Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 5132-й день

Dostavka Plus
Тут може бути також і Ваша реклама

 Как правильно лечить вирусы (c) Glok17, пошаговая, универсальная инструкция в шапке!!!

Glok17
Sep 7 2008, 14:14
  
Пост #1



Репутация:   2396  
Справжній Львяра
******

Группа: Пользователи
Сообщений: 10 062
С нами с: 13-September 07


как правильно лечить вирусы без переустановки винды. часть первая.

1. отключить комп от сети (иногда программно сеть не тушится - выдернуть шнурок Ethernet)
2. спомошью Autoruns & Process Explorer убрать лишние процесcы из памяти + всякую дрянь из автозапуска
(просто снять галки со всего кроме userinit, exploer, ctfmon)
http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx
http://technet.microsoft.com/en-us/sysinte...s/bb896653.aspx
3. не перезагружаемся! включаем систему восстановления (если была отключена) только на системном разделе. вручную создаем точку отката - нам важно сохранить реестр
4. запустить AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17. выполняем. не перезагружаемся.
5. скачать, прожечь на болванку WinPEmini, загрузится с компакта
(если винт SATA - либо отключить AHCI либо юзать Alkid liveCD)
6. на всех дисках вычистить все точки отката (System Volume Information) кроме 2-3х последних
7. вручную почистить темпа (папки временных файлов)
%temp%
C:\Documents and Setting\имя_учетки\Local Settings\Temp и Temporarly Internet Files
8. из-под WinPEmini запустить полную проверку CureIt`ом
http://www.freedrweb.com/cureit/?lng=ru
(!) хитрость = екзешник launch.exe нужно распаковать в отдельную папку и запускать _start.exe
9. важно!!! по окончанию сканирования не спешить перезагружатся!
нужно выписать на листик список удаленных екзешников и дллок из папки Windows & Windows\system32
(на тот случай если были покоцаны/заражены системные файлы и кюреит их снес - винда не загрузится)
10. сравниваем список удаленных с dllcache. если надо - сразу из-под лайвСД перекидываем из кеша в system32
11. после зачистки пытаемся грузится в "Безопасном режиме"

- если грузится запускаем TrojanRemover
http://www.simplysup.com/tremover/download.html
чтобы нейтрализовать остаточное действие троянов
(!) если будет ругатся на userinit - exclude (добавить в исключение)

- если не грузится вспоминаем про такую вещь как ERDCommander (поднятие винды это уже отдельная тема, если найду время - распишу)

12. грузимся в обычном режиме и сносим пробитую защиту, смотрим евентлог, ставим заплаты
(см. ниже 2-й пост в этой теме)
____________________________

реестр

если после лечения ось грузится но панель задач не подггружается и виден лишь фон рабочего стола...

Ctrl+Alt+Del (Ctrl+Shift+Esc) -> новая задача (Выполнить) -> regedit ->
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\
в этом разделе ищем куст explorer.exe, выделяем, в правой части окна появится параметр
Debugger (C:\Program Files\Microsoft\Common\wuauclt.exe)
удаляем этот параметр, закрываем regedit, вновь запускаем диспетччер задач и запускаем explorer

кроме того после зачистки или в процесе (если скан из-под лайвСД по тех. причинам не возможен)
советую обратить внимание на следующие кусты реестра:
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «


___________________________________________________________________________

после чистки рекомендуеться:

- Пуск -> Выполнить -> sfc /scannow
- CCleaner
http://www.ccleaner.com/download/builds/downloading-slim
- бекап данных
- юзанье Opera / FireFox вместо IE
- отключения авторана (актуально для флешей)
- здравый смысл, т.е. использовать посленюю версию антивиря и обновлять его

своевременно,не лазить по сайтам из группы риска blum.gif

p.s.
как лечить вирусы я расписывал в этой теме
http://forum.0day.kiev.ua/index.php?s=&...t&p=1116903
и в этой
http://forum.0day.kiev.ua/index.php?showtopic=85004

удачной охоты sarcastic_blum.gif
специально для 0day, © Glok17


______________________________________________
______________________________________________

как правильно лечить форточки от заразы. часть вторая

как бы я лечил компы в малой сети (фирма = 10-15 компов в одной рабочей группе)

