Как правильно лечить вирусы (c) Glok17, пошаговая, универсальная инструкция в шапке!!! Опции

[Glok17]

как правильно лечить вирусы без переустановки винды. часть первая.

1. отключить комп от сети (иногда программно сеть не тушится - выдернуть шнурок Ethernet)
2. спомошью Autoruns & Process Explorer убрать лишние процесcы из памяти + всякую дрянь из автозапуска
(просто снять галки со всего кроме userinit, exploer, ctfmon)
http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx
http://technet.microsoft.com/en-us/sysinte...s/bb896653.aspx
3. не перезагружаемся! включаем систему восстановления (если была отключена) только на системном разделе. вручную создаем точку отката - нам важно сохранить реестр
4. запустить AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17. выполняем. не перезагружаемся.
5. скачать, прожечь на болванку WinPEmini, загрузится с компакта
(если винт SATA - либо отключить AHCI либо юзать Alkid liveCD)
6. на всех дисках вычистить все точки отката (System Volume Information) кроме 2-3х последних
7. вручную почистить темпа (папки временных файлов)
%temp%
C:\Documents and Setting\имя_учетки\Local Settings\Temp и Temporarly Internet Files
8. из-под WinPEmini запустить полную проверку CureIt`ом
http://www.freedrweb.com/cureit/?lng=ru
(!) хитрость = екзешник launch.exe нужно распаковать в отдельную папку и запускать _start.exe
9. важно!!! по окончанию сканирования не спешить перезагружатся!
нужно выписать на листик список удаленных екзешников и дллок из папки Windows & Windows\system32
(на тот случай если были покоцаны/заражены системные файлы и кюреит их снес - винда не загрузится)
10. сравниваем список удаленных с dllcache. если надо - сразу из-под лайвСД перекидываем из кеша в system32
11. после зачистки пытаемся грузится в "Безопасном режиме"

- если грузится запускаем TrojanRemover
http://www.simplysup.com/tremover/download.html
чтобы нейтрализовать остаточное действие троянов
(!) если будет ругатся на userinit - exclude (добавить в исключение)

- если не грузится вспоминаем про такую вещь как ERDCommander (поднятие винды это уже отдельная тема, если найду время - распишу)

12. грузимся в обычном режиме и сносим пробитую защиту, смотрим евентлог, ставим заплаты
(см. ниже 2-й пост в этой теме)
____________________________

реестр

если после лечения ось грузится но панель задач не подггружается и виден лишь фон рабочего стола...

Ctrl+Alt+Del (Ctrl+Shift+Esc) -> новая задача (Выполнить) -> regedit ->
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\
в этом разделе ищем куст explorer.exe, выделяем, в правой части окна появится параметр
Debugger (C:\Program Files\Microsoft\Common\wuauclt.exe)
удаляем этот параметр, закрываем regedit, вновь запускаем диспетччер задач и запускаем explorer

кроме того после зачистки или в процесе (если скан из-под лайвСД по тех. причинам не возможен)
советую обратить внимание на следующие кусты реестра:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

из-под alkid live cd проверь кусты реестра, отвечающие за шелл и автозагрузку

HKEY_LOCAL_MASHINE\Software\Microsoft\Windows NT\Currentversion\Image File Execution Options
- ищи "папочку" с названием explorer.exe, выдели его, в правой части окна будет ключ "Debugging options" или "Debug" -> выдели его ни нажми Del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
* shell должен быть просто Explorer.exe без префиксов и добавок вроде csrsc и т.д.

