам действительно не нужно беспокоиться. Но если вы все сделаете правильно, это может стать отличным способом обнаружения вредоносных программ и оповещения реагирующих ресурсов.
Решение о том, какие ключи реестра следует проверять
Какие ключи реестра из десятков тысяч полезно проверять? У меня нет полного списка, который был бы на 100 % точным, но лучшим источником является программа Microsoft Sysinternals Autoruns.
Если вы просмотрите разделы реестра, которые проверяет Autorun, вы получите один из самых полных списков разделов реестра, которыми любит манипулировать вредоносное ПО. Охватывая 19 различных разделов реестра, Autoruns довольно тщательный. Некоторые люди предпочитают похожий скрипт под названием Silent Runners.vbs, но я предпочитаю Autoruns. Он не только поддерживается Microsoft, но и был создан легендарным Марком Руссиновичем и часто обновляется им и его командой.
Однако обратите внимание, что примерно один процент современных вредоносных программ является резидентным, то есть не записывает себя в постоянное хранилище. Таким образом, он не изменяет один из проанализированных разделов реестра. Чтобы обнаружить резидентные объекты памяти, следуйте процедуре, описанной в разделе «Как обнаружить заражение вредоносным ПО за 9 простых шагов».
Поиск вредоносных программ с помощью VirusTotal
В реестре главная хитрость заключается в том, чтобы определить, какие модификации являются вредоносными, а какие законными. Много лет назад для этого требовался многолетний опыт и около часа на каждую машину. Теперь вы можете сказать примерно за 15 секунд с максимально возможной точностью. Просто включите функцию автозапуска VirusTotal.
VirusTotal – это служба, принадлежащая Google, которая проверяет каждый хэш файла на каждом участвующем антивирусном программном обеспечении. В настоящее время у него 67 антивирусных ядер, хотя это число увеличивается и уменьшается. VirusTotal хорош сам по себе. Пользователи могут по отдельности отправлять файлы и узнавать, заражены ли они вредоносным ПО. Но что действительно становится лучше, так это когда программы интегрируются с ним, например Autoruns и Process Explorer.
При запуске любой утилиты и включении параметра «Проверить VirusTotal» каждый задействованный файл будет автоматически отправлен в VirusTotal, а затем для каждого файла будет возвращено соотношение.Знаменатель (нижняя половина) показывает, сколько антивирусных ядер проверило отправку. Обычно это число 67 или меньше. Номинатор (верхняя половина) показывает, сколько из этих антивирусных ядер определили отправленный файл как вредоносный. Если числитель равен 0, то задействованный файл не является вредоносным. Если числитель равен 3 или выше, то у вас обычно есть вредоносная программа. К сожалению, если числитель показывает 1 или 2, это обычно является ложным срабатыванием относительно неизвестного антивирусного ядра. Если вы будете следовать этим правилам, VirusTotal будет очень и очень точен.
Роджер Граймс/IDG
Пример интеграции Autoruns и VirusTotal с отчетными коэффициентами
Включение аудита реестра
Корпоративные объекты должны включать аудит реестра, который можно выполнить с помощью встроенных функций аудита Windows. Начать нужно, конечно же, с включения аудита реестра Windows. Это двухэтапный процесс.
Сначала необходимо включить аудит реестра в журнале событий Windows. Это можно сделать с помощью Active Directory или локальной групповой политики, чтобы найти и включить параметр «Аудит реестра» в подкатегории «Доступ к объектам» в разделе «Конфигурация расширенной политики аудита» («Конфигурация компьютера» > «Параметры Windows» > «Параметры безопасности»). Включите параметры «Успех» и «Неудача». Для последней конфигурации всегда полезно знать, какая программа (или какие пользователи) пытались изменить раздел реестра, когда у них не было необходимых разрешений.
Затем вам нужно открыть каждый отдельный раздел реестра с помощью Regedit.exe, щелкнуть правой кнопкой мыши разделы реестра, которые вы хотите проверить, выбрать параметр «Разрешения», затем нажать кнопку «Дополнительно» и, наконец, выбрать вкладку «Аудит». Добавьте группу «Все» в качестве принципала для аудита и вместо выбора одного из трех основных разрешений выберите «Показать дополнительные разрешения». Затем включите следующие разрешения:
- Установить значение
- Создать подраздел
- Создать ссылку
- Запись ЦАП
- Написать владельца
Повторите эту процедуру для каждого раздела реестра, который вы хотите отслеживать.
Аудит реестра — занятие не для слабонервных. Мой лучший совет — сосредоточиться на мониторинге разделов реестра на компьютерах, которые содержат ценные данные и другие стратегические активы (такие как контроллеры домена, серверы инфраструктуры, блоки перехода и т. д.) и которые не должны часто изменяться.
Аудит реестра может быть немного сложным, но это еще один отличный инструмент для обнаружения вредоносных программ на ваших компьютерах и в сетях. Действуйте с реалистичными ожиданиями, отсеивайте шум и добавляйте важную часть в свой общий режим обнаружения.
Подробнее о вредоносном ПО
Роджер Граймс, ведущий колонку по безопасности с 2005 года, имеет более 40 компьютерных сертификатов и является автором десяти книг по компьютерной безопасности.
Когда на вашем компьютере активируется нежелательное программное обеспечение или вредоносное ПО, оно обычно никогда не упускает возможность изменить записи в редакторе реестра Windows — иерархической базе данных операционных систем Windows, в которой хранятся конфигурации и параметры. Нежелательное программное обеспечение может оказать небольшое влияние на Windows, например изменить внешний вид заставки обоев или добавить новые кнопки в раскрывающиеся меню. Но это также может оказать более сильное влияние на систему и нарушить ее нормальное функционирование.
Вот почему его модификация, резервное копирование и очистка могут быть очень важными и в то же время сложными процессами. В этой статье мы хотим показать вам самый простой способ восстановить разрешения по умолчанию в реестрах Windows и остановить все последствия, вызванные нежелательными приложениями или вредоносным ПО.
Что такое редактор реестра Windows и как он работает
Редактор реестра Windows содержит все параметры конфигурации вашей операционной системы. Редактор содержит ключи, значения и данные в них. Путь в редакторе очень похож на любой другой каталог Windows, содержащий навигационный знак «/».
Вот наиболее часто используемые разделы реестра при открытии редактора реестра Windows:
Если вредоносный процесс установил модуль с именем «virus.exe» в каталоге профиля %AllUsers%, запись реестра может выглядеть следующим образом:
Где «%AllUsers%\virus.exe» задан как значение другого типа:
Каждый тип значения создается для выполнения функции, которая отличается от других. Вредоносное ПО может создавать новые значения для своих файлов или изменять текущие значения Windows.
Прежде чем мы начнем
Если вы хотите удалить вредоносное ПО из своего реестра, имейте в виду, что сначала вам следует удалить вредоносное ПО с вашего компьютера. НЕ рекомендуется пытаться очистить реестры, не избавляясь от каких-либо вирусов, которые их создают и изменяют. Для достижения наилучших результатов мы рекомендуем использовать расширенный инструмент защиты от вредоносных программ с возможностью обнаружения вредоносных записей реестра.
Как исправить реестр Windows, сбросив разрешения
Чтобы восстановить разрешения, которые могли быть изменены вредоносными программами в вашем реестре Windows, в прежнее состояние, вам необходимо выполнить следующие простые действия:
Шаг 1. Сделайте резервную копию данных на вашем компьютере, прежде чем приступать к очистке реестра.
Прежде чем приступить к изменению реестра Windows, важно принять во внимание, какое влияние это может оказать на ваш компьютер, особенно если он заражен. Вот почему вы должны сделать резервную копию своих данных. Вы можете использовать внешние накопители, такие как USB, Memory Stick и т. д. Кроме того, вы можете использовать облачный сервис или выполнить резервное копирование Windows в панели управления:
Шаг 2. Сделайте резервную копию данных ваших текущих записей реестра Windows.
Подшаг 1. Откройте окно «Выполнить», нажав +R.
Подшаг 2: В нем введите «regedit».
Подшаг 3: Появится редактор реестра. В нем щелкните раскрывающееся меню «Файл», расположенное в верхнем левом углу.
Подшаг 4. В меню "Файл" выберите "Экспорт".
Подшаг 5. Выберите место для экспорта резервной копии и назовите ее по своему усмотрению. В этом примере мы назвали его «justincase.reg».
Шаг 3. Загрузите и установите SubInACL с веб-сайта Microsoft, чтобы сбросить разрешения реестра
Подшаг 1: найдите SubInACL и загрузите его. Лучшим выбором будет официальный сайт Microsoft.
Подшаг 2: Установите SuInACL в каталог по умолчанию.
Шаг 4. Создайте сценарий исправления реестра.
Подшаг 1. Щелкните правой кнопкой мыши пустое место на рабочем столе и выберите «Создать» > «Текстовый документ», чтобы создать файл .txt.
Подшаг 2: Откройте текстовый документ и вставьте в него следующий скрипт:
subinacl /subkeyreg HKEY_LOCAL_MACHINE /setowner=Администраторы
subinacl /subkeyreg HKEY_CURRENT_USER /setowner=Администраторы
subinacl /subkeyreg HKEY_CLASSES_ROOT /setowner=Администраторы
subinacl /subdirectories %SystemDrive% /setowner =Администраторы
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl / подкаталоги %SystemDrive% /grant=system=f
Сохраните файл как файл .bat, нажав «Файл» > «Сохранить как…», и в появившемся окне вместо «Текстовые документы (*.txt)» выберите «Все файлы». Затем в имени введите «fix.bat» и сохраните его в «C:\Program files\Windows Resource Kits\Tools».
Шаг 5. Очистите реестр.
Подшаг 1. Откройте командную строку, выполнив поиск в меню «Пуск». Найдя его, щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора»:
Подшаг 2. В окне командной строки введите одну из этих двух команд в зависимости от того, где находится папка «Наборы ресурсов Windows»:
→ cd «C:\Program Files\Windows Resource Kits\Tools» или
cd «C:\Program Files (x86)\Windows Resource Kits\Tools»
Для этой ситуации это было (x86). Тогда вы должны увидеть следующее:
Теперь введите fix.bat и нажмите Enter.
После завершения очистки вы должны увидеть отчет о том, сколько реестров не удалось или содержало синтаксические ошибки. Все разрешения вашего реестра должны быть восстановлены до нормального состояния.
Заключение о сбросе разрешений реестра Windows
Очищать реестр Windows важно не только при обнаружении вредоносных программ, но и при обнаружении нежелательных программ на вашем компьютере. Очистка вернет все измененные настройки и может сделать ваш компьютер немного безопаснее. Мы рекомендуем вам делать это на регулярной основе, особенно если вы используете свою операционную систему уже довольно давно. Также рекомендуется загрузить и установить расширенное программное обеспечение для защиты от вредоносных программ, поскольку оно предназначено для защиты вашего реестра Windows от изменения вредоносными или другими потенциально нежелательными программами.
Вентислав Крастев
Вентислав является экспертом по кибербезопасности в SensorsTechForum с 2015 года. Он исследует, охватывает и помогает жертвам последних заражений вредоносным ПО, а также тестирует и анализирует программное обеспечение и новейшие технические разработки. Венцислав, также получивший высшее образование в области маркетинга, также увлечен изучением новых изменений и инноваций в области кибербезопасности, которые меняют правила игры. Изучив управление цепочками создания стоимости, сетевое администрирование и компьютерное администрирование системных приложений, он нашел свое истинное призвание в индустрии кибербезопасности и твердо верит в обучение каждого пользователя вопросам безопасности и защиты в Интернете.
Читайте также: