Как правильно лечить вирусы (c) Glok17, пошаговая, универсальная инструкция в шапке!!! Опции

[Glok17]

как правильно лечить вирусы без переустановки винды. часть первая.

1. отключить комп от сети (иногда программно сеть не тушится - выдернуть шнурок Ethernet)
2. спомошью Autoruns & Process Explorer убрать лишние процесcы из памяти + всякую дрянь из автозапуска
(просто снять галки со всего кроме userinit, exploer, ctfmon)
http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx
http://technet.microsoft.com/en-us/sysinte...s/bb896653.aspx
3. не перезагружаемся! включаем систему восстановления (если была отключена) только на системном разделе. вручную создаем точку отката - нам важно сохранить реестр
4. запустить AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17. выполняем. не перезагружаемся.
5. скачать, прожечь на болванку WinPEmini, загрузится с компакта
(если винт SATA - либо отключить AHCI либо юзать Alkid liveCD)
6. на всех дисках вычистить все точки отката (System Volume Information) кроме 2-3х последних
7. вручную почистить темпа (папки временных файлов)
%temp%
C:\Documents and Setting\имя_учетки\Local Settings\Temp и Temporarly Internet Files
8. из-под WinPEmini запустить полную проверку CureIt`ом
http://www.freedrweb.com/cureit/?lng=ru
(!) хитрость = екзешник launch.exe нужно распаковать в отдельную папку и запускать _start.exe
9. важно!!! по окончанию сканирования не спешить перезагружатся!
нужно выписать на листик список удаленных екзешников и дллок из папки Windows & Windows\system32
(на тот случай если были покоцаны/заражены системные файлы и кюреит их снес - винда не загрузится)
10. сравниваем список удаленных с dllcache. если надо - сразу из-под лайвСД перекидываем из кеша в system32
11. после зачистки пытаемся грузится в "Безопасном режиме"

- если грузится запускаем TrojanRemover
http://www.simplysup.com/tremover/download.html
чтобы нейтрализовать остаточное действие троянов
(!) если будет ругатся на userinit - exclude (добавить в исключение)

- если не грузится вспоминаем про такую вещь как ERDCommander (поднятие винды это уже отдельная тема, если найду время - распишу)

12. грузимся в обычном режиме и сносим пробитую защиту, смотрим евентлог, ставим заплаты
(см. ниже 2-й пост в этой теме)
____________________________

реестр

если после лечения ось грузится но панель задач не подггружается и виден лишь фон рабочего стола...

Ctrl+Alt+Del (Ctrl+Shift+Esc) -> новая задача (Выполнить) -> regedit ->
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\
в этом разделе ищем куст explorer.exe, выделяем, в правой части окна появится параметр
Debugger (C:\Program Files\Microsoft\Common\wuauclt.exe)
удаляем этот параметр, закрываем regedit, вновь запускаем диспетччер задач и запускаем explorer

кроме того после зачистки или в процесе (если скан из-под лайвСД по тех. причинам не возможен)
советую обратить внимание на следующие кусты реестра:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

из-под alkid live cd проверь кусты реестра, отвечающие за шелл и автозагрузку

HKEY_LOCAL_MASHINE\Software\Microsoft\Windows NT\Currentversion\Image File Execution Options
- ищи "папочку" с названием explorer.exe, выдели его, в правой части окна будет ключ "Debugging options" или "Debug" -> выдели его ни нажми Del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
* shell должен быть просто Explorer.exe без префиксов и добавок вроде csrsc и т.д.

