Как правильно лечить вирусы (c) Glok17, пошаговая, универсальная инструкция в шапке!!! |
Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6722-й день
![]() |
Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua |
Как правильно лечить вирусы (c) Glok17, пошаговая, универсальная инструкция в шапке!!! |
Glok17 |
![]()
Пост
#1
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
как правильно лечить вирусы без переустановки винды. часть первая.
1. отключить комп от сети (иногда программно сеть не тушится - выдернуть шнурок Ethernet) 2. спомошью Autoruns & Process Explorer убрать лишние процесcы из памяти + всякую дрянь из автозапуска (просто снять галки со всего кроме userinit, exploer, ctfmon) http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx http://technet.microsoft.com/en-us/sysinte...s/bb896653.aspx 3. не перезагружаемся! включаем систему восстановления (если была отключена) только на системном разделе. вручную создаем точку отката - нам важно сохранить реестр 4. запустить AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17. выполняем. не перезагружаемся. 5. скачать, прожечь на болванку WinPEmini, загрузится с компакта (если винт SATA - либо отключить AHCI либо юзать Alkid liveCD) 6. на всех дисках вычистить все точки отката (System Volume Information) кроме 2-3х последних 7. вручную почистить темпа (папки временных файлов) %temp% C:\Documents and Setting\имя_учетки\Local Settings\Temp и Temporarly Internet Files 8. из-под WinPEmini запустить полную проверку CureIt`ом http://www.freedrweb.com/cureit/?lng=ru (!) хитрость = екзешник launch.exe нужно распаковать в отдельную папку и запускать _start.exe 9. важно!!! по окончанию сканирования не спешить перезагружатся! нужно выписать на листик список удаленных екзешников и дллок из папки Windows & Windows\system32 (на тот случай если были покоцаны/заражены системные файлы и кюреит их снес - винда не загрузится) 10. сравниваем список удаленных с dllcache. если надо - сразу из-под лайвСД перекидываем из кеша в system32 11. после зачистки пытаемся грузится в "Безопасном режиме" - если грузится запускаем TrojanRemover http://www.simplysup.com/tremover/download.html чтобы нейтрализовать остаточное действие троянов (!) если будет ругатся на userinit - exclude (добавить в исключение) - если не грузится вспоминаем про такую вещь как ERDCommander (поднятие винды это уже отдельная тема, если найду время - распишу) 12. грузимся в обычном режиме и сносим пробитую защиту, смотрим евентлог, ставим заплаты (см. ниже 2-й пост в этой теме) ____________________________ реестр если после лечения ось грузится но панель задач не подггружается и виден лишь фон рабочего стола... Ctrl+Alt+Del (Ctrl+Shift+Esc) -> новая задача (Выполнить) -> regedit -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\ в этом разделе ищем куст explorer.exe, выделяем, в правой части окна появится параметр Debugger (C:\Program Files\Microsoft\Common\wuauclt.exe) удаляем этот параметр, закрываем regedit, вновь запускаем диспетччер задач и запускаем explorer кроме того после зачистки или в процесе (если скан из-под лайвСД по тех. причинам не возможен) советую обратить внимание на следующие кусты реестра: » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « ___________________________________________________________________________ после чистки рекомендуеться: - Пуск -> Выполнить -> sfc /scannow - CCleaner http://www.ccleaner.com/download/builds/downloading-slim - бекап данных - юзанье Opera / FireFox вместо IE - отключения авторана (актуально для флешей) - здравый смысл, т.е. использовать посленюю версию антивиря и обновлять его своевременно,не лазить по сайтам из группы риска ![]() p.s. как лечить вирусы я расписывал в этой теме http://forum.0day.kiev.ua/index.php?s=&...t&p=1116903 и в этой http://forum.0day.kiev.ua/index.php?showtopic=85004 удачной охоты ![]() специально для 0day, © Glok17 ______________________________________________ ______________________________________________ как правильно лечить форточки от заразы. часть вторая как бы я лечил компы в малой сети (фирма = 10-15 компов в одной рабочей группе) 1. по-одной отключать тачки от сети (физически выдергивая езернетовский шнурок) 2. Autoruns & Process Explorer - убрать лишнее из оперативки и автозагрузки (чтоб потом не ругалось) 3. AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17 4. грузится из-под LiveCD (Mini XP/WinPE mini) и килять темпа+откаты, после полный скан CureIt`ом (!) есть одна маленькая особенность - чтобы запустить Cureit нужно его екзешник (launch.exe) распаковать в отдельную папку и уже из этой папки запускать файлик _start.exe 5. после этого в SafeMode запустить KidoKiller, после него TrojanRemover 6. загрузится в нормальном, каспер снести нафиг, поставить заплаты от кидо (линки смотри ниже) 7. если нужно - дополнительно профиксить