Как правильно лечить вирусы (c) Glok17, пошаговая, универсальная инструкция в шапке!!! |
Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6722-й день
![]() |
Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua |
Как правильно лечить вирусы (c) Glok17, пошаговая, универсальная инструкция в шапке!!! |
Glok17 |
![]()
Пост
#1
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
как правильно лечить вирусы без переустановки винды. часть первая.
1. отключить комп от сети (иногда программно сеть не тушится - выдернуть шнурок Ethernet) 2. спомошью Autoruns & Process Explorer убрать лишние процесcы из памяти + всякую дрянь из автозапуска (просто снять галки со всего кроме userinit, exploer, ctfmon) http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx http://technet.microsoft.com/en-us/sysinte...s/bb896653.aspx 3. не перезагружаемся! включаем систему восстановления (если была отключена) только на системном разделе. вручную создаем точку отката - нам важно сохранить реестр 4. запустить AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17. выполняем. не перезагружаемся. 5. скачать, прожечь на болванку WinPEmini, загрузится с компакта (если винт SATA - либо отключить AHCI либо юзать Alkid liveCD) 6. на всех дисках вычистить все точки отката (System Volume Information) кроме 2-3х последних 7. вручную почистить темпа (папки временных файлов) %temp% C:\Documents and Setting\имя_учетки\Local Settings\Temp и Temporarly Internet Files 8. из-под WinPEmini запустить полную проверку CureIt`ом http://www.freedrweb.com/cureit/?lng=ru (!) хитрость = екзешник launch.exe нужно распаковать в отдельную папку и запускать _start.exe 9. важно!!! по окончанию сканирования не спешить перезагружатся! нужно выписать на листик список удаленных екзешников и дллок из папки Windows & Windows\system32 (на тот случай если были покоцаны/заражены системные файлы и кюреит их снес - винда не загрузится) 10. сравниваем список удаленных с dllcache. если надо - сразу из-под лайвСД перекидываем из кеша в system32 11. после зачистки пытаемся грузится в "Безопасном режиме" - если грузится запускаем TrojanRemover http://www.simplysup.com/tremover/download.html чтобы нейтрализовать остаточное действие троянов (!) если будет ругатся на userinit - exclude (добавить в исключение) - если не грузится вспоминаем про такую вещь как ERDCommander (поднятие винды это уже отдельная тема, если найду время - распишу) 12. грузимся в обычном режиме и сносим пробитую защиту, смотрим евентлог, ставим заплаты (см. ниже 2-й пост в этой теме) ____________________________ реестр если после лечения ось грузится но панель задач не подггружается и виден лишь фон рабочего стола... Ctrl+Alt+Del (Ctrl+Shift+Esc) -> новая задача (Выполнить) -> regedit -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\ в этом разделе ищем куст explorer.exe, выделяем, в правой части окна появится параметр Debugger (C:\Program Files\Microsoft\Common\wuauclt.exe) удаляем этот параметр, закрываем regedit, вновь запускаем диспетччер задач и запускаем explorer кроме того после зачистки или в процесе (если скан из-под лайвСД по тех. причинам не возможен) советую обратить внимание на следующие кусты реестра: » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « ___________________________________________________________________________ после чистки рекомендуеться: - Пуск -> Выполнить -> sfc /scannow - CCleaner http://www.ccleaner.com/download/builds/downloading-slim - бекап данных - юзанье Opera / FireFox вместо IE - отключения авторана (актуально для флешей) - здравый смысл, т.е. использовать посленюю версию антивиря и обновлять его своевременно,не лазить по сайтам из группы риска ![]() p.s. как лечить вирусы я расписывал в этой теме http://forum.0day.kiev.ua/index.php?s=&...t&p=1116903 и в этой http://forum.0day.kiev.ua/index.php?showtopic=85004 удачной охоты ![]() специально для 0day, © Glok17 ______________________________________________ ______________________________________________ как правильно лечить форточки от заразы. часть вторая как бы я лечил компы в малой сети (фирма = 10-15 компов в одной рабочей группе) 1. по-одной отключать тачки от сети (физически выдергивая езернетовский шнурок) 2. Autoruns & Process Explorer - убрать лишнее из оперативки и автозагрузки (чтоб потом не ругалось) 3. AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17 4. грузится из-под LiveCD (Mini XP/WinPE mini) и килять