Как удалить со своего компьютера вредоносные шпионские, вредоносные, рекламные программы, вирусы, трояны или руткиты?

297014
Gnoupi

Что мне делать, если мой компьютер с Windows кажется зараженным вирусом или вредоносным ПО?

  • Каковы симптомы инфекции?
  • Что я должен делать после того, как заметил инфекцию?
  • Что я могу сделать, чтобы избавиться от этого?
  • как предотвратить заражение вредоносным ПО?

Этот вопрос часто возникает, и предлагаемые решения обычно совпадают. Эта вики сообщества - это попытка дать исчерпывающий, наиболее полный ответ.

Не стесняйтесь добавлять свои вклады через изменения.

435
Одна вещь, которую определенно НЕЛЬЗЯ делать, - это установить любой из инструментов «защиты от вредоносного ПО», к которым вы обращаетесь, когда вы попадаете на веб-страницу с надписью «Ваш компьютер заражен вирусом!». Это почти наверняка сами вредоносные программы. Вы должны использовать только проверенные инструменты (предположительно), указанные ниже или на другом доверенном сайте. Daniel R Hicks 11 лет назад 65
@ Gnoupi Эта статья может быть интересна http://www.maketecheasier.com/understanding-viruses-worms-trojans-spyware-malware/ Simon 10 лет назад 0
Для тех, кто только приходит на этот вопрос, желая получить версию tl; dr ... После заражения нет никакого пути (ну ... нет способа, который не подразумевал бы, что вы уже являетесь инженером-компьютерщиком и потратили несколько лет своей жизни) чтобы выполнить цифровое вскрытие на машине), чтобы избавиться от / быть уверены, что вы избавились от инфекции. Вредоносные программы могут скрываться в ваших файлах, ваших прикладных программах, ваших операционных системах, встроенном программном обеспечении ... Вот почему вы никогда не должны доверять компьютеру, который был заражен. Поставщики AV попытаются убедить вас, что их продукт - это серебряная пуля, которая исправит вашу систему. Они лгут. Parthian Shot 9 лет назад 20
@DanielRHicks на самом деле в некоторых случаях они приводят к легальному AV-продукту. В прошлый раз я видел это на Android с его надоедливой «встроенной функцией поддержки рекламы» (рекламные панели появляются внизу приложений и веб-страниц). Например, я только что нажал «удалить вирус!» объявление и я попали в Google Play Store на странице приложений [360 Security - Antivirus Boost] (https://play.google.com/store/apps/details?id=com.qihoo.security&hl=en). David Balažic 8 лет назад 0
Когда мы рассматриваем возможность использования виртуальных руткитов и руткитов микропрограммного обеспечения, мы можем в значительной степени сказать: вы костей. Эти два типа руткитов сохраняются в тех областях вашего компьютера, которые вы не можете очистить. Если вы хотите избавиться от них, вам нужно купить новый компьютер. Руткиты прошивки встречаются редко, а виртуальные руткиты еще не существуют, но все же: существование этих двух руткитов доказывает, что не существует 100% работающего универсального решения, которое сохранит вашу компьютерную вредоносную программу свободной на всю вечность и за ее пределами. Как немец я бы подготовил его к "Eierlegende Wollmilchsau" BlueWizard 8 лет назад 0
@JonasDralle: если вы имеете в виду руткиты виртуальных машин, они действительно существуют. Один из аргументов против использования .NET при разработке антивирусного решения. 0xC0000022L 7 лет назад 0
@ 0xC0000022L я исследовал тему школьного эссе. На момент написания этой статьи (август 2015 г.) ни одного руткита виртуальной машины в дикой природе не было. Не уверен, что они просто не дикие или если они так невероятно хорошо спрятаны, что их просто еще не наблюдали. BlueWizard 7 лет назад 0
@JonasDralle: ну, это проблема с вашей формулировкой. Вы имеете в виду руткиты гипервизора (то есть те, которые влияют на гипервизор, такой как VirtualBox или VMware и, следовательно, гостей виртуальных машин), или вы имеете в виду руткиты виртуальной машины (например, для байт-кода .NET). Это две разные категории в целом. Что касается первого, прототипы существовали в течение достаточно долгого времени (2008?), И было бы ужасно трудно - если не просто невозможно - обнаружить их, если вы работаете против вредоносного ПО, работающего «внутри матрицы». Другой тип описан с 2008 года, и его будет легче внедрить. 0xC0000022L 7 лет назад 0
@DanielRHicks Эти веб-сайты с «таким» контентом - это веб-сайты, похожие на некоторые известные веб-сайты, например: «fileh ** o ** stguru.com» - оригинальный веб-сайт с ** буквой ** `o` и" fileh ** 0 ". ** stguru.com "- это какой-то вымышленный сайт с ** номером **` 0`, я бы не сказал, что этот вымышленный сайт может нанести вред вашему ПК, но я бы посоветовал вам просто посмотреть результаты в Google, а не посещать их. , Mukul Kumar 7 лет назад 0

19 ответов на вопрос

261
Joel Coehoorn

Вот в чем дело: вредоносное ПО за последние годы стало более хитрым и противным :

Подлый, потому что он путешествует в стаях. Тонкие вредоносные программы могут скрываться за более очевидными инфекциями. В ответах здесь есть много хороших инструментов, которые могут найти 99% вредоносных программ, но всегда есть 1%, которые они пока не могут найти. В основном, этот 1% - это что-то новое : вредоносные инструменты не могут его найти, потому что он только что вышел и использует какой-то новый эксплойт или технику, чтобы скрыть себя, о чем инструменты еще не знают.

Вредоносные программы также имеют короткий срок годности. Если вы заражены, то что-то из этого нового 1%, скорее всего, будет одной частью вашей инфекции. Это будет не вся инфекция, а только ее часть. Инструменты безопасности помогут вам найти и удалить более очевидное и известное вредоносное ПО, а также, вероятнее всего, удалить все видимые симптомы (потому что вы можете продолжать копать, пока не зайдете так далеко), но они могут оставить маленькие кусочки, как кейлоггер или руткит, скрывающийся за каким-то новым эксплойтом, который инструмент безопасности еще не знает, как проверить. У инструментов защиты от вредоносных программ все еще есть место, но я вернусь к этому позже.

Тем более, что он не будет просто показывать рекламу, устанавливать панель инструментов или использовать ваш компьютер как зомби. Современные вредоносные программы, скорее всего, подойдут для банковской информации или информации о кредитных картах. Люди, создающие этот материал, больше не просто сценаристы, ищущие славу; теперь они организованные профессионалы, мотивированные прибылью, и если они не могут украсть у вас напрямую, они будут искать что-то, что смогут обернуть и продать. Это может быть обработка или сетевые ресурсы на вашем компьютере, но это также может быть ваш номер социального страхования или шифрование ваших файлов и удержание их для выкупа.

Объедините эти два фактора, и больше не стоит даже пытаться удалять вредоносные программы из установленной операционной системы . Раньше я был очень хорош в удалении этого материала, до такой степени, что я зарабатывал значительную часть своей жизни таким образом, и я больше даже не пытался. Я не говорю, что это невозможно, но я говорю, что результаты анализа затрат / выгод и рисков изменились: это просто больше не стоит. На карту поставлено слишком много, и слишком легко получить результаты, которые кажутся эффективными.

Многие люди со мной не согласятся по этому поводу, но я призываю их недостаточно сильно взвешивать последствия неудач. Готовы ли вы поставить свои сбережения на жизнь, свой хороший кредит, даже свою личность, что вы лучше в этом, чем мошенники, которые делают миллионы, делая это каждый день? Если вы пытаетесь удалить вредоносное ПО, а затем продолжаете использовать старую систему, это именно то, что вы делаете.

Я знаю, что есть люди, которые читают эту мысль: «Эй, я удалил несколько инфекций с разных машин, и ничего плохого не случилось». Я тоже, друг. Я тоже. В прошлые дни я очистил свою долю зараженных систем. Тем не менее я полагаю, что теперь нам необходимо добавить «еще» в конец этого заявления. Вы можете быть эффективны на 99%, но вы должны ошибаться только один раз, и последствия неудачи намного выше, чем когда-то; стоимость только одного отказа может легко перевесить все другие успехи. У вас может даже быть машина, на которой уже есть бомба замедленного действия, просто ожидающая активации или сбора правильной информации, прежде чем сообщать о ней. Даже если у вас сейчас 100% эффективный процесс, этот материал постоянно меняется. Помните: вы должны быть совершенны каждый раз;

Таким образом, это неудачно, но если у вас есть подтвержденное заражение вредоносным ПО, то полное повторное оповещение компьютера должно быть первым, куда вы включаете, а не последним.

Вот как это сделать:

Перед заражением убедитесь, что у вас есть способ переустановить любое приобретенное программное обеспечение, включая операционную систему, которое не зависит от того, что хранится на вашем внутреннем жестком диске. Для этого это обычно означает просто зависание на CD / DVD или ключах продукта, но операционная система может потребовать от вас создания дисков восстановления самостоятельно. 1 Не полагайтесь на раздел восстановления для этого. Если вы подождете до завершения заражения, чтобы убедиться, что у вас есть все, что нужно для повторной установки, вы можете снова заплатить за то же программное обеспечение. С ростом вымогателей также крайне важно регулярно создавать резервные копии ваших данных (плюс, вы знаете, обычные не злонамеренные вещи, такие как сбой жесткого диска).

Если вы подозреваете, что у вас есть вредоносная программа, посмотрите другие ответы здесь. Предложено много хороших инструментов. Моя единственная проблема - лучший способ их использования: я использую их только для обнаружения. Установите и запустите инструмент, но как только он обнаружит доказательства реальной инфекции (не просто «отслеживание файлов cookie»), просто остановите сканирование: инструмент выполнил свою работу и подтвердил вашу инфекцию. 2

Во время подтвержденной инфекции предпримите следующие шаги:

  1. Проверьте свой кредит и банковские счета. К тому времени, когда вы узнаете об инфекции, реальный ущерб уже может быть нанесен. Примите любые меры, необходимые для защиты ваших карт, банковского счета и личности. Измените пароли на любом веб-сайте, к которому вы обращались с скомпрометированного компьютера. Не используйте скомпрометированный компьютер, чтобы сделать что-либо из этого.
  2. Сделайте резервную копию ваших данных (даже лучше, если у вас уже есть).
  3. Переустановите операционную систему, используя оригинальный носитель, полученный непосредственно от издателя ОС. Убедитесь, что переустановка включает в себя полное переформатирование вашего диска; восстановления системы или операции восстановления системы недостаточно.
  4. Переустановите ваши приложения.
  5. Убедитесь, что ваша операционная система и программное обеспечение полностью обновлены и обновлены.
  6. Запустите полную антивирусную проверку, чтобы очистить резервную копию со второго шага.
  7. Восстановите резервную копию.

Если все сделано правильно, это может занять от двух до шести часов реального времени, распределенных в течение двух-трех дней (или даже дольше), пока вы ждете, пока устанавливаются приложения, загружаются обновления Windows или большие файлы резервных копий. перевести ... но это лучше, чем выяснить позже, что мошенники истощили ваш банковский счет. К сожалению, это то, что вы должны сделать сами, или для вас сделает хороший друг. При обычной ставке консалтинга около 100 долларов в час купить новую машину дешевле, чем заплатить в магазине за это. Если у вас есть друг, сделайте это за вас, сделайте что-нибудь приятное, чтобы выразить свою признательность. Даже фанаты, которые любят помогать вам создавать новые вещи или ремонтировать сломанное оборудование, часто ненавидятскука уборки. Также лучше, если вы возьмете свою резервную копию ... ваши друзья не узнают, куда вы положили, какие файлы или какие действительно важны для вас. Вы в лучшем положении, чтобы сделать хорошую резервную копию, чем они.

Вскоре даже всего этого может оказаться недостаточно, поскольку сейчас существует вредоносное ПО, способное заражать прошивку. Даже замена жесткого диска не может удалить инфекцию, и покупка нового компьютера будет единственным вариантом. К счастью, в то время, когда я пишу это, мы еще не достигли этой точки, но это определенно на горизонте и приближается быстро.

Если вы абсолютно безоговорочно настаиваете на том, что вы действительно хотите очистить существующую установку, а не начинать заново, ради бога, убедитесь, что любой используемый вами метод включает в себя одну из следующих двух процедур:

  • Извлеките жесткий диск и подключите его как гостевой диск к другому (чистому!) Компьютеру, чтобы запустить сканирование.

ИЛИ ЖЕ

  • Загрузка с CD / USB-ключа с собственным набором инструментов, работающих под собственным ядром. Убедитесь, что изображение для этого получено и записано на чистом компьютере. При необходимости попросите друга сделать диск для вас.