!!!кроме того, в процесе зачистки очередного компа был найден мутировавший вариант авторана, который прописывал вместо шела ахинею в другом ключе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo2
если такой раздел (я имею ввиду "винлого2") существует - найти там параметр shell и удостовериться что он равен explorer.exe

также проверить записи в кустах
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

поколдуй с реестром:

1. скопируй в отдельную папку текущий реестр
(C:\Windows\system32\config
файлы без расширения
default
sam
security
software
system)

2. замени текущий реестр тем что находиться в папке
C:\Windows\Repair
- загрузиться голая винда(!), это реестр на момент установки
сделай sfc /scannow
чтобы восстановить системные файлы, потом из-под лайв СД
опять верни рабочий реестр и пробуй грузиться

___________________________________________________________________________

после чистки рекомендуеться:

- Пуск -> Выполнить -> sfc /scannow
- CCleaner
http://www.ccleaner.com/download/builds/downloading-slim
- бекап данных
- юзанье Opera / FireFox вместо IE
- отключения авторана (актуально для флешей)
- здравый смысл, т.е. использовать посленюю версию антивиря и обновлять его

своевременно,не лазить по сайтам из группы риска

p.s.
как лечить вирусы я расписывал в этой теме
http://forum.0day.kiev.ua/index.php?s=&...t&p=1116903
и в этой
http://forum.0day.kiev.ua/index.php?showtopic=85004

удачной охоты
специально для 0day, © Glok17

______________________________________________
______________________________________________

как правильно лечить форточки от заразы. часть вторая

как бы я лечил компы в малой сети (фирма = 10-15 компов в одной рабочей группе)

1. по-одной отключать тачки от сети (физически выдергивая езернетовский шнурок)
2. Autoruns & Process Explorer - убрать лишнее из оперативки и автозагрузки (чтоб потом не ругалось)
3. AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17
4. грузится из-под LiveCD (Mini XP/WinPE mini) и килять темпа+откаты, после полный скан CureIt`ом
(!) есть одна маленькая особенность - чтобы запустить Cureit нужно его екзешник (launch.exe)
распаковать в отдельную папку и уже из этой папки запускать файлик _start.exe
5. после этого в SafeMode запустить KidoKiller, после него TrojanRemover
6. загрузится в нормальном, каспер снести нафиг, поставить заплаты от кидо (линки смотри ниже)
7. если нужно - дополнительно профиксить систему Hijack This
8. проверить нормально ли функционируют службы винды (services.msc) и нет ли ошибок в евентлоге (eventvwr.msc)
9. поставить нормальный антивирь. если инет не идет через сервер/шлюз - также поставить фаервол
(EAV v 4.0.417 + Outpost 2009 либо ESS)
10. (!) только после выполнения предведущих пунктов комп можно пустить в сеть/инет
11. если возникнут проблемы со стеком TCP/IP - профиксить WinsockXPFix
12. (!) отбить руки тем кто пользуется IE и отключить автозапуск с флешей и сетевых дисков
13. убить админа который допустил разгул вирей

p.s.

(прямые линки на софт + статьи по лечению + reg-файлы)

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

мануал как лечить вирусы
http://forum.0day.kiev.ua/index.php?showtopic=95539

Autoruns for Windows v9.41
http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx

Process Explorer v11.33
http://technet.microsoft.com/en-us/sysinte...s/bb896653.aspx

AVZ
http://www.z-oleg.com/secur/avz/download.php

WinPE mini
http://depositfiles.com/ru/files/3948404
http://greenflash.ifolder.ru/8054932

Dr.Web CureIt!®
http://www.freedrweb.com/cureit/?lng=ru

KidoKiller
http://support.kaspersky.ru/faq?chapter=20...p;qid=208636215

Trojan Remover 6.7.8
http://www.simplysup.com/tremover/download.html

TrendMicro™ HijackThis™
http://www.trendsecure.com/portal/en-US/to...ools/hijackthis

заплаты от МС
http://www.microsoft.com/technet/security/...n/MS08-067.mspx
http://www.microsoft.com/technet/security/...n/ms08-068.mspx
http://www.microsoft.com/technet/security/...n/ms09-001.mspx

рег-файлы на всякий случай

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

отключить автозапуск

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

restore_safe_mod.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]
@="Net"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]
@="NetClient"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]
@="NetService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]
@="NetTrans"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
00

restore_hidden.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

restore_regedit.reg

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:0

restore_taskmgr.reg

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:0

удачной охоты
специально для 0day, © Glok17

Сообщение отредактировал Glok17 - Dec 16 2009, 0:03

[Glok17]

и уже потом лечим Винду

бред.
нафига тратить деньги? из-за лени или незнания?