!!!кроме того, в процесе зачистки очередного компа был найден мутировавший вариант авторана, который прописывал вместо шела ахинею в другом ключе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo2
если такой раздел (я имею ввиду "винлого2") существует - найти там параметр shell и удостовериться что он равен explorer.exe

также проверить записи в кустах
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

поколдуй с реестром:

1. скопируй в отдельную папку текущий реестр
(C:\Windows\system32\config
файлы без расширения
default
sam
security
software
system)

2. замени текущий реестр тем что находиться в папке
C:\Windows\Repair
- загрузиться голая винда(!), это реестр на момент установки
сделай sfc /scannow
чтобы восстановить системные файлы, потом из-под лайв СД
опять верни рабочий реестр и пробуй грузиться

___________________________________________________________________________

после чистки рекомендуеться:

- Пуск -> Выполнить -> sfc /scannow
- CCleaner
http://www.ccleaner.com/download/builds/downloading-slim
- бекап данных
- юзанье Opera / FireFox вместо IE
- отключения авторана (актуально для флешей)
- здравый смысл, т.е. использовать посленюю версию антивиря и обновлять его

своевременно,не лазить по сайтам из группы риска

p.s.
как лечить вирусы я расписывал в этой теме
http://forum.0day.kiev.ua/index.php?s=&...t&p=1116903
и в этой
http://forum.0day.kiev.ua/index.php?showtopic=85004

удачной охоты
специально для 0day, © Glok17

______________________________________________
______________________________________________

как правильно лечить форточки от заразы. часть вторая

как бы я лечил компы в малой сети (фирма = 10-15 компов в одной рабочей группе)

1. по-одной отключать тачки от сети (физически выдергивая езернетовский шнурок)
2. Autoruns & Process Explorer - убрать лишнее из оперативки и автозагрузки (чтоб потом не ругалось)
3. AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17
4. грузится из-под LiveCD (Mini XP/WinPE mini) и килять темпа+откаты, после полный скан CureIt`ом
(!) есть одна маленькая особенность - чтобы запустить Cureit нужно его екзешник (launch.exe)
распаковать в отдельную папку и уже из этой папки запускать файлик _start.exe
5. после этого в SafeMode запустить KidoKiller, после него TrojanRemover
6. загрузится в нормальном, каспер снести нафиг, поставить заплаты от кидо (линки смотри ниже)
7. если нужно - дополнительно профиксить систему Hijack This
8. проверить нормально ли функционируют службы винды (services.msc) и нет ли ошибок в евентлоге (eventvwr.msc)
9. поставить нормальный антивирь. если инет не идет через сервер/шлюз - также поставить фаервол
(EAV v 4.0.417 + Outpost 2009 либо ESS)
10. (!) только после выполнения предведущих пунктов комп можно пустить в сеть/инет
11. если возникнут проблемы со стеком TCP/IP - профиксить WinsockXPFix
12. (!) отбить руки тем кто пользуется IE и отключить автозапуск с флешей и сетевых дисков
13. убить админа который допустил разгул вирей

p.s.

(прямые линки на софт + статьи по лечению + reg-файлы)

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

мануал как лечить вирусы
http://forum.0day.kiev.ua/index.php?showtopic=95539

Autoruns for Windows v9.41
http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx

Process Explorer v11.33
http://technet.microsoft.com/en-us/sysinte...s/bb896653.aspx

AVZ
http://www.z-oleg.com/secur/avz/download.php

WinPE mini
http://depositfiles.com/ru/files/3948404
http://greenflash.ifolder.ru/8054932

Dr.Web CureIt!®
http://www.freedrweb.com/cureit/?lng=ru

KidoKiller
http://support.kaspersky.ru/faq?chapter=20...p;qid=208636215

Trojan Remover 6.7.8
http://www.simplysup.com/tremover/download.html

TrendMicro™ HijackThis™
http://www.trendsecure.com/portal/en-US/to...ools/hijackthis

заплаты от МС
http://www.microsoft.com/technet/security/...n/MS08-067.mspx
http://www.microsoft.com/technet/security/...n/ms08-068.mspx
http://www.microsoft.com/technet/security/...n/ms09-001.mspx

рег-файлы на всякий случай

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

отключить автозапуск

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

restore_safe_mod.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]
@="Net"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]
@="NetClient"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]
@="NetService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]
@="NetTrans"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
00

restore_hidden.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

restore_regedit.reg

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:0

restore_taskmgr.reg

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:0

удачной охоты
специально для 0day, © Glok17

Сообщение отредактировал Glok17 - Dec 16 2009, 0:03

[SKiPER]

Тему зафиксировал, переименовал, ты сюда лучше пости не только к одному вирусу лечение, а ко всем с какими сталкивался

[KSergL]

Дело в том, что эти вирусы (win32.sector.9... и т. д.) по фирмам ложат компы во всем офисе. Будет время, напиши еще как мочить Antivirus XP 2008 и 2009, а то во многих офисах выплывает еще и эта зараза. В Google это расписано, но уж если начал, то продолжай в том же духе! Чтобы собрать в одном месте противодействия против всякой нечисти на компах! Молодца!

Сообщение отредактировал KSergL - Sep 8 2008, 7:10

[KSergL]

Сегодня на одном компе появились вирусы, хотя стоял каспер яндекса. При заходе в безопасный режим - перезагрузка компа . Как раз пригодился restore_safe_mod.reg. После его применения смог зайти в безопасный режим! Спасибо за помощь!!!
Единственное, что осталось, так это открытие окна Мои документы при запуске

Сообщение отредактировал KSergL - Sep 18 2008, 22:05

[Ацтек]

Сегодня

симптомы расскажите, что установлено из твиков, как чистили, ...

весь анамнез, пожалуйста

мы же не можем знать всю историю Ваших приключений

[KSergL]

Был установлен касперский (яндекс). Открытия письма с вложением каспер умер - показывал ошибку работы сканера файлов и не хотел ее запускать. При попытке загрузиться в безопасном режиме комп уходил на перезагрузку. Поставил trojan remover. Проверил и устал слушать его звуки при обнаружении троянов. Но после перезагрузки он все равно звенел на троянов. В обычном режиме создал в блокноте файлик restore_safe_mod.reg и запустил. После этого смог зайти в безопасный режим и cureit проверил систему. Результат - 182 зараженных файла win32.sector.62480. Снес каспера. Проверил AVZ. Поставил NOD32, который при загрузке обнаружил и вылечил еще пару троянчиков. Сам собой загордился и ушел домой!

[Glok17]

что установлено из твиков

это не играет большой роли. все стандартно.

как правило, обычная офисная машинка это:

а) машинка класа пень 3-й, если повезет - что-то из целеронД
б) триальный пропатченый нод 2.хх или каспер 6-7 версии с просроченым ключем,
(который перестал обновляться уже как пару месяцев назад )
в) 5-10 Гб временных фалов накопленых долгими скитаниями юзверя по инету
г) 20-30 Гб бекапа, доставшихся по наследству от предидущих пользователей: среди них старые папки WINDOWS и Documents and Settings
(зачастую нафиг не нужны, но удалять ни-ни "а вдруг понадобяться?" О_о)
д) IE со стартовой "однокласники/вконтакте"

как чистили

из-под ЛайвСД кильнули темпа и прошлись кюреитом, потом троянремувером.
после этого достаточно навесить 3-й нод или 2009-й каспер и оставить в автозагрузке троян ремувер.

Сообщение отредактировал Glok17 - Sep 20 2008, 23:28

[drocha]

Засел троян ,антивирус не справляется ,утилиты тоже,но находят ,а сделать ничего не могут,может есть еще какие варианты,спасибо.

[Glok17]

а сделать ничего не могут

ты из-под зараженой винды проверяешься?

я же написал - грузиться с лайвСД, килять systemVolume, папки временных файлов и сканировать кюреитом - если не вылечит, то хотябы удалит

[Glok17]

наткнулся в инете на новый вид вируса, почитал статейку
http://habrahabr.ru/blogs/infosecurity/59134/
уже почти забыл, но сегодня позвонили с одного офиса, пожаловались
заодно и инструкцию для простых смертных раскопал
а то жалуються в последнее время что моя инструкция по лечению вирусов слишком сложная

Удаление Trojan-Ransom.Win32.Blocker своими руками (by Олег Зайцев, 27 апреля 2009)

Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС.
Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.



Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.

Мне стало интересно, всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний.

После ряда опытов обнаружился очень простой алгоритм:

1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
2. Запускаем из этого окна экранную лупу.
Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт».
Если нажать её, то запускается IE.
3. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.
-----------------------------------------------------------------
взято отсюда
http://www.viruslist.com/ru/weblog?weblogid=207758824

будьте бдительны!

Сообщение отредактировал Glok17 - May 11 2009, 17:20

[TenderMouth]

Насколько опасно его подцепить бороздя бесплатные порносайты?

[timonstr]

Ай-ай, спалился!
А поймать можно где угодно, включая и порносайты.

[Glok17]

Насколько опасно

вообще на хабре писали что вирь в основном рассылаеться по аське..
а так, с сайтов.. все зависит от того насколько аккуратно ты там лазишь и какая у тебя защита
если юзаешь IE и антивирь с просрочеными базами, либо вообще его отключаешь то вполне реально

[Clear_Sky]

Был похожий но может и этот но по скрину не похож у меня было типо синий экран и "обнаружена серьёзная ошибка что бы исправить отошлите смс на короткий номер " софта под руками не было одна винда , безопасный режим не работал.А пришло оно мне по аське с текстом посмотри по картинке сильно видно что она отредактирована.Стоит касперский 7.0.0.124 но он увидел вирус когда тот уже всё заблокировал
Во общем вывод не ведитесь!!!
А я избавился от этого вируса перестановкой винды

Сообщение отредактировал Clear_Sky - Jun 27 2009, 9:33

[Glok17]

типо синий экран и "обнаружена серьёзная ошибка

лечил и такое

А я избавился от этого вируса перестановкой винды

обычный лайвСД типа Dr.Web LiveCD или ERD Commander лучше чем переставлять винду только из-за того что ты не можешь убрать из винлогона трояна

[gt11]

Кстати, школьники предусмотрели разблокировку? Она работает? Ну так, интереса ради

[Glok17]

Ну так, интереса ради

отправь смс - узнаешь.
тот, который я лечил в реале был "синий", парень не дождавшись меня попробовал отправить смс - повысил рейтинг какой-то девчонки в контакте... + гривен 15 сняло со счета.. кода не прислали )

[Sintorres]

Glok17 +1 как обычно
Винду сносить на каждый чих виря... ну это не эротично как-то. Всегда лучше иметь возможность восстановить работоспособность системы не используя радикальные методы..
LiveCD и т.д. это конечно же наилучший способ. Но не всегда под руками есть. Так что способ описанный в шапке... это я Вам скажу - очень и очень...

[Glok17]

способ описанный в шапке...

придумано не мной. это все парни из каспера
кстати, не всегда могает финт с лупой - я лечил эту дрянь на старом ноутбуке IBM.. там не было клавиши Win...
вот тот вариант который я видел в реале, CureIt опознал заразу как Java.SMS.Send.41

само окно "блокировки" (alt+tab, Ctrl+Shift+Esc, Alt+F4 - не работают, клавиши win не было )


при попытке обойти блокировку загрузкой в "Безопасном режиме" традиционный BSoD 07B


дрянь цепляется к userinit в winlogon


правлю реестр из-под ERD Commander`а


p.s.
сорри за качество. фоткал камерой с мобильного. времени делать скрины не было

Сообщение отредактировал Glok17 - Jun 28 2009, 15:08

[2easy4]

Там всё предельно просто.
В ответном сообщении приходит текст "Средства успешно ЗАЧИСЛЕНЫ".

Вводим слово "зачислены" в окошко кода, и уже потом лечим Винду