Ни при каких обстоятельствах не пытайтесь очистить зараженную операционную систему, используя программное обеспечение, работающее как гостевой процесс скомпрометированной операционной системы. Это просто глупо.

Конечно, лучший способ исправить инфекцию - это, во-первых, избежать ее, и есть несколько вещей, которые вы можете сделать, чтобы помочь с этим:

  1. Держите вашу систему исправленной. Убедитесь, что вы быстро устанавливаете Обновления Windows, Adobe Updates, Java Updates, Apple Updates и т. Д. Это гораздо важнее, чем антивирусное программное обеспечение, и по большей части это не так сложно, если вы всегда в курсе. Большинство из этих компаний неофициально решили выпускать все новые исправления в один и тот же день каждого месяца, поэтому, если вы будете в курсе, это не будет вам часто мешать. Обычно прерывания Центра обновления Windows происходят только тогда, когда вы игнорируете их слишком долго. Если это часто случается с вами, это зависит от вас, чтобы изменить свое поведение. Это важно, и не стоит постоянно выбирать опцию «установить позже», даже если в данный момент это проще.
  2. Не запускайте от имени администратора по умолчанию. В последних версиях Windows это так же просто, как оставить функцию UAC включенной.
  3. Используйте хороший инструмент брандмауэра. В наши дни брандмауэр по умолчанию в Windows достаточно хорош. Возможно, вы захотите дополнить этот слой чем-то вроде WinPatrol, который поможет остановить вредоносную активность на внешнем интерфейсе. Защитник Windows также работает в этом качестве. Базовые плагины браузера Ad-Blocker также становятся все более полезными на этом уровне в качестве инструмента безопасности.
  4. Установите большинство плагинов браузера (особенно Flash и Java) на «Попросить активировать».

  5. Запустите текущее антивирусное программное обеспечение. Это далекая пятая часть по сравнению с другими вариантами, так как традиционное программное обеспечение A / V часто просто не так эффективно. Также важно подчеркнуть «текущий». У вас может быть лучшее в мире антивирусное программное обеспечение, но если оно не обновлено, вы можете просто удалить его.

    По этой причине в настоящее время я рекомендую Microsoft Security Essentials. (Начиная с Windows 8, Microsoft Security Essentials является частью Защитника Windows.) Вероятно, существуют гораздо лучшие механизмы сканирования, но Security Essentials будет постоянно обновляться, даже не рискуя просроченной регистрацией. AVG и Avast также хорошо работают таким образом. Я просто не могу рекомендовать какое-либо антивирусное программное обеспечение, за которое вы фактически должны заплатить, потому что слишком часто бывает так, что платная подписка теряет силу, и вы в конечном итоге получаете устаревшие определения.

    Здесь также стоит отметить, что пользователям Mac теперь нужно запускать и антивирусные программы. Дни, когда они могли обойтись без этого, давно прошли. Кроме того, я думаю, что это весело, теперь я должен рекомендовать пользователям Mac покупать антивирусное программное обеспечение, но советую пользователям Windows против этого.

  6. Избегайте торрент-сайтов, варез, пиратского программного обеспечения и пиратских фильмов / видео. Этот материал часто внедряется в вредоносное ПО человеком, который взломал или опубликовал его - не всегда, но достаточно часто, чтобы избежать всего беспорядка. Это часть того, почему взломщик сделал бы это: часто они получат долю любой прибыли.
  7. Используйте свою голову при просмотре веб-страниц. Вы самое слабое звено в цепи безопасности. Если что-то звучит слишком хорошо, чтобы быть правдой, это, вероятно, так. Наиболее очевидная кнопка загрузки - это та, которую вы больше не хотите использовать при загрузке нового программного обеспечения, поэтому обязательно прочитайте и поймите все на веб-странице, прежде чем переходить по этой ссылке. Если вы видите всплывающее окно или слышите звуковое сообщение с просьбой позвонить в Microsoft или установить какой-либо инструмент безопасности, это подделка.
    Кроме того, предпочитайте загружать программное обеспечение и обновления / обновления непосредственно от поставщика или разработчика, а не сторонних веб-сайтов для размещения файлов.

1 Microsoft теперь публикует установочный носитель Windows 10, чтобы вы могли легально скачать и записать на флэш-накопитель объемом 8 ГБ или более бесплатно. Вам по-прежнему нужна действующая лицензия, но вам больше не нужен отдельный диск восстановления для базовой операционной системы.

2 Самое время отметить, что я несколько смягчил свой подход. Сегодня большинство «инфекций» подпадают под категорию PUP (потенциально нежелательных программ) и расширений браузера, включенных в другие загрузки. Часто эти PUP / расширения могут быть безопасно удалены с помощью традиционных средств, и в настоящее время они представляют собой достаточно большой процент вредоносных программ, которые я могу остановить на этом этапе и просто попробовать опцию «Установка и удаление программ» или обычную опцию браузера, чтобы удалить расширение. Тем не менее, при первых признаках чего-то более глубокого - любого намека на то, что программное обеспечение не просто удалится нормально - и снова вернется к восстановлению машины.