1. по-одной отключать тачки от сети (физически выдергивая езернетовский шнурок)
2. Autoruns & Process Explorer - убрать лишнее из оперативки и автозагрузки (чтоб потом не ругалось)
3. AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17
4. грузится из-под LiveCD (Mini XP/WinPE mini) и килять темпа+откаты, после полный скан CureIt`ом
(!) есть одна маленькая особенность - чтобы запустить Cureit нужно его екзешник (launch.exe)
распаковать в отдельную папку и уже из этой папки запускать файлик _start.exe
5. после этого в SafeMode запустить KidoKiller, после него TrojanRemover
6. загрузится в нормальном, каспер снести нафиг, поставить заплаты от кидо (линки смотри ниже)
7. если нужно - дополнительно профиксить систему Hijack This
8. проверить нормально ли функционируют службы винды (services.msc) и нет ли ошибок в евентлоге (eventvwr.msc)
9. поставить нормальный антивирь. если инет не идет через сервер/шлюз - также поставить фаервол
(EAV v 4.0.417 + Outpost 2009 либо ESS)
10. (!) только после выполнения предведущих пунктов комп можно пустить в сеть/инет
11. если возникнут проблемы со стеком TCP/IP - профиксить WinsockXPFix
12. (!) отбить руки тем кто пользуется IE и отключить автозапуск с флешей и сетевых дисков
13. убить админа который допустил разгул вирей sarcastic_blum.gif

p.s.

(прямые линки на софт + статьи по лечению + reg-файлы)

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «


удачной охоты sarcastic_blum.gif
специально для 0day, © Glok17


Сообщение отредактировал Glok17 - Dec 16 2009, 0:03
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
7 Страницы   1 2 3 > »   
Reply to this topicStart new topic
Ответов(1 - 19)
SKiPER
Sep 7 2008, 14:55
  
Пост #2

Благодарности: 6327

Репутация:   148  
Графикоман
**

Группа: Пользователи
Сообщений: 555
С нами с: 24-February 07


Тему зафиксировал, переименовал, ты сюда лучше пости не только к одному вирусу лечение, а ко всем с какими сталкивался
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
KSergL
Sep 8 2008, 7:10
  
Пост #3



Репутация:   33  
Дух


Группа: Validating
Сообщений: 100
С нами с: 1-April 06


Дело в том, что эти вирусы (win32.sector.9... и т. д.) по фирмам ложат компы во всем офисе. Будет время, напиши еще как мочить Antivirus XP 2008 и 2009, а то во многих офисах выплывает еще и эта зараза. В Google это расписано, но уж если начал, то продолжай в том же духе! Чтобы собрать в одном месте противодействия против всякой нечисти на компах! Молодца!

Сообщение отредактировал KSergL - Sep 8 2008, 7:10
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
KSergL
Sep 18 2008, 22:01
  
Пост #4



Репутация:   33  
Дух


Группа: Validating
Сообщений: 100
С нами с: 1-April 06


angel.gif Сегодня на одном компе появились вирусы, хотя стоял каспер яндекса. При заходе в безопасный режим - перезагрузка компа dash2.gif . Как раз пригодился restore_safe_mod.reg. После его применения смог зайти в безопасный режим! Спасибо за помощь!!! drinks.gif
Единственное, что осталось, так это открытие окна Мои документы при запуске

Сообщение отредактировал KSergL - Sep 18 2008, 22:05
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Ацтек
Sep 18 2008, 23:34
  
Пост #5

Благодарности: 758

Репутация:   208  
Выродок
***

Группа: Пользователи
Сообщений: 1 110
С нами с: 17-August 08


(KSergL @ Sep 18 2008, 23:01) Перейти к цитате

Сегодня


симптомы расскажите, что установлено из твиков, как чистили, ...

весь анамнез, пожалуйста

мы же не можем знать всю историю Ваших приключений pardon.gif
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
KSergL
Sep 19 2008, 23:28
  
Пост #6



Репутация:   33  
Дух


Группа: Validating
Сообщений: 100
С нами с: 1-April 06


Был установлен касперский (яндекс). Открытия письма с вложением каспер умер - показывал ошибку работы сканера файлов и не хотел ее запускать. При попытке загрузиться в безопасном режиме комп уходил на перезагрузку. Поставил trojan remover. Проверил и устал слушать его звуки при обнаружении троянов. Но после перезагрузки он все равно звенел на троянов. В обычном режиме создал в блокноте файлик restore_safe_mod.reg и запустил. После этого смог зайти в безопасный режим и cureit проверил систему. Результат - 182 зараженных файла win32.sector.62480. Снес каспера. Проверил AVZ. Поставил NOD32, который при загрузке обнаружил и вылечил еще пару троянчиков. Сам собой загордился и ушел домой!
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Glok17
Sep 20 2008, 9:49
  
Пост #7



Репутация:   2396  
Справжній Львяра
******

Группа: Пользователи
Сообщений: 10 062
С нами с: 13-September 07


(Ацтек @ Sep 19 2008, 0:34) Перейти к цитате

что установлено из твиков
это не играет большой роли. все стандартно.