темпа+откаты, после полный скан CureIt`ом (!) есть одна маленькая особенность - чтобы запустить Cureit нужно его екзешник (launch.exe) распаковать в отдельную папку и уже из этой папки запускать файлик _start.exe 5. после этого в SafeMode запустить KidoKiller, после него TrojanRemover 6. загрузится в нормальном, каспер снести нафиг, поставить заплаты от кидо (линки смотри ниже) 7. если нужно - дополнительно профиксить систему Hijack This 8. проверить нормально ли функционируют службы винды (services.msc) и нет ли ошибок в евентлоге (eventvwr.msc) 9. поставить нормальный антивирь. если инет не идет через сервер/шлюз - также поставить фаервол (EAV v 4.0.417 + Outpost 2009 либо ESS) 10. (!) только после выполнения предведущих пунктов комп можно пустить в сеть/инет 11. если возникнут проблемы со стеком TCP/IP - профиксить WinsockXPFix 12. (!) отбить руки тем кто пользуется IE и отключить автозапуск с флешей и сетевых дисков 13. убить админа который допустил разгул вирей ![]() p.s. (прямые линки на софт + статьи по лечению + reg-файлы) » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « удачной охоты ![]() специально для 0day, © Glok17 Сообщение отредактировал Glok17 - Dec 16 2009, 0:03 |
![]() ![]() |
SKiPER |
Пост
#2
|
Благодарности: 6327 Репутация: ![]() ![]() Графикоман ![]() ![]() Группа: Пользователи Сообщений: 555 С нами с: 24-February 07 ![]() |
Тему зафиксировал, переименовал, ты сюда лучше пости не только к одному вирусу лечение, а ко всем с какими сталкивался
|
KSergL |
Пост
#3
|
Репутация: ![]() ![]() Дух Группа: Validating Сообщений: 100 С нами с: 1-April 06 ![]() |
Дело в том, что эти вирусы (win32.sector.9... и т. д.) по фирмам ложат компы во всем офисе. Будет время, напиши еще как мочить Antivirus XP 2008 и 2009, а то во многих офисах выплывает еще и эта зараза. В Google это расписано, но уж если начал, то продолжай в том же духе! Чтобы собрать в одном месте противодействия против всякой нечисти на компах! Молодца!
Сообщение отредактировал KSergL - Sep 8 2008, 7:10 |
KSergL |
![]()
Пост
#4
|
Репутация: ![]() ![]() Дух Группа: Validating Сообщений: 100 С нами с: 1-April 06 ![]() |
![]() ![]() ![]() Единственное, что осталось, так это открытие окна Мои документы при запуске Сообщение отредактировал KSergL - Sep 18 2008, 22:05 |
Ацтек |
Пост
#5
|
Благодарности: 758 Репутация: ![]() ![]() Выродок ![]() ![]() ![]() Группа: Пользователи Сообщений: 1 110 С нами с: 17-August 08 ![]() |
|
KSergL |
Пост
#6
|
Репутация: ![]() ![]() Дух Группа: Validating Сообщений: 100 С нами с: 1-April 06 ![]() |
Был установлен касперский (яндекс). Открытия письма с вложением каспер умер - показывал ошибку работы сканера файлов и не хотел ее запускать. При попытке загрузиться в безопасном режиме комп уходил на перезагрузку. Поставил trojan remover. Проверил и устал слушать его звуки при обнаружении троянов. Но после перезагрузки он все равно звенел на троянов. В обычном режиме создал в блокноте файлик restore_safe_mod.reg и запустил. После этого смог зайти в безопасный режим и cureit проверил систему. Результат - 182 зараженных файла win32.sector.62480. Снес каспера. Проверил AVZ. Поставил NOD32, который при загрузке обнаружил и вылечил еще пару троянчиков. Сам собой загордился и ушел домой!
|
Glok17 |
Пост
#7
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
что установлено из твиков как правило, обычная офисная машинка это: а) машинка класа пень 3-й, если повезет - что-то из целеронД б) триальный пропатченый нод 2.хх или каспер 6-7 версии с просроченым ключем, (который перестал обновляться уже как пару месяцев назад ![]() в) 5-10 Гб временных фалов накопленых долгими скитаниями юзверя по инету ![]() г) 20-30 Гб бекапа, доставшихся по наследству от предидущих пользователей: среди них старые папки WINDOWS и Documents and Settings (зачастую нафиг не нужны, но удалять ни-ни "а вдруг понадобяться?" О_о) д) IE со стартовой "однокласники/вконтакте" как чистили из-под ЛайвСД кильнули темпа и прошлись кюреитом, потом троянремувером.после этого достаточно навесить 3-й нод или 2009-й каспер и оставить в автозагрузке троян ремувер. Сообщение отредактировал Glok17 - Sep 20 2008, 23:28 |
drocha |
Пост
#8
|
Репутация: ![]() ![]() 0day rescue ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 975 С нами с: 9-June 07 ![]() |
Засел троян ,антивирус не справляется ,утилиты тоже,но находят ,а сделать ничего не могут,может есть еще какие варианты,спасибо.
|
Glok17 |
Пост
#9
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
|
Glok17 |
![]()
Пост
#10
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
наткнулся в инете на новый вид вируса, почитал статейку
http://habrahabr.ru/blogs/infosecurity/59134/ уже почти забыл, но сегодня позвонили с одного офиса, пожаловались заодно и инструкцию для простых смертных раскопал а то жалуються в последнее время что моя инструкция по лечению вирусов слишком сложная ![]() Удаление Trojan-Ransom.Win32.Blocker своими руками (by Олег Зайцев, 27 апреля 2009) Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера. ![]() Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован. Мне стало интересно, всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний. После ряда опытов обнаружился очень простой алгоритм: 1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха. 2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE. 3. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п. ----------------------------------------------------------------- взято отсюда http://www.viruslist.com/ru/weblog?weblogid=207758824 будьте бдительны! Сообщение отредактировал Glok17 - May 11 2009, 17:20 |
TenderMouth |
Пост
#11
|
Репутация: ![]() ![]() Дух Группа: Пользователи Сообщений: 30 С нами с: 26-April 09 ![]() |
Насколько опасно его подцепить бороздя бесплатные порносайты?
|
timonstr |
Пост
#12
|
Благодарности: 3184 Репутация: ![]() ![]() о_О ![]() ![]() ![]() Группа: Модеры Сообщений: 1 671 С нами с: 5-July 07 ![]() |
Ай-ай, спалился!
![]() А поймать можно где угодно, включая и порносайты. |
Glok17 |
Пост
#13
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
Насколько опасно а так, с сайтов.. все зависит от того насколько аккуратно ты там лазишь и какая у тебя защита если юзаешь IE и антивирь с просрочеными базами, либо вообще его отключаешь то вполне реально |
Clear_Sky |
![]()
Пост
#14
|
Репутация: ![]() ![]() NashNet user ![]() Группа: Пользователи Сообщений: 446 С нами с: 18-March 09 ![]() |
Был похожий но может и этот но по скрину не похож у меня было типо синий экран и "обнаружена серьёзная ошибка что бы исправить отошлите смс на короткий номер " софта под руками не было одна винда , безопасный режим не работал.А пришло оно мне по аське с текстом посмотри по картинке сильно видно что она отредактирована.Стоит касперский 7.0.0.124 но он увидел вирус когда тот уже всё заблокировал
![]() Во общем вывод не ведитесь!!! А я избавился от этого вируса перестановкой винды ![]() Сообщение отредактировал Clear_Sky - Jun 27 2009, 9:33 |
Glok17 |
Пост
#15
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
|
gt11 |
Пост
#16
|
Репутация: ![]() ![]() Дух Группа: Пользователи Сообщений: 179 С нами с: 19-June 09 ![]() |
Кстати, школьники предусмотрели разблокировку? Она работает? Ну так, интереса ради
|
Glok17 |
Пост
#17
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
|
Sintorres |
Пост
#18
|
Благодарности: 1871 Репутация: ![]() ![]() Старожил ![]() ![]() ![]() ![]() Группа: Модеры Сообщений: 3 673 С нами с: 20-March 06 ![]() |
Glok17 +1 как обычно
![]() Винду сносить на каждый чих виря... ну это не эротично как-то. ![]() LiveCD и т.д. это конечно же наилучший способ. Но не всегда под руками есть. Так что способ описанный в шапке... это я Вам скажу - очень и очень... ![]() |
Glok17 |
![]()
Пост
#19
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
способ описанный в шапке... кстати, не всегда могает финт с лупой - я лечил эту дрянь на старом ноутбуке IBM.. там не было клавиши Win... вот тот вариант который я видел в реале, CureIt опознал заразу как Java.SMS.Send.41 само окно "блокировки" (alt+tab, Ctrl+Shift+Esc, Alt+F4 - не работают, клавиши win не было ![]() ![]() при попытке обойти блокировку загрузкой в "Безопасном режиме" традиционный BSoD 07B ![]() дрянь цепляется к userinit в winlogon ![]() правлю реестр из-под ERD Commander`а ![]() p.s. сорри за качество. фоткал камерой с мобильного. времени делать скрины не было Сообщение отредактировал Glok17 - Jun 28 2009, 15:08 |
2easy4 |
Пост
#20
|
Репутация: ![]() ![]() Cтаршой ![]() ![]() Группа: Пользователи Сообщений: 596 С нами с: 4-April 07 ![]() |
Там всё предельно просто.
В ответном сообщении приходит текст "Средства успешно ЗАЧИСЛЕНЫ". Вводим слово "зачислены" в окошко кода, и уже потом лечим Винду ![]() |
![]() ![]() |
![]() |
Упрощённая версия | Сейчас: 9th August 2024 - 23:04 |
Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст. |