систему Hijack This 8. проверить нормально ли функционируют службы винды (services.msc) и нет ли ошибок в евентлоге (eventvwr.msc) 9. поставить нормальный антивирь. если инет не идет через сервер/шлюз - также поставить фаервол (EAV v 4.0.417 + Outpost 2009 либо ESS) 10. (!) только после выполнения предведущих пунктов комп можно пустить в сеть/инет 11. если возникнут проблемы со стеком TCP/IP - профиксить WinsockXPFix 12. (!) отбить руки тем кто пользуется IE и отключить автозапуск с флешей и сетевых дисков 13. убить админа который допустил разгул вирей ![]() p.s. (прямые линки на софт + статьи по лечению + reg-файлы) » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « удачной охоты ![]() специально для 0day, © Glok17 Сообщение отредактировал Glok17 - Dec 16 2009, 0:03 |
![]() ![]() |
Glok17 |
Пост
#21
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
|
Clear_Sky |
Пост
#22
|
Репутация: ![]() ![]() NashNet user ![]() Группа: Пользователи Сообщений: 446 С нами с: 18-March 09 ![]() |
|
Glok17 |
Пост
#23
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
софта тогда под руками не было http://greenflash.su/ |
Clear_Sky |
Пост
#24
|
Репутация: ![]() ![]() NashNet user ![]() Группа: Пользователи Сообщений: 446 С нами с: 18-March 09 ![]() |
ок так и сделаю |
Magik |
Пост
#25
|
Незарегистрированный ![]() |
Схлопотал недавно такую же заразу, не мог войти ни в обычном , ни безопасном режиме, вылетал этот проклятый экран с предложением отправить смс , загрузился с лайвCD от убунты, нырнул в гугл, и выяснил, что подобный троян в большинстве случаев живёт пару часов, а кому не в моготу ждать, пока он сдохнет, просто нужно ввысти семь нулей 0000000 (в большинстве случаев помогает) в поле кода, и виндос загрузится, при последующих перезагрузках экран появлятся не будет. Но систему потом всёравно стоит просканировать, мало ли.
|
ioan |
Пост
#26
|
Репутация: ![]() ![]() Папа Римский ![]() Группа: Пользователи Сообщений: 412 С нами с: 13-November 06 ![]() |
Сегодня разобрался с похожей гадостью очень быстро благодаря этому:
http://news.drweb.com/show/?i=304&c=5, |
lok! |
Пост
#27
|
Репутация: ![]() ![]() Дух Группа: Пользователи Сообщений: 169 С нами с: 15-July 06 ![]() |
Приносили мне на работе ноут с такой гадостью.
По поводу поста про лупу по Win+U - не канает. Окошко с лупой действительно выскакивает поверх вируса - но IE открывается за вирусом.. так что толку немного... Долго морочится не стал - у меня были LiveCD.... Но не тут то было! На 2х лайвах были ХР а на одной 98.. загрузилась только 98 и та не могла получить доступ к дискам(fat32).. Обошел эту хрень так: На экране "Приветствие" нажал ctrl+shift+esc - и винда естественно загрузилась с диспечером, и пока еще не загрузился експлорер - успел его снять с процессов... ну а далее поубивал вирусы.... ![]() |
Robbie |
Пост
#28
|
Репутация: ![]() ![]() Боец невидимого фронта ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 2 408 С нами с: 23-January 08 ![]() |
Подхватил 302-ую разновидность. Ввел код с сайта Др. Веба, но он работал лишь пару минут. Этого хватило)
Скачал АВЗ 4.32, он снес что-то и тут же ЕСЕТ подоспел. Обновил базы на ЕСЕТЕ, запустил полное сканирование АВЗ и ЕСЕТом. Параллельно еще избавился от 15 других вируснячков (таки были у меня). |
Glok17 |
![]()
Пост
#29
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
ввысти семь нулей 0000000 (в большинстве случаев помогает) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon деякі з модифікацій завантажувались з катлогу тимчасових файлів IE якщо є можливість і натхнення завантжитися з лайвСД то цю заразу можна вбити руками аби був редактор реестру Приносили мне на работе ноут с такой гадостью. По поводу поста про лупу по Win+U - не канает и та не могла получить доступ к дискам(fat32).. скачай Hiren`s 10-й або Alkid - я постійно ними користуюсь, особливо коли налагоджую/лікую ноутбуки - проблем із доступом не булоПараллельно еще избавился от 15 других вируснячков (таки были у меня) |
Robbie |
Пост
#30
|
Репутация: ![]() ![]() Боец невидимого фронта ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 2 408 С нами с: 23-January 08 ![]() |
|
Glok17 |
Пост
#31
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
|
Robbie |
Пост
#32
|
Репутация: ![]() ![]() Боец невидимого фронта ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 2 408 С нами с: 23-January 08 ![]() |
Я никогда не говорил, что НОД плохой антивирь. Это сугубо моя вина. Он свою задачу выполяет.
|
kappa |
Пост
#33
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 316 С нами с: 31-May 08 ![]() |
Сегодня эту гадость подцепил. Пишет будто от лица системы безопасности windows. У вас выявленная не лицензионная версия виндовс, если хотите её купить отошлите смс... Плз кто может по-шагово расписать инструкцию как эту гадость нафиг стереть. Буду очень благодарен.
![]() ![]() |
borman_z |
Пост
#34
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 417 С нами с: 4-October 08 ![]() |
Я её удалил прогой IObit Security 360
на офф сайте акция до 2010 г. лиц ключ PRO версия Сообщение отредактировал borman_z - Oct 29 2009, 19:50 |
kappa |
Пост
#35
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 316 С нами с: 31-May 08 ![]() |
Установил прогу AVZ. Запустил, нажал выполнить скрипт, оно нашло вирус, в двох файлах GooD.exe BLaCK.exe . Потом камп сам перезагрузился, и вроде все норм. Вот только Диспечер задач закрыт администратором. Все таки остался? У меня на компе 2пользывателя, может вирусняк и на второй пробрался?
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « Сообщение отредактировал kappa - Oct 30 2009, 7:41 |
Cfetocheg |
![]()
Пост
#36
|
Репутация: ![]() ![]() Cтаршой ![]() ![]() Группа: Пользователи Сообщений: 762 С нами с: 2-October 09 ![]() |
Установил прогу AVZ. Запустил, нажал выполнить скрипт, оно нашло вирус, в двох файлах GooD.exe BLaCK.exe . Потом камп сам перезагрузился, и вроде все норм. Вот только Диспечер задач закрыт администратором. Все таки остался? У меня на компе 2пользывателя, может вирусняк и на второй пробрался? » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « Об GooD.exe и BLaCK.exe первый раз слышу ....а ДиспеТчер моЖно воСтоНовить при помоЩи всё Того же AVZ (Восстановление системны --> и там вроди 11 пУнкТ ) Сообщение отредактировал, +20% выписал, ещё раз увижу забаню навсегда Сообщение отредактировал SKiPER - Oct 31 2009, 18:43 |
Sl@sh |
Пост
#37
|
Репутация: ![]() ![]() Дух Группа: Пользователи Сообщений: 21 С нами с: 18-March 09 ![]() |
Разблокировать диспетчер можно и через Мастер решения проблем
Сегодня эту гадость подцепил. Пишет будто от лица системы безопасности windows. У вас выявленная не лицензионная версия виндовс, если хотите её купить отошлите смс... Плз кто может по-шагово расписать инструкцию как эту гадость нафиг стереть. Буду очень благодарен. ![]() ![]() Обычно делаю так )) перед выездом к клиенту спрашиваю на какой номер отправлять СМС, потом иду сюда http://news.drweb.com/show/?i=304&c=5 узнаю код активации и по приезду выполняю разблокирование оси. Ну а потом дело техники )) сначала AVZ потом Portabe Trojan Remover (на всякий случай )). Сообщение отредактировал Sl@sh - Oct 31 2009, 14:51 |
Glok17 |
Пост
#38
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
Плз кто может по-шагово расписать инструкцию как эту гадость нафиг стереть - тупий: або з-під "Безопасного режима" або з-під ERDCommander / Alkid LiveCD Autoruns`ом чи regedit`ом перевірити ключі реестру HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметри Shell та Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run і прибрати "зайві" записи/ключі накшталт екзешного файлу, який завантажується з TemporarlyInternetFiles швидкий та точний спосіб для усунення цієї зарази. але ні де нема гарантії що у вас в системі лише 1 вірус. - правильний: 1. на іншій системі качаєш CureIt та WinPE mini 2. спершу пробуєш з-під "Безопасного режима" зайти. якщо пускає - в "Безопасном режиме" запускаєш повне сканування всього диску. 3. якщо в "Безопасный режим" зайти не можеш - записуєш WinPE mini на болванку 4. завантажуєшся і з-під WinPE mini запускаєш СureIt p.s. тут усе написано как правильно лечить вирусы (без переустановки винды) http://forum.0day.kiev.ua/index.php?showtopic=95539 |
borman_z |
Пост
#39
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 417 С нами с: 4-October 08 ![]() |
У меня проблема, У меня в процессе Winlogon стоит високий приоритет, как то подозрительно ?
|
Glok17 |
Пост
#40
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
|
![]() ![]() |
![]() |
Упрощённая версия | Сейчас: 9th August 2024 - 23:24 |
Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст. |