Это кажется самым мудрым, в настоящее время, действительно. Я бы добавил, что есть еще одна причина, по которой некоторые вредоносные программы могут быть скрытными: они останутся бездействующими и будут использовать ваш компьютер для других действий. Может быть прокси, хранить вещи более или менее незаконно или быть частью DDOS-атаки. Gnoupi 11 лет назад 5
хмм, как вы думаете о [сброс Windows 8] (http://blogs.msdn.com/b/b8/archive/2012/01/04/refresh-and-reset-your-pc.aspx) для первого шага # 2 Conrad Frix 11 лет назад 0
@ConradFrix Слишком скоро, чтобы сказать ... Мне еще не нужно было делать это на ПК с Windows 8 ... но я пессимистичен, потому что это не приводит к переформатированию диска. Windows 8 включает в себя несколько улучшений безопасности, в том числе запуск антивирусного программного обеспечения с момента 0 в составе ОС, так что я надеюсь, что мне вообще никогда не понадобится делать это для Windows 8. Joel Coehoorn 11 лет назад 2
Я бы поставил под сомнение утверждение, что для переустановки системы требуется «от двух до шести часов». Я должен был сделать это несколько месяцев назад (из-за коррупции, не связанной с проблемами программ-шпионов), и это заняло десятки часов в течение нескольких дней. Простая установка отставания обновлений Windows занимает часы. Daniel R Hicks 11 лет назад 0
@DanielRHicks прочитать полное предложение. Это от двух до шести часов вашего времени, распределенных в течение дня или трех, когда вы будете умело начинать что-то и проверять позже. Если вы все сидите с ребенком, тогда да: это займет некоторое время. Joel Coehoorn 11 лет назад 5
@JoelCoehoorn Это только я, или вредоносное ПО, которое продвинулось бы, также заразило бы прошивку на всех видах компонентов, делая любые усилия по удалению бесполезными? Enis P. Aginić 9 лет назад 2
Я устанавливаю и запускаю новое бесплатное программное обеспечение в режиме песочницы, используя sandboxy. После того, как я проверил программное обеспечение и установленные файлы, я позволил им мигрировать в настоящий каталог установки. Или я просто удаляю все, если я не доверяю этому. jiggunjer 9 лет назад 0
@TaylorGibb Было бы разумно поддерживать такое изображение в актуальном состоянии, чтобы избежать случайной демонстрации себя в тот момент, когда вы начнете использовать его клон. Andrea 9 лет назад 0
«Стоит также отметить, что пользователям Mac теперь нужно запускать и антивирусное программное обеспечение» - верно ли это для Linux (из-за его низкой популярности)? Mateusz Konieczny 7 лет назад 0
Помните, что если вы делаете резервную копию ПОСЛЕ того, как обнаружите заражение, весьма вероятно, что сама резервная копия заражена. Пожалуйста, отсканируйте резервную копию перед попыткой восстановления. Tejas Kale 7 лет назад 2
Я полностью согласен с утверждением, что Microsoft Security Essentials является лучшим, несмотря на то, что он не очень известен (* я думаю, потому что другие коммерческие антивирусы имеют очень мощную рекламу *) Vladimir Bershov 7 лет назад 1
199
William Hilsum

Как я могу узнать, заражен ли мой компьютер?

Общие симптомы для вредоносных программ могут быть чем угодно. Обычными являются:

  • Машина работает медленнее, чем обычно.
  • Случайные сбои и происходящие события, когда они не должны (например, некоторые новые вирусы накладывают ограничения на групповую политику на вашем компьютере, чтобы предотвратить запуск диспетчера задач или других диагностических программ).
  • Диспетчер задач показывает высокую загрузку процессора, когда вы думаете, что ваша машина должна простаивать (например, <5%).
  • Объявления появляются в случайном порядке.
  • Предупреждения о вирусах появляются из-за антивируса, который вы не помните, установив (антивирусная программа является поддельной и пытается заявить, что у вас страшно звучащие вирусы с такими именами, как «bankpasswordstealer.vir». Вам рекомендуется заплатить за эту программу, чтобы очистить эти ).
  • Всплывающие окна / фальшивый синий экран смерти (BSOD) с просьбой позвонить по номеру, чтобы исправить инфекцию.
  • Интернет-страницы, перенаправленные или заблокированные, например, домашние страницы продуктов AV или сайтов поддержки (www.symantec.com, www.avg.com, www.microsoft.com), перенаправляются на сайты, заполненные рекламой, или поддельные сайты, рекламирующие поддельные вирус / "полезные" средства для удаления, или заблокированы вообще.
  • Увеличено время запуска, когда вы не устанавливали какие-либо приложения (или патчи) ... Это неудобно.
  • Ваши личные файлы зашифрованы, и вы видите записку с требованием выкупа.
  • Что угодно, если вы «знаете» свою систему, вы обычно знаете, когда что-то не так.

Как мне избавиться от этого?

Использование Live CD

Поскольку вирусный сканер зараженного компьютера может быть скомпрометирован, возможно, безопаснее сканировать диск с Live CD. Компакт-диск загрузит специализированную операционную систему на вашем компьютере, которая будет сканировать жесткий диск.

Есть, например, Avira Antivir Rescue System или ubcd4win . Дополнительные предложения можно найти в списке бесплатных загрузочных загрузочных антивирусных CD, таких как:

  • Kaspersky Rescue CD
  • BitDefender Rescue CD
  • F-Secure Rescue CD
  • Avira Antivir Rescue Disk
  • Компакт-диск Trinity Rescue Kit
  • AVG Rescue CD

Подключение жесткого диска к другому ПК

Если вы подключаете зараженный жесткий диск к чистой системе для его сканирования, убедитесь, что вы обновили определения вирусов для всех продуктов, которые вы будете использовать для проверки зараженного диска. Ожидание недели, чтобы поставщики антивирусов выпустили новые определения вирусов, могут повысить ваши шансы на обнаружение всех вирусов.

Убедитесь, что ваша зараженная система остается отключенной от Интернета, как только вы обнаружите, что она заражена. Это предотвратит загрузку новых версий вирусов (среди прочего).

Начните с хорошего инструмента, такого как Spybot Search and Destroy или Malwarebytes 'Anti-Malware, и выполните полное сканирование. Также попробуйте ComboFix и SuperAntiSpyware . Ни у одного антивирусного продукта нет определения каждого вируса. Использование нескольких продуктов является ключевым ( не для защиты в реальном времени ). Если в системе останется хотя бы один вирус, он сможет загрузить и установить все последние выпуски новых вирусов, и все усилия на данный момент были бы напрасны.

Удалить подозрительные программы из загрузки

  1. Запустите в безопасном режиме.
  2. Используется msconfigдля определения того, какие программы и службы запускаются при загрузке (или при запуске в диспетчере задач в Windows 8).
  3. Если есть программы / службы, которые подозрительны, удалите их из загрузки. В противном случае перейдите к использованию живого CD.
  4. Запустить снова.
  5. Если симптомы не проходят и / или программа заменяет себя при запуске, попробуйте использовать программу под названием Autoruns, чтобы найти программу и удалить ее оттуда. Если ваш компьютер не может загрузиться, в Autoruns есть функция, с помощью которой его можно запускать со второго компьютера, который называется «Анализировать автономный компьютер». Обратите особенно пристальное внимание Logonи Scheduled tasksвкладки.
  6. Если по-прежнему не удается удалить программу, и вы уверены, что это является причиной ваших проблем, загрузитесь в обычном режиме и установите инструмент под названием Unlocker.
  7. Перейдите к местоположению файла, который является этим вирусом, и попытайтесь использовать unlocker для его уничтожения. Может произойти несколько вещей:
    1. Файл удален и больше не появляется при перезапуске. Это лучший случай.
    2. Файл удален, но сразу появляется снова. В этом случае используйте программу Process Monitor, чтобы узнать, какая программа создала файл заново. Вам нужно будет также удалить эту программу.
    3. Файл не может быть удален, разблокировщик предложит вам удалить его при перезагрузке. Сделайте это и посмотрите, появится ли это снова. Если это так, у вас должна быть программа в загрузке, которая вызывает это, и пересмотрите список программ, которые запускаются при загрузке.

Что делать после восстановления

Теперь должно быть безопасно (надеюсь) загрузиться в вашу (ранее) зараженную систему. Тем не менее, держите глаза открытыми для признаков инфекции. Вирус может оставить на компьютере изменения, которые упростят повторное заражение даже после удаления вируса.

Например, если вирус изменил настройки DNS или прокси-сервера, ваш компьютер перенаправит вас на фальшивые версии законных веб-сайтов, так что загрузка того, что кажется хорошо известной и надежной программой, может фактически привести к загрузке вируса.

Они также могут получить ваши пароли, перенаправив вас на поддельные сайты банковских счетов или поддельные сайты электронной почты. Обязательно проверьте настройки DNS и прокси. В большинстве случаев ваш DNS должен предоставляться вашим Интернет-провайдером или автоматически приобретаться DHCP. Ваши настройки прокси должны быть отключены.

Проверьте ваш hostsфайл ( \%systemroot%\system32\drivers\etc\hosts) на наличие подозрительных записей и немедленно удалите их. Также убедитесь, что ваш брандмауэр включен и у вас есть все последние обновления Windows.

Затем защитите свою систему с помощью хорошего антивируса и дополните его антивирусным продуктом. Microsoft Security Essentials часто рекомендуется вместе с другими продуктами .

Что делать, если все не получается

Следует отметить, что некоторые вредоносные программы очень хорошо избегают сканеров. Вполне возможно, что после заражения он может установить руткиты и т. П., Чтобы оставаться невидимым. Если все действительно плохо, единственный вариант - стереть диск и переустановить операционную систему с нуля. Иногда сканирование с использованием GMER или Kaspersky TDSS Killer может показать вам, есть ли у вас руткит.

Вы можете сделать несколько запусков Spybot Search and Destroy. Если после трех запусков не удается удалить заражение (и вам не удается это сделать вручную), рассмотрите возможность повторной установки.

Еще одно предложение: Combofix - очень мощный инструмент для удаления, когда руткиты препятствуют запуску или установке других компонентов.

Использование нескольких механизмов сканирования, безусловно, может помочь найти вредоносные программы, которые лучше всего скрыты, но это сложная задача, и хорошая стратегия резервного копирования / восстановления будет более эффективной и безопасной.

Бонус: есть интересная серия видеороликов, начинающаяся с « Понимания и борьбы с вредоносным ПО: вирусы, шпионское ПО» с Марком Руссиновичем, создателем Sysinternals ProcessExplorer & Autoruns, о очистке от вредоносных программ.

Очистка диска часто является самым быстрым и безопасным маршрутом, который предлагается на этом сайте как «лучший ответ». Ivo Flipse 14 лет назад 72
@Wil - Я бы также предложил запустить любое из антивирусных программ в безопасном режиме (если это позволяет программное обеспечение), чтобы убедиться, что все файлы, которые он находит как зараженные или связанные с вредоносными программами, могут быть полностью удалены. Isxek 14 лет назад 0
Исходя из моего опыта, я бы не стал доверять шпионам в качестве первого выбора. Avira, Kaspersky Virus Removal Tool и AVG являются хорошим свободным выбором в соответствии с AV-сравнительными http://www.av-comparatives.org/ & AV-Test.org: http://blogs.pcmag.com/securitywatch/2009/12. /av-testorg_releases_real-world.php fluxtendu 14 лет назад 1
Я бы также предложил использовать инструмент Sysclean компании Trend Micro, который можно найти здесь: http://www.trendmicro.com/download/dcs.asp. Вам нужно будет загрузить как антивирусные, так и антишпионские файлы определений, которые необходимы для полного сканирования и избавления вашей машины от вредоносных программ. Isxek 14 лет назад 0
Единственная проблема заключается в том, что это не предоставляет пошаговые инструкции по удалению вредоносных программ. Кроме того, поскольку вредоносные программы постоянно меняются, инструкции по удалению всегда должны развиваться для борьбы с ними. James Watt 13 лет назад 0
Одно из предположений заключается в том, что многие из этих вредоносных программ _до_ крадут пароли и банковские данные, поэтому неплохо было бы отключиться от Интернета, как только у вас возникнет подозрение на заражение. Это может быть слишком поздно, но есть вероятность, что вы ограничите утечку данных или предотвратите обновление самой вредоносной программы до тех пор, пока вы не добьетесь успеха в своей очистке. emgee 13 лет назад 17
Если у вас нет другого резервного компьютера, вы всегда можете использовать другой жесткий диск в качестве главного, сделать свой жесткий диск ведомым и выполнить сканирование. Fahad Uddin 12 лет назад 0
@emgee Хорошее эмпирическое правило: если у вас есть сомнения, вытащите его (разъем Ethernet) Nate Koppenhaver 12 лет назад 3
Combofix.org не является официальным местом загрузки Combofix и не разрешен или рекомендован автором Combofix. Официальная загрузка [здесь] (http://www.bleepingcomputer.com/download/anti-virus/combofix). Andrew Lambert 12 лет назад 5
У меня на самом деле был клиент, который предоставил звонящему, выдававшему себя за удаленный доступ к своей машине, Майкрософт. Даже после прохождения всех сканирований, онлайн и с живого компакт-диска, ее техническая поддержка на работе все же сказала ей переустановить. Я не думал, что это было необходимо, но я сделал это, и затем началась целая куча окон (ПОСЛЕ переустановки). Поняв, что они могут сбросить вирус загрузочного сектора или что-то подобное, я начал сначала с живого компакт-диска и выполнил 'sudo dd bs = 1M if = / dev / zero of = / dev / sda'. Сейчас я участвую в аналогичном проекте, хотя по электронной почте он получил фишинг на «обновление до Windows 7», а не по телефону conspiritech 12 лет назад 0
86
quack quixote