[Clear_Sky]

[/size]лечил и такое

[size=1]обычный лайвСД типа Dr.Web LiveCD или ERD Commander лучше чем переставлять винду только из-за того что ты не можешь убрать из винлогона трояна

Я же написал в своем посту что софта тогда под руками не было
Glok17+1

[Glok17]

софта тогда под руками не было

закинь на флешку Hiren`sBootCD + WinPE + ERD и таскай с собой
http://greenflash.su/

[Clear_Sky]

[size=1][/size]закинь на флешку Hiren`sBootCD + WinPE + ERD и таскай с собой
http://greenflash.su/

ок так и сделаю

[Magik]

Схлопотал недавно такую же заразу, не мог войти ни в обычном , ни безопасном режиме, вылетал этот проклятый экран с предложением отправить смс , загрузился с лайвCD от убунты, нырнул в гугл, и выяснил, что подобный троян в большинстве случаев живёт пару часов, а кому не в моготу ждать, пока он сдохнет, просто нужно ввысти семь нулей 0000000 (в большинстве случаев помогает) в поле кода, и виндос загрузится, при последующих перезагрузках экран появлятся не будет. Но систему потом всёравно стоит просканировать, мало ли.

[ioan]

Сегодня разобрался с похожей гадостью очень быстро благодаря этому:

http://news.drweb.com/show/?i=304&c=5,

[lok!]

Приносили мне на работе ноут с такой гадостью.
По поводу поста про лупу по Win+U - не канает. Окошко с лупой действительно выскакивает поверх вируса - но IE открывается за вирусом.. так что толку немного...

Долго морочится не стал - у меня были LiveCD.... Но не тут то было! На 2х лайвах были ХР а на одной 98.. загрузилась только 98 и та не могла получить доступ к дискам(fat32)..

Обошел эту хрень так:
На экране "Приветствие" нажал ctrl+shift+esc - и винда естественно загрузилась с диспечером, и пока еще не загрузился експлорер - успел его снять с процессов... ну а далее поубивал вирусы....

[Robbie]

Подхватил 302-ую разновидность. Ввел код с сайта Др. Веба, но он работал лишь пару минут. Этого хватило)
Скачал АВЗ 4.32, он снес что-то и тут же ЕСЕТ подоспел. Обновил базы на ЕСЕТЕ, запустил полное сканирование АВЗ и ЕСЕТом. Параллельно еще избавился от 15 других вируснячков (таки были у меня).

[Glok17]

ввысти семь нулей 0000000 (в большинстве случаев помогает)

як правило цей вірус прописує себе в автозавантження до ключа shell або userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
деякі з модифікацій завантажувались з катлогу тимчасових файлів IE

якщо є можливість і натхнення завантжитися з лайвСД то цю заразу можна вбити руками
аби був редактор реестру

Приносили мне на работе ноут с такой гадостью.
По поводу поста про лупу по Win+U - не канает

це старий трюк, для нових модифікацій звісно не підходить

и та не могла получить доступ к дискам(fat32)..

скачай Hiren`s 10-й або Alkid - я постійно ними користуюсь, особливо коли налагоджую/лікую ноутбуки - проблем із доступом не було

Параллельно еще избавился от 15 других вируснячков (таки были у меня)

це типу так розслабився? чи лазив де попало?

[Robbie]

це типу так розслабився? чи лазив де попало?

И то и то понемногу... Базы ЕСЕТа с весны не обновлял. Все как-то в лом было. Ключ закончился и делать новый лень было)

[Glok17]

Базы ЕСЕТа с весны не обновлял

оригінально.
ось так і з`являються нетверезі сенсації на тему "нод - фіговий антивірус" (

[Robbie]

Я никогда не говорил, что НОД плохой антивирь. Это сугубо моя вина. Он свою задачу выполяет.