как правило, обычная офисная машинка это:

а) машинка класа пень 3-й, если повезет - что-то из целеронД
б) триальный пропатченый нод 2.хх или каспер 6-7 версии с просроченым ключем,
(который перестал обновляться уже как пару месяцев назад smile.gif )
в) 5-10 Гб временных фалов накопленых долгими скитаниями юзверя по инету dash2.gif
г) 20-30 Гб бекапа, доставшихся по наследству от предидущих пользователей: среди них старые папки WINDOWS и Documents and Settings
(зачастую нафиг не нужны, но удалять ни-ни "а вдруг понадобяться?" О_о)
д) IE со стартовой "однокласники/вконтакте"

как чистили
из-под ЛайвСД кильнули темпа и прошлись кюреитом, потом троянремувером.
после этого достаточно навесить 3-й нод или 2009-й каспер и оставить в автозагрузке троян ремувер.

Сообщение отредактировал Glok17 - Sep 20 2008, 23:28
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
drocha
Oct 21 2008, 15:27
  
Пост #8



Репутация:   2201  
0day rescue
*****

Группа: Пользователи
Сообщений: 9 039
С нами с: 9-June 07


Засел троян ,антивирус не справляется ,утилиты тоже,но находят ,а сделать ничего не могут,может есть еще какие варианты,спасибо.
User is online!Profile CardPM
Go to the top of the page
+Quote Post
Glok17
Oct 21 2008, 19:49
  
Пост #9



Репутация:   2396  
Справжній Львяра
******

Группа: Пользователи
Сообщений: 10 062
С нами с: 13-September 07


(drocha @ Oct 21 2008, 16:27) Перейти к цитате

а сделать ничего не могут
ты из-под зараженой винды проверяешься?

я же написал - грузиться с лайвСД, килять systemVolume, папки временных файлов и сканировать кюреитом - если не вылечит, то хотябы удалит

User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Glok17
May 11 2009, 17:16
  
Пост #10



Репутация:   2396  
Справжній Львяра
******

Группа: Пользователи
Сообщений: 10 062
С нами с: 13-September 07


наткнулся в инете на новый вид вируса, почитал статейку
http://habrahabr.ru/blogs/infosecurity/59134/
уже почти забыл, но сегодня позвонили с одного офиса, пожаловались
заодно и инструкцию для простых смертных раскопал
а то жалуються в последнее время что моя инструкция по лечению вирусов слишком сложная dash2.gif

Удаление Trojan-Ransom.Win32.Blocker своими руками (by Олег Зайцев, 27 апреля 2009)

Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС.
Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.

IPB Image

Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.

Мне стало интересно, всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний.

После ряда опытов обнаружился очень простой алгоритм:

1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
2. Запускаем из этого окна экранную лупу.
Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт».
Если нажать её, то запускается IE.
3. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.
-----------------------------------------------------------------
взято отсюда
http://www.viruslist.com/ru/weblog?weblogid=207758824

будьте бдительны!

Сообщение отредактировал Glok17 - May 11 2009, 17:20
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
TenderMouth
May 11 2009, 17:26
  
Пост #11



Репутация:   10  
Дух


Группа: Пользователи
Сообщений: 30
С нами с: 26-April 09


Насколько опасно его подцепить бороздя бесплатные порносайты?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
timonstr
May 11 2009, 17:45
  
Пост #12

Благодарности: 3184

Репутация:   318  
о_О
***

Группа: Модеры
Сообщений: 1 655
С нами с: 5-July 07


Ай-ай, спалился! acute.gif
А поймать можно где угодно, включая и порносайты.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Glok17
May 11 2009, 18:49
  
Пост #13



Репутация:   2396  
Справжній Львяра
******

Группа: Пользователи
Сообщений: 10 062
С нами с: 13-September 07


(TenderMouth @ May 11 2009, 18:26) Перейти к цитате

Насколько опасно
вообще на хабре писали что вирь в основном рассылаеться по аське..
а так, с сайтов.. все зависит от того насколько аккуратно ты там лазишь и какая у тебя защита
если юзаешь IE и антивирь с просрочеными базами, либо вообще его отключаешь то вполне реально
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Clear_Sky
Jun 27 2009, 9:33
  
Пост #14



Репутация:   213  
NashNet user
*

Группа: Пользователи
Сообщений: 446
С нами с: 18-March 09


Был похожий но может и этот но по скрину не похож у меня было типо синий экран и "обнаружена серьёзная ошибка что бы исправить отошлите смс на короткий номер " софта под руками не было одна винда , безопасный режим не работал.А пришло оно мне по аське с текстом посмотри по картинке сильно видно что она отредактирована.Стоит касперский 7.0.0.124 но он увидел вирус когда тот уже всё заблокировал cray.gif
Во общем вывод не ведитесь!!!
А я избавился от этого вируса перестановкой винды ok.gif

Сообщение отредактировал Clear_Sky - Jun 27 2009, 9:33
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Glok17
Jun 27 2009, 22:08
  
Пост #15



Репутация:   2396  
Справжній Львяра
******

Группа: Пользователи
Сообщений: 10 062
С нами с: 13-September 07


(Clear_Sky @ Jun 27 2009, 10:33) Перейти к цитате

типо синий экран и "обнаружена серьёзная ошибка
лечил и такое

А я избавился от этого вируса перестановкой винды
обычный лайвСД типа Dr.Web LiveCD или ERD Commander лучше чем переставлять винду только из-за того что ты не можешь убрать из винлогона трояна

User is offlineProfile CardPM
Go to the top of the page
+Quote Post
gt11
Jun 28 2009, 0:48
  
Пост #16



Репутация:   10  
Дух


Группа: Пользователи
Сообщений: 179
С нами с: 19-June 09


Кстати, школьники предусмотрели разблокировку? Она работает? Ну так, интереса ради
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Glok17
Jun 28 2009, 1:31
  
Пост #17



Репутация:   2396  
Справжній Львяра
******

Группа: Пользователи
Сообщений: 10 062
С нами с: 13-September 07


(gt11 @ Jun 28 2009, 1:48) Перейти к цитате

Ну так, интереса ради
отправь смс - узнаешь.
тот, который я лечил в реале был "синий", парень не дождавшись меня попробовал отправить смс - повысил рейтинг какой-то девчонки в контакте... + гривен 15 сняло со счета.. кода не прислали )
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Sintorres
Jun 28 2009, 13:55
  
Пост #18

Благодарности: 1862

Репутация:   820  
Старожил
****

Группа: Модеры
Сообщений: 3 562
С нами с: 20-March 06


Glok17 +1 как обычно drinks.gif
Винду сносить на каждый чих виря... ну это не эротично как-то. crazy.gif Всегда лучше иметь возможность восстановить работоспособность системы не используя радикальные методы..
LiveCD и т.д. это конечно же наилучший способ. Но не всегда под руками есть. Так что способ описанный в шапке... это я Вам скажу - очень и очень... smile.gif
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Glok17
Jun 28 2009, 15:08
  
Пост #19



Репутация:   2396  
Справжній Львяра
******

Группа: Пользователи
Сообщений: 10 062
С нами с: 13-September 07


(Sintorres @ Jun 28 2009, 14:55) Перейти к цитате

способ описанный в шапке...
придумано не мной. это все парни из каспера
кстати, не всегда могает финт с лупой - я лечил эту дрянь на старом ноутбуке IBM.. там не было клавиши Win...
вот тот вариант который я видел в реале, CureIt опознал заразу как Java.SMS.Send.41

само окно "блокировки" (alt+tab, Ctrl+Shift+Esc, Alt+F4 - не работают, клавиши win не было sad.gif )
Open in new window

при попытке обойти блокировку загрузкой в "Безопасном режиме" традиционный BSoD 07B
Open in new window

дрянь цепляется к userinit в winlogon
Open in new window

правлю реестр из-под ERD Commander`а
Open in new window

p.s.
сорри за качество. фоткал камерой с мобильного. времени делать скрины не было

Сообщение отредактировал Glok17 - Jun 28 2009, 15:08
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
2easy4
Jun 28 2009, 17:45
  
Пост #20



Репутация:   360  
Cтаршой
**

Группа: Пользователи
Сообщений: 564
С нами с: 4-April 07


Там всё предельно просто.
В ответном сообщении приходит текст "Средства успешно ЗАЧИСЛЕНЫ".

Вводим слово "зачислены" в окошко кода, и уже потом лечим Винду wink.gif
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

7 Страницы   1 2 3 > » 
Reply to this topicStart new topic

 



- Упрощённая версия
Сейчас: 2nd April 2020 - 17:00
Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами и мы удалим её. Файлы для обмена предоставлены пользователями сайта.