В книге Джеффа Этвуда «Как убрать заражение шпионским ПО Windows» есть несколько полезных советов по борьбе с вредоносным ПО . Вот основной процесс (обязательно прочитайте в блоге скриншоты и другие подробности, которые скрыты в этом резюме):

  1. Остановите все программы-шпионы, работающие в данный момент. Встроенный диспетчер задач Windows не будет его сокращать; получить Sysinternals Process Explorer .
    1. Запустите Process Explorer.
    2. Сортировать список процессов по названию компании.
    3. Убейте все процессы, которые не имеют названия компании (за исключением DPC, прерываний, системы и процесса простоя системы) или имеют имена компаний, которые вы не можете распознать.
  2. Остановите перезапуск шпионского ПО при следующей загрузке системы. Опять же, встроенный инструмент Windows, MSconfig, является частичным решением, но Sysinternals AutoRuns - это инструмент для использования.
    1. Запустите автозапуск.
    2. Просмотрите весь список. Снимите флажки с подозрительных записей - те, которые имеют пустые имена издателей или любые имена издателей, которых вы не узнаете.
  3. Теперь перезагрузитесь.
  4. После перезагрузки перепроверьте с помощью Process Explorer и AutoRuns. Если что-то «вернется», вам придется копать глубже.
    • В примере Джеффа одна вещь, которая возвратилась, была подозрительной записью водителя в AutoRuns. Он говорит, отслеживая процесс, который загрузил его в Process Explorer, закрывая дескриптор и физически удаляя мошеннический драйвер.
    • Он также обнаружил, что DLL-файл со странным именем подключается к процессу Winlogon, и демонстрирует поиск и уничтожение потоков процесса, загружающих эту DLL, чтобы в результате автозапуск мог окончательно удалить записи.
Кроме того, Trend Micro [HijackThis] (http://free.antivirus.com/hijackthis/) - это бесплатная утилита, которая создает подробный отчет о настройках реестра и файлов с вашего компьютера. Я предупрежу, что это находит хорошие и плохие вещи и не делает различий, но Google - наш друг, если мы подозрительны. Umber Ferrule 12 лет назад 3
Ссылка Sysinternals Process Explorer не работает. Эти ответы есть в некоторых топ-результатах Google. Может кто-нибудь обновить это обновленной ссылкой? Я тоже ищу это. Malavos 9 лет назад 2
Автозапуск - это фантастика, но предложение положиться на издателя может оказаться бесполезным. Этот вопрос о стековом потоке показывает, как информация о версии может быть легко модифицирована (и, следовательно, подделана) [http://stackoverflow.com/questions/284258/how-do-i-set-the-version-information-for-an-existing- EXE-DLL]. Я попробовал это на Java DLL, и автозапуск показал издателю неправильно. AlainD 8 лет назад 0
ваша ссылка на автозапуск systernals не работает Daniel 6 лет назад 0
49
Tom Wijsman

Мой способ удаления вредоносных программ эффективен, и я никогда не видел его сбой:

  1. Загрузите автозапуск и, если вы все еще используете 32-разрядную версию, загрузите сканер руткитов.
  2. Загрузитесь в безопасном режиме и запустите автозапуск, если сможете, затем перейдите к шагу 5.
  3. Если вы не можете войти в безопасный режим, подключите диск к другому компьютеру.
  4. Запустите автозапуск на этом компьютере, перейдите в Файл -> Анализировать автономную систему и заполните его.
  5. Подождите, пока сканирование будет сделано.
  6. В меню «Параметры» выберите все.
  7. Позвольте ему сканировать снова, нажав F5. Это будет происходить быстро, поскольку все кешируется.
  8. Просмотрите список и снимите все, что является подозрительным или не имеет проверенной компании.
  9. Необязательно: Запустите сканер руткитов.
  10. Пусть главный антивирусный сканер удалит все оставленные файлы.
  11. Необязательно: Запустите антивирусные и антишпионские сканеры, чтобы избавиться от мусора.
  12. Необязательно: Запустите такие инструменты, как HijackThis / OTL / ComboFix, чтобы избавиться от мусора.
  13. Перезагрузитесь и наслаждайтесь чистой системой.
  14. Необязательно: Запустите сканер руткитов снова.
  15. Убедитесь, что ваш компьютер достаточно защищен!

Некоторые замечания:

  • Автозапуск написан Microsoft и, таким образом, показывает любые места, которые автоматически запускаются ...
  • После отмены проверки программного обеспечения из автозапуска оно не запустится и не сможет помешать вам удалить его ...
  • Для 64-битных операционных систем не существует руткитов, потому что их нужно подписать ...

Он эффективен, потому что он запрещает запуск вредоносных / шпионских программ / вирусов,
вы можете запускать дополнительные инструменты для очистки от ненужных файлов, оставшихся в вашей системе.

44
Moab

Следуйте приведенному ниже порядку для дезинфекции вашего компьютера

  1. На незараженном ПК создайте загрузочный AV-диск, затем загрузитесь с диска на зараженном ПК и просканируйте жесткий диск, удалив все найденные инфекции. Я предпочитаю автономный загрузочный CD / USB Защитника Windows, поскольку он может удалять вирусы загрузочного сектора, см. «Примечание» ниже.

    Или вы можете попробовать другие диски AV Boot .

  2. После того, как вы отсканировали и удалили вредоносное ПО с помощью загрузочного диска, установите бесплатный MBAM, запустите программу, перейдите на вкладку «Обновление» и обновите ее, затем перейдите на вкладку «Сканер» и выполните быстрое сканирование, выберите и удалите все, что найдете.

  3. Когда MBAM закончится, установите бесплатную версию SAS, запустите быстрое сканирование, удалите то, что оно автоматически выбирает.

  4. Если системные файлы Windows были заражены, вам может потребоваться запустить SFC для замены файлов, возможно, вам придется сделать это в автономном режиме, если он не загрузится из-за удаления зараженных системных файлов. Я рекомендую вам запускать SFC после любого удаления инфекции.

  5. В некоторых случаях вам может потребоваться запустить восстановление при загрузке (только для Windows Vista и Windows7), чтобы снова запустить его правильно. В крайних случаях может потребоваться 3 ремонта при запуске подряд.

MBAM и SAS не являются AV-программами, такими как Norton, они представляют собой сканеры по требованию, которые сканируют только на наличие неприятностей при запуске программы и не влияют на установленное AV-устройство; их можно запускать один раз в день или неделю, чтобы убедиться, что вы не заражены. Обязательно обновляйте их перед каждым ежедневным сканированием.

Обратите внимание: что продукт Защитника Windows в автономном режиме очень хорошо удаляет постоянные инфекции MBR, которые являются распространенными в наши дни.

,

Для опытных пользователей:

Если у вас есть одна инфекция, которая представляет себя как программное обеспечение, например, «Исправление системы», «AV Security 2012» и т. Д., См. Эту страницу для конкретных руководств по удалению

,

Вероятно, лучшим решением будет иметь второй компьютер, предназначенный для сканирования на вирусы, поскольку вы не полагаетесь на зараженный диск для своей системы. Однако, кроме фирм по поддержке компьютеров, я сомневаюсь, что у многих есть такое готовое решение. Gnoupi 13 лет назад 3
Если нет выделенного ПК, аналогичную процедуру можно выполнить, загрузив систему с live CD Ophir Yoktan 13 лет назад 2
@Ophir: Live CD? Fahad Uddin 12 лет назад 0
например: [http://distro.ibiblio.org/tinycorelinux/welcome.html](http://distro.ibiblio.org/tinycorelinux/welcome.html) Ophir Yoktan 12 лет назад 1
Как примечание, [Microsoft Standalone System Sweeper] (http://connect.microsoft.com/systemsweeper) - это просто [старое имя] (http://forum.thewindowsclub.com/windows-security/33602-difference- Между-windows-defender-offline-beta-standalone-system-sweeper.html # post163803) Защитника Windows в автономном режиме, на случай, если кто-то обнаружит это тоже. Scott Chamberlain 12 лет назад 0
36
ChrisF

Если вы заметили какие-либо из симптомов, то вам нужно проверить настройки DNS вашего сетевого подключения.

Если они были изменены с «Получать адрес DNS-сервера автоматически» или на другой сервер, отличный от того, которым он должен быть, то это хороший признак того, что вы заражены. Это будет причиной переадресации с сайтов, защищенных от вредоносных программ, или полного отказа от доступа к сайту вообще.

Вероятно, хорошей идеей будет записать ваши настройки DNS до того, как произойдет заражение, чтобы вы знали, какими они должны быть. Также подробности будут доступны на страницах справки вашего интернет-провайдера.

Если у вас нет заметок о DNS-серверах и вы не можете найти информацию на своем интернет-провайдере, то использование DNS-серверов Google является хорошей альтернативой. Их можно найти в 8.8.8.8 и 8.8.4.4 для основного и дополнительного серверов соответственно.

Сброс DNS не решит проблему, но позволит вам: а) добраться до сайтов, защищающих от вредоносных программ, чтобы получить программное обеспечение, необходимое для очистки ПК, и б) определить, повторяется ли заражение, так как настройки DNS снова изменятся.

31
harrymc

The possible solutions for a virus infection are in order: (1) antivirus scans, (2) system repair, (3) total reinstall.

Make first sure that all your data is backed up.

Load and install some antiviruses, make sure they are up to date, and scan deeply your hard disk. I recommend using at least Malwarebytes' Anti-Malware. I also like Avast.

If that doesn't work for any reason, you may use a rescue live-CD virus scanner : I like best Avira AntiVir Rescue System because it gets updated several times a day and so the download CD is up-to-date. As a boot CD it's autonomous and doesn't work using your Windows system.

If no virus is found, use "sfc /scannow" to repair important Windows files.
See this article.

If that also doesn't work, you should Perform a Repair Installation.

If nothing works, you should format the hard disk and reinstall Windows.

При заражении недавним вирусом / трояном я использовал Knoppix на USB-накопителе, запустил apt-get wine, установил Dr Web Cure-It во время моего винного сеанса и запустил его, чтобы очистить мою инфекцию. Я должен был сделать это таким образом, потому что мой ноутбук не загружал некоторые другие альтернативы live-CD. PP. 14 лет назад 2
31
DanBeale

Существует большое разнообразие вредоносных программ. Некоторые из них тривиально найти и удалить. Некоторые из них сложнее. Некоторые из них действительно трудно найти, и их очень трудно удалить.

Но даже если у вас легкое вредоносное ПО, вам следует подумать о переформатировании и переустановке ОС. Это связано с тем, что ваша система безопасности уже потерпела неудачу, и если она не удалась для простого вредоносного ПО, возможно, вы уже заражены вредоносным вредоносным ПО.

Людям, работающим с конфиденциальными данными или внутри сетей, в которых хранятся конфиденциальные данные, настоятельно рекомендуется стереть и переустановить. Люди, чье время ценно, должны тщательно стереть и переустановить (это самый быстрый, самый простой и надежный метод). Людям, которые не знакомы с продвинутыми инструментами, настоятельно рекомендуется стереть и переустановить.

Но люди, у которых есть время и которые любят есть, могут попробовать методы, перечисленные в других публикациях.

Правильный. Этот материал предназначен для обеспечения безопасности, очистки и повседневного использования ОС. Не участвуйте в гонке вооружений. Нулевая терпимость - единственная политика. XTL 12 лет назад 3
29
Ben N

Вымогатели

Более новой, особенно ужасной формой вредоносного ПО является вымогатель . Программа такого типа, обычно поставляемая с трояном (например, вложением в электронную почту) или эксплойтом браузера, просматривает файлы вашего компьютера, шифрует их (делает их полностью неузнаваемыми и непригодными для использования) и требует выкуп, чтобы вернуть их в работоспособное состояние. государство.

В Ransomware обычно используется криптография с асимметричным ключом, которая включает два ключа: открытый ключ и закрытый ключ . Когда вас атакует вымогатель, вредоносная программа, запущенная на вашем компьютере, подключается к серверу злоумышленников (команда-контроль или C & C), который генерирует оба ключа. Он только отправляет открытый ключ вредоносной программе на вашем компьютере, поскольку это все, что нужно для шифрования файлов. К сожалению, файлы могут быть расшифрованы только с помощью закрытого ключа, который даже не попадает в память вашего компьютера, если вымогатель хорошо написан. Плохие парни обычно заявляют, что они дадут вам закрытый ключ (что позволит вам расшифровать ваши файлы), если вы заплатите, но, конечно, вы должны доверять им, чтобы сделать это.

Что ты можешь сделать

Лучший вариант - переустановить ОС (чтобы удалить все следы вредоносного ПО) и восстановить ваши личные файлы из резервных копий, которые вы сделали ранее. Если у вас нет резервных копий сейчас, это будет более сложным. Заведите привычку делать резервные копии важных файлов.

Оплата, вероятно, позволит вам восстановить ваши файлы, но, пожалуйста, не делайте этого . Это поддерживает их бизнес-модель. Кроме того, я говорю «возможно, позволит вам выздороветь», потому что я знаю по крайней мере два штамма, которые настолько плохо написаны, что они непоправимо портят ваши файлы; даже соответствующая программа дешифрования фактически не работает.

альтернативы

К счастью, есть третий вариант. Многие разработчики вымогателей допустили ошибки, которые позволили хорошим специалистам по безопасности разрабатывать процессы, устраняющие ущерб. Процесс для этого полностью зависит от нагрузки вымогателей, и этот список постоянно меняется. Некоторые замечательные люди собрали большой список вариантов вымогателей, включая расширения, примененные к заблокированным файлам, и имя записки выкупа, которые могут помочь вам определить, какая у вас версия. Этот список содержит ссылку на бесплатный расшифровщик. Следуйте соответствующим инструкциям (ссылки находятся в столбце Decryptor), чтобы восстановить ваши файлы. Прежде чем начать, используйте другие ответы на этот вопрос, чтобы убедиться, что программа-вымогатель удалена с вашего компьютера.

Если вы не можете определить, что вас поразило, только по расширениям и названию выкупной записки, попробуйте поискать в Интернете несколько отличительных фраз из выкупной записки. Орфографические или грамматические ошибки, как правило, довольно уникальны, и вы, скорее всего, наткнетесь на ветку форума, в которой указаны вымогатели.

Если ваша версия еще не известна или у вас нет бесплатного способа расшифровки файлов, не теряйте надежду! Исследователи безопасности работают над удалением вымогателей, а правоохранительные органы преследуют разработчиков. Вполне возможно, что расшифровщик в конечном итоге появится. Если выкуп ограничен по времени, вполне возможно, что ваши файлы все еще можно будет восстановить при разработке исправления. Даже если нет, пожалуйста, не платите, если вам абсолютно не нужно. Пока вы ждете, убедитесь, что на вашем компьютере нет вредоносных программ, снова воспользовавшись другими ответами на этот вопрос. Подумайте о резервном копировании зашифрованных версий ваших файлов, чтобы сохранить их в безопасности, пока не выйдет исправление

Как только вы восстановите как можно больше (и сделаете его резервные копии на внешний носитель!), Настоятельно рекомендуем установить ОС с нуля. Опять же, это уничтожит любую вредоносную программу, которая оказалась глубоко внутри системы.

Дополнительные советы по конкретным вариантам

Несколько советов по конкретным вариантам вымогателей, которых еще нет в большой таблице:

  • Если инструмент дешифрования для LeChiffre не работает, вы можете восстановить все, кроме первой и последней 8 КБ данных каждого файла, используя шестнадцатеричный редактор. Перейдите по адресу 0x2000 и скопируйте все, кроме последних 0x2000 байтов. Небольшие файлы будут полностью разрушены, но с некоторыми хлопотами вы сможете получить что-то полезное из больших.
  • Если вы столкнулись с WannaCrypt и используете Windows XP, не перезагружались после заражения и вам повезло, вы можете извлечь секретный ключ с помощью Wannakey .
  • Bitdefender имеет ряд бесплатных инструментов, которые помогут идентифицировать вариант и расшифровать некоторые конкретные варианты.
  • (другие будут добавлены по мере их обнаружения)

Заключение

Ransomware противен, и грустная реальность такова, что не всегда возможно оправиться от него. Чтобы быть в безопасности в будущем:

  • Постоянно обновляйте операционную систему, веб-браузер и антивирус
  • Не открывайте вложения электронной почты, которые вы не ожидали, особенно если вы не знаете отправителя
  • Избегайте отрывочных веб-сайтов (т.е. сайтов с нелегальным или этически сомнительным контентом)
  • Убедитесь, что ваша учетная запись имеет доступ только к тем документам, с которыми вам лично нужно работать
  • Всегда имейте рабочие резервные копии на внешнем носителе (не подключенном к вашему компьютеру)!
Сейчас доступно несколько программ, которые предположительно защитят вас от вымогателей, например: https://www.winpatrol.com/WinAntiRansom/ (коммерческая программа). Я никогда не использовал это, потому что я больше не на Windows, но продукт компании WinPatrol, который я использовал в течение многих лет и часто рекомендовал. Некоторые разработчики антивирусов имеют инструменты для защиты от вымогателей, иногда в качестве более дорогого варианта. fixer1234 7 лет назад 0
Для получения дополнительной информации об удалении Petya Ransomware, также см. Этот вопрос и ответ: http://superuser.com/questions/1063695/i-am-a-victim-of-the-petya-ransomware-is-there-a-solution -в-расшифровывать-мой-диск fixer1234 7 лет назад 0
В заключение я бы добавил еще одну вещь в список советов: избегайте посещения сайтов, пропагандирующих незаконное или аморальное поведение, таких как пиратство в средствах массовой информации и программное обеспечение; содержание, которое запрещено в большинстве стран мира; и т. д. Эти сайты часто заключают контракты с * наименее * авторитетными поставщиками рекламы, которые вообще не предпринимают никаких реальных усилий для фильтрации содержимого своих «рекламных объявлений», позволяя злоумышленникам внедрить на вашу веб-страницу контент, который доставляет вредоносное ПО или пытается использовать его. ваш браузер, чтобы получить доступ к вашей системе. Иногда даже хороший рекламодатель пропустит это. Horn OK Please 7 лет назад 2
@allquicatic Я добавил пулю в том же духе. Дайте мне знать, если что-нибудь еще можно расширить. Спасибо! Ben N 7 лет назад 0
24
Scott Chamberlain

Еще одним инструментом, который я хотел бы добавить к обсуждению, является сканер безопасности Microsoft . Он был выпущен несколько месяцев назад. Это немного похоже на Средство удаления вредоносных программ, но предназначено для автономного использования. Он будет иметь самые последние определения на момент его загрузки и будет использоваться только в течение 10 дней, так как будет считать его файл определений «слишком старым для использования». Загрузите его с другого компьютера и запустите в безопасном режиме. Это работает довольно хорошо.

Похожие вопросы