Как правильно лечить вирусы (c) Glok17, пошаговая, универсальная инструкция в шапке!!! |
Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6722-й день
![]() |
Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua |
Как правильно лечить вирусы (c) Glok17, пошаговая, универсальная инструкция в шапке!!! |
Glok17 |
![]()
Пост
#1
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
как правильно лечить вирусы без переустановки винды. часть первая.
1. отключить комп от сети (иногда программно сеть не тушится - выдернуть шнурок Ethernet) 2. спомошью Autoruns & Process Explorer убрать лишние процесcы из памяти + всякую дрянь из автозапуска (просто снять галки со всего кроме userinit, exploer, ctfmon) http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx http://technet.microsoft.com/en-us/sysinte...s/bb896653.aspx 3. не перезагружаемся! включаем систему восстановления (если была отключена) только на системном разделе. вручную создаем точку отката - нам важно сохранить реестр 4. запустить AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17. выполняем. не перезагружаемся. 5. скачать, прожечь на болванку WinPEmini, загрузится с компакта (если винт SATA - либо отключить AHCI либо юзать Alkid liveCD) 6. на всех дисках вычистить все точки отката (System Volume Information) кроме 2-3х последних 7. вручную почистить темпа (папки временных файлов) %temp% C:\Documents and Setting\имя_учетки\Local Settings\Temp и Temporarly Internet Files 8. из-под WinPEmini запустить полную проверку CureIt`ом http://www.freedrweb.com/cureit/?lng=ru (!) хитрость = екзешник launch.exe нужно распаковать в отдельную папку и запускать _start.exe 9. важно!!! по окончанию сканирования не спешить перезагружатся! нужно выписать на листик список удаленных екзешников и дллок из папки Windows & Windows\system32 (на тот случай если были покоцаны/заражены системные файлы и кюреит их снес - винда не загрузится) 10. сравниваем список удаленных с dllcache. если надо - сразу из-под лайвСД перекидываем из кеша в system32 11. после зачистки пытаемся грузится в "Безопасном режиме" - если грузится запускаем TrojanRemover http://www.simplysup.com/tremover/download.html чтобы нейтрализовать остаточное действие троянов (!) если будет ругатся на userinit - exclude (добавить в исключение) - если не грузится вспоминаем про такую вещь как ERDCommander (поднятие винды это уже отдельная тема, если найду время - распишу) 12. грузимся в обычном режиме и сносим пробитую защиту, смотрим евентлог, ставим заплаты (см. ниже 2-й пост в этой теме) ____________________________ реестр если после лечения ось грузится но панель задач не подггружается и виден лишь фон рабочего стола... Ctrl+Alt+Del (Ctrl+Shift+Esc) -> новая задача (Выполнить) -> regedit -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\ в этом разделе ищем куст explorer.exe, выделяем, в правой части окна появится параметр Debugger (C:\Program Files\Microsoft\Common\wuauclt.exe) удаляем этот параметр, закрываем regedit, вновь запускаем диспетччер задач и запускаем explorer кроме того после зачистки или в процесе (если скан из-под лайвСД по тех. причинам не возможен) советую обратить внимание на следующие кусты реестра: » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « ___________________________________________________________________________ после чистки рекомендуеться: - Пуск -> Выполнить -> sfc /scannow - CCleaner http://www.ccleaner.com/download/builds/downloading-slim - бекап данных - юзанье Opera / FireFox вместо IE - отключения авторана (актуально для флешей) - здравый смысл, т.е. использовать посленюю версию антивиря и обновлять его своевременно,не лазить по сайтам из группы риска ![]() p.s. как лечить вирусы я расписывал в этой теме http://forum.0day.kiev.ua/index.php?s=&...t&p=1116903 и в этой http://forum.0day.kiev.ua/index.php?showtopic=85004 удачной охоты ![]() специально для 0day, © Glok17 ______________________________________________ ______________________________________________ как правильно лечить форточки от заразы. часть вторая как бы я лечил компы в малой сети (фирма = 10-15 компов в одной рабочей группе) 1. по-одной отключать тачки от сети (физически выдергивая езернетовский шнурок) 2. Autoruns & Process Explorer - убрать лишнее из оперативки и автозагