Cómo limpiar archivos exe de virus. Eliminamos el virus del sistema. Cómo funcionan los virus que infectan archivos EXE

Hoy en día Internet es un espacio virtual bastante inseguro, desde donde el usuario puede recoger algún tipo de infección o código ejecutable. Hace relativamente poco tiempo, ha aparecido un nuevo tipo de amenazas, interpretadas como "exe_virus". Tratemos de entender cómo estas amenazas afectan al sistema y cómo lidiar con ellas de la mejor manera.

EXE o los bloquea: impacto de la exposición

Los virus que afectan a los archivos ejecutables se conocen desde hace mucho tiempo (desde los días de DOS, cuando no había rastro de los sistemas Windows). En los albores del desarrollo tecnologia computacional Los archivos "ejecutables" eran los más básicos del sistema. No es de extrañar que estuvieran concentrados en ellos. Por cierto, esto también se aplica a algunos dispositivos móviles que ejecutan Windows.

Por desgracia, hoy en día la situación en la que los objetos EXE, al cambiarles el nombre a una extensión doble o simplemente reemplazar los archivos originales, parece casi desastrosa.

En realidad, en el sistema se muestra de tal manera que cuando inicia Aplicaciones de Windows emite un mensaje que indica que dicho objeto no se encontró o que no hay acceso a él. Aquí la situación se manifiesta de varias formas:

Como ya está claro, en cualquier situación el sistema no reconoce el objeto deseado. Las amenazas de este tipo a menudo ingresan al sistema cuando, por ejemplo, una actualización del navegador o programa de usuario de una fuente dudosa. Muchos usuarios, por inexperiencia, desactivan protección antivirus o incluso extensiones de navegador como AdBlock, que son capaces de bloquear anuncios emergentes, menús desplegables, componentes de carga automática, etc. Esto nunca debería hacerse.

El virus crea archivos EXE: ¿cómo afecta esto al sistema?

Cuando una amenaza comienza a afectar a una computadora infectada mediante la creación de nuevos componentes ejecutables, también puede encontrar varias opciones aquí. En la mayoría de los casos, hay dos principales:

• se crea un objeto con un nuevo nombre "virus" _exe.exe, donde "virus" es el nombre del archivo, o con el nombre original;
• el virus duplica archivos "ejecutables", insertando códigos maliciosos en sus clones.

En el primer caso, resulta mucho más fácil encontrar y neutralizar tal amenaza (un poco más tarde esto se mostrará en el ejemplo del virus some-exe.exe). En la segunda situación, la situación es algo más complicada, ya que en la mayoría de los casos la amenaza en sí se disfraza de proceso del sistema (solo recuerda los problemas con objetos como svchost.exe).

¿Todos los antivirus son adecuados para el tratamiento?

Cuando se trata de detectar este tipo de amenazas, desinfectar archivos infectados o aislar virus en cuarentena, las cosas no son tan sencillas. Y muchos paquetes antivirus gratuitos no funcionan en absoluto.

Hay muchos casos conocidos en los que los mismos paquetes gratuitos de AVG y Avira, al detectar amenazas del tipo "virus_exe.exe" que infectan archivos ejecutables (tenga en cuenta, no los eliminó ni reemplazó), cuando intento fallido La desinfección de los objetos infectados ni siquiera los puso en cuarentena, sino que, como dicen, los eliminó descaradamente. ¿A qué condujo esto? Para una reinstalación completa de todo el sistema.

Herramientas de búsqueda y eliminación óptimas

Si ya está haciendo preguntas sobre la eficacia y el tratamiento, entonces vale la pena prestar atención a las utilidades portátiles como Dr. Web CureIt! o KVRT de Kaspersky Lab.

Sin embargo, como muestra la práctica, para el escaneo más profundo (hasta operacional y memoria del sistema) las herramientas más poderosas son programas especiales como Kaspersky Rescue Disk. El principio de su trabajo es que inicialmente USB de arranque o el medio óptico desde el que se produce el lanzamiento escáner antivirus incluso antes de que Windows arranque. Además, estos escáneres pueden encontrar incluso objetos profundamente ocultos o cuidadosamente disfrazados que no son reconocidos por antivirus estándar o portátiles.

Por ejemplo, Virus de Windows, Los archivos o carpetas EXE (con la extensión .exe agregada a su nombre) se detectan con bastante rapidez, mientras que los escáneres estándar pueden omitir los objetos creados. Además, el camino hacia archivos del sistema, por lo que el acceso no es al archivo original, sino a su peligroso clon, incluso en la etapa de carga.

Virus del tipo "_exe.exe": eliminación manual con el ejemplo de la amenaza some_exe.exe

Ahora examinemos una variedad de amenazas con el nombre general "exe_exe.exe" usando un ejemplo específico.

Como ya se mencionó, se puede detectar de manera bastante simple. Para empezar, detenemos el proceso del mismo nombre en el Administrador de tareas, y luego configuramos la búsqueda en el Explorador o cualquier otro administrador de archivos, y como condición en la línea ingresamos el nombre completo o * exe.exe * (es obligatorio poner asteriscos en la línea). En principio, puede hacerlo aún más fácil, ya que el archivo en sí está "registrado" en la carpeta System32. Lo sacamos de ahí. Después de eso, elimine la biblioteca dinámica similar some_dll.dll (si la eliminación no es posible, primero solo necesita cambiar el nombre de ambos objetos).

Ahora ve al editor registro del sistema(el comando regedit en el menú Ejecutar, llamado por las teclas Win + R), donde nuevamente usamos la búsqueda (ya sea desde el menú principal, o presionando Ctrl + F). Especifique el nombre completo en la búsqueda y elimine los resultados por completo.

Si, por alguna razón, los efectos del virus aún se manifiestan, encontramos Archivo HOSTS ubicado en el directorio etc de la carpeta de controladores, que a su vez se encuentra en el directorio System32 del volumen principal (Windows) en disco del sistema, ábralo y elimine todas las líneas debajo del valor "# :: 1 localhost". Reiniciamos el sistema y todo funciona bien. Como puede ver, ni siquiera es necesario.

Conclusión

Es decir, en pocas palabras, todo lo relacionado con virus que afecten a archivos ejecutables EXE. La técnica para detectarlos y bloquearlos es bastante simple. Sin embargo, es mejor utilizar "discos de rescate" de recuperación para que no se pierda la amenaza y no la remedia manualmente.

sin usar ningún programa - antivirus

Aquí le mostraremos cómo puede detectar de forma independiente y luego eliminar archivos que pueden dañar su computadora, o virus usted mismo (manualmente) sin usar ningún software antivirus.

No es dificil. ¡Empecemos!

Cómo eliminar el virus usted mismo

La acción es necesaria como administrador.

Primero necesitas abrir línea de comando... Para hacer esto, presione el atajo de teclado VENTANAS + R y en la ventana que aparece en la línea ingresa cmd y presione OK .

Comando Cmd en la línea de comando

O presionando el botón Comienzo en la esquina inferior izquierda de la pantalla del monitor, en la barra de búsqueda, comience a escribir " línea de comando", Y luego haga clic en el resultado encontrado. botón derecho del ratón mouse y seleccione " Ejecutar como administrador».

Llamar a la línea de comando a través de la búsqueda

Ejecute la línea de comando como administrador

Brevemente sobre los objetivos de nuestras acciones futuras:

Usando el comando attrib necesitas encontrar archivos que no debe estar entre los archivos del sistema y por lo tanto puede ser sospechoso.

Generalmente, en C: / unidad no debe contener ninguna .exe o .inf archivos. Y en la carpeta C: \ Windows \ System32 tampoco debe contener ningún archivo que no sea del sistema, archivos ocultos o de solo lectura con atributos i, e S H R.

Entonces, comencemos una búsqueda manual de archivos sospechosos, es decir, virus probables, por nuestra cuenta, sin usar programas especiales.

Abra el símbolo del sistema y pegue cmd... Ejecute este archivo como administrador.

Nosotros abrimos cmd

Escribimos en la linea CD / para acceder al disco. Luego ingresamos el comando attrib... Después de cada comando, no olvide presionar ENTER:

Mando attrib en la línea de comando

Como puede ver en la última figura, los archivos con extensiones .exe o .inf extraviado.

Y aquí hay un ejemplo con los archivos sospechosos detectados:

Virus en el sistema Windows

La unidad C no contiene ningún archivo .exe y.inf, tiempo no descargará estos archivos manualmente usted mismo... Si encuentra algún archivo similar a los que encontramos y se mostrará S H R entonces podría ser virus.

Aquí se encontraron dos de esos archivos:

ejecución automática.inf

sscv.exe

Estos archivos tienen extensiones .exe y. inf y tener atributosS H R ... Por tanto, estos archivos pueden virus .

Ahora marque attrib -s -h -r -a -i nombre del archivo.extensión... O, en nuestro ejemplo, esto es:

attrib -s -h -G -a -i ejecución automática.inf

Este comando cambiará sus propiedades, haciéndolos archivos regulares. Entonces se pueden eliminar.

Para eliminar estos archivos, ingrese delnombre del archivo.extensión o en nuestro caso:

del autorun.inf

Haz lo mismo con el segundo archivo:

Eliminar virus manualmente

Ahora pasemos a la carpetaSystem32.

Por favor escribe CDganar * y presione ENTER.

Entre de Nuevo s ystem32. Presione ENTER.

Luego ingrese el comando attrib... Presione ENTER.

Apareció una larga lista:

Ingrese el comando a continuación nuevamente attribsin olvidar presionar más tarde INGRESAR:

Y encontramos estos archivos:

Archivos sospechosos en la carpeta de Windows

Cuando te mueves hacia arriba y hacia abajo, la pantalla se mueve muy rápidamente, así que cuando algo nuevo parpadea, haz una pausa y vuelve a revisar cada archivo sin perder uno solo.

Archivos sospechosos en la carpeta de Windows

Nos escribimos a nosotros mismos todos los encontrados SHArchivos R:

1. atr.inf
2. dcr.exe
3. escritorio.ini
4. idsev.exe

Ejecuta el comando attrib 3 o 4 veces para asegurarte de comprobarlo todo.

Bien. ¡Encontramos hasta 4 archivos maliciosos por nuestra cuenta! Ahora necesitamos eliminar estos 4 virus.

C: \ Windows \ System32> attrib -s -h -r -a -i atr.inf

C: \ Windows \ System32> del atr.inf

C: \ Windows \ System32> attrib -s -h -r -a -i dcr.exe

C: \ Windows \ System32> del dcr.exe

C: \ Windows \ System32> attrih -s -h -r -a -i desktop.ini

C: \ Windows \\ System32> del desktop.ini

C: \ Windows \ System32> attrib -s -h -r -a -i idsev.exe

C: \ Windows \ System32> del idsev.exe

Nosotros mismos eliminamos los virus de la computadora

Se debe realizar una operación similar con otras carpetas anidadas en el directorio de Windows.

Hay algunos directorios más que deben escanearse, como Datos de aplicación y Temperatura... Usa el comando attrib como se muestra en este artículo, y elimine todos los archivos con atributos S H R que no estén relacionados con los archivos del sistema y que puedan infectar su computadora.

Hoy en día, muchos usuarios de Internet "recogen" virus algo inusuales que afectan a los archivos ejecutables y, aun así, no todos software antivirus hacer frente a ellos. Intentemos averiguar qué se puede hacer en tal situación y, al mismo tiempo, consideremos el problema de cómo eliminar el virus "EXE" de una unidad flash USB.

¿Cómo funcionan los virus que infectan archivos EXE?

La situación con la manifestación de la actividad de virus de este tipo no es nueva. Esto ha sucedido antes. El caballo de Troya más extendido en la actualidad es Virus.Win32.Expiro (versiones "w", "ao", "bc", etc.).

Puede recogerlo en Internet de manera bastante simple y luego pensar qué hacer con él y cómo eliminarlo. El virus borra los archivos EXE, o mejor dicho, los hace no disponibles para su ejecución. No es de extrañar que cuando intentas abrir cualquier programa o aplicación, debido a la influencia del código malicioso del virus, el sistema no reconoce el archivo ejecutable y muestra un mensaje de que tal o cual archivo no fue encontrado.

Lo mas triste no es solo programas instalados, pero el primer lanzamiento del instalador (es decir, si el kit de distribución se descargó de Internet y está ubicado en el disco duro). Si la aplicación se instala desde un medio óptico, el impacto de la amenaza puede aparecer más tarde, una vez finalizado el proceso de instalación. No hace falta decir que cuando el proceso de instalación comienza desde una unidad USB, el virus salta automáticamente e infecta todos los archivos con la extensión .exe.

Pero es posible reconocer la acción del virus solo cuando se inicia el archivo ejecutable. Por eso, mientras el archivo no se está ejecutando, algunos paquetes antivirus no identifican las amenazas y la presencia de un virus no se detecta en absoluto.

Problemas de software antivirus

Veamos qué y cómo eliminar. El virus borra archivos EXE o los bloquea, no importa en este caso. Pero aquí, resulta, un arma de doble filo. Por un lado, estamos ante el bloqueo de archivos por parte del propio virus, por otro lado, la reacción incorrecta de los programas antivirus.

Entonces, por ejemplo, hoy en día hay bastantes casos en los que el mismo paquete de Avast todavía detecta un virus con un escaneo especificado por el usuario (y no con una amenaza inicialmente penetrante). Sin embargo, la definición se reduce solo al hecho de que muestra archivos EXE infectados y, debido a la imposibilidad de desinfección, los elimina indiscriminadamente. Demasiado para la situación. Parecería que todo es simple: todos saben qué y cómo eliminar. El virus ni siquiera borra los archivos EXE en sí, pero (¡paradoja!) Lo hace con las manos de un escáner antivirus. Naturalmente, tal plaga puede crear sus propias copias y disfrazarse incluso bajo procesos del sistema tipo svchost.

¿Cómo eliminar un virus (los archivos EXE están infectados)?

En cuanto a la lucha contra tal amenaza, aquí no todo es sencillo. En primer lugar, se puede recomendar a la mayoría de los usuarios que no utilicen programas y utilidades antivirus gratuitos como Avast, AVG, etc. Como último recurso, sería mejor si el sistema tuviera un antivirus en la nube como Panda.

La mayoría la mejor manera- potente software antivirus de Kaspersky Lab o ESET Corporation. Por cierto, puede utilizar los servicios de utilidades como Kaspersky Virus Removal Tool, pero primero el programa como versión portátil debe escribirse en disco óptico, utilizando una computadora no infectada para esto, y ejecútelo desde un CD o DVD. De lo contrario, no se garantiza el éxito del tratamiento.

También puede utilizar programas pequeños como CureIt, que solo curan los archivos infectados, en lugar de eliminarlos.

Pero dado que el virus, por regla general, "se asienta" en memoria de acceso aleatorio, la solución más óptima sería utilizar un lanzamiento con medios ópticos programas denominados colectivamente Rescue Disc.

Prueban todos los componentes del sistema incluso antes de su propio inicio. En la mayoría de los casos, este método es eficaz. Por cierto, esta técnica también es adecuada para unidades flash, solo en la configuración de escaneo para dispositivos de almacenamiento, deberá marcar adicionalmente la unidad USB.

Conclusión

En general, creo que algunos consejos ayudarán a la mayoría de los usuarios a comprender cómo eliminar el virus. Es difícil comprender de inmediato si el virus elimina los archivos EXE o el bloqueo no autorizado de archivos ejecutables. Pero si existe la más mínima sospecha de su presencia, se desaconseja ejecutar cualquier programa hasta el final del proceso completo de escaneo, desinfección de archivos y eliminación de la amenaza.

Entre otras cosas, es deseable tener algún paquete como seguridad de Internet, capaz de prevenir la penetración de amenazas en una etapa temprana.

Formas de infectar archivos EXE

La forma más común de infectar archivos EXE es la siguiente: se agrega el cuerpo del virus al final del archivo y se corrige el encabezado (manteniendo el original) para que cuando se inicie el archivo infectado, el virus tome el control. . Parece infectar archivos COM, pero en lugar de configurar el código para que salte al comienzo del virus, se corrige la dirección real del punto de inicio del programa. Después de la terminación del trabajo, el virus toma del encabezado guardado la dirección original de inicio del programa, agrega el valor del registro DS o ES (recibido al inicio del virus) a su componente de segmento y transfiere el control a la dirección recibida .

El siguiente método es inyectar un virus al principio del archivo con un cambio en el código del programa. El mecanismo de infección es el siguiente: el cuerpo del programa infectado se lee en la memoria, el código del virus se escribe en su lugar y luego se escribe el código del programa infectado. Por lo tanto, el código del programa es, por así decirlo, "desplazado" en el archivo por la longitud del código del virus. De ahí el nombre del método - "método de cambio". Cuando se inicia un archivo infectado, el virus infecta uno o más archivos. Después de eso, lee el código del programa en la memoria, lo escribe en un archivo temporal especialmente creado en el disco con la extensión del archivo ejecutable (COM o EXE) y luego ejecuta este archivo. Cuando el programa ha terminado de ejecutarse, se elimina el archivo temporal. Si no se utilizaron técnicas de protección adicionales durante la creación del virus, entonces es muy fácil curar el archivo infectado; simplemente elimine el código del virus al principio del archivo y el programa volverá a estar operativo. La desventaja de este método es que debe leer todo el código del programa infectado en la memoria (y hay casos de más de 1 MB de tamaño).

El siguiente método para infectar archivos, el método de transferencia, es aparentemente el más avanzado de todos. El virus se multiplica de la siguiente manera: Cuando se inicia un programa infectado, el cuerpo del virus se lee en la memoria. Luego, se busca un programa no infectado. Su comienzo se lee en la memoria, que tiene la misma longitud que el cuerpo del virus. El cuerpo del virus está escrito en este lugar. El comienzo del programa desde la memoria se agrega al final del archivo. De ahí el nombre del método - "método de transferencia". Una vez que el virus ha infectado uno o varios archivos, comienza a ejecutar el programa desde el que se inició. Para ello, lee el principio del programa infectado, guardado al final del archivo, y lo escribe al principio del archivo, restaurando la funcionalidad del programa. Luego, el virus elimina el código de inicio del programa desde el final del archivo, restaura la longitud del archivo original y ejecuta el programa. Una vez finalizado el programa, el virus vuelve a escribir su código al principio del archivo y el principio original del programa al final. Este método puede incluso infectarse con antivirus que comprueban la integridad de su código, ya que el programa lanzado por el virus tiene exactamente el mismo código que antes de la infección.