[kappa]

Сегодня эту гадость подцепил. Пишет будто от лица системы безопасности windows. У вас выявленная не лицензионная версия виндовс, если хотите её купить отошлите смс... Плз кто может по-шагово расписать инструкцию как эту гадость нафиг стереть. Буду очень благодарен.

[borman_z]

Я её удалил прогой IObit Security 360
на офф сайте акция до 2010 г. лиц ключ PRO версия

Сообщение отредактировал borman_z - Oct 29 2009, 19:50

[kappa]

Установил прогу AVZ. Запустил, нажал выполнить скрипт, оно нашло вирус, в двох файлах GooD.exe BLaCK.exe . Потом камп сам перезагрузился, и вроде все норм. Вот только Диспечер задач закрыт администратором. Все таки остался? У меня на компе 2пользывателя, может вирусняк и на второй пробрался?

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe','');
QuarantineFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe','');
DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187332}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сообщение отредактировал kappa - Oct 30 2009, 7:41

[Cfetocheg]

Установил прогу AVZ. Запустил, нажал выполнить скрипт, оно нашло вирус, в двох файлах GooD.exe BLaCK.exe . Потом камп сам перезагрузился, и вроде все норм. Вот только Диспечер задач закрыт администратором. Все таки остался? У меня на компе 2пользывателя, может вирусняк и на второй пробрался?

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe','');
QuarantineFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe','');
DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187322}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-77EF1D187332}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Об GooD.exe и BLaCK.exe первый раз слышу ....а ДиспеТчер моЖно воСтоНовить при помоЩи всё Того же AVZ (Восстановление системны --> и там вроди 11 пУнкТ )


Сообщение отредактировал, +20% выписал, ещё раз увижу забаню навсегда

Сообщение отредактировал SKiPER - Oct 31 2009, 18:43

[Sl@sh]

Разблокировать диспетчер можно и через Мастер решения проблем

Сегодня эту гадость подцепил. Пишет будто от лица системы безопасности windows. У вас выявленная не лицензионная версия виндовс, если хотите её купить отошлите смс... Плз кто может по-шагово расписать инструкцию как эту гадость нафиг стереть. Буду очень благодарен.

Обычно делаю так )) перед выездом к клиенту спрашиваю на какой номер отправлять СМС, потом иду сюда http://news.drweb.com/show/?i=304&c=5 узнаю код активации и по приезду выполняю разблокирование оси. Ну а потом дело техники )) сначала AVZ потом Portabe Trojan Remover (на всякий случай )).

Сообщение отредактировал Sl@sh - Oct 31 2009, 14:51

[Glok17]

Плз кто может по-шагово расписать инструкцию как эту гадость нафиг стереть

є два варіанти:
- тупий:

або з-під "Безопасного режима" або з-під ERDCommander / Alkid LiveCD Autoruns`ом чи regedit`ом перевірити ключі реестру
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметри Shell та Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

і прибрати "зайві" записи/ключі накшталт екзешного файлу, який завантажується з TemporarlyInternetFiles

швидкий та точний спосіб для усунення цієї зарази.
але ні де нема гарантії що у вас в системі лише 1 вірус.

- правильний:
1. на іншій системі качаєш CureIt та WinPE mini
2. спершу пробуєш з-під "Безопасного режима" зайти.
якщо пускає - в "Безопасном режиме" запускаєш повне сканування всього диску.
3. якщо в "Безопасный режим" зайти не можеш - записуєш WinPE mini на болванку
4. завантажуєшся і з-під WinPE mini запускаєш СureIt

p.s.
тут усе написано
как правильно лечить вирусы (без переустановки винды)
http://forum.0day.kiev.ua/index.php?showtopic=95539

[borman_z]

У меня проблема, У меня в процессе Winlogon стоит високий приоритет, как то подозрительно ?

[Glok17]

в процессе Winlogon стоит високий приоритет

коректніше сформулюй свої підозри

как то подозрительно ?

Autoruns, Process Explorer, AVZ, CureIT...
інструкція як лікуватися в цьому розділі зверху

в чому проблема?

Сообщение отредактировал Glok17 - Nov 3 2009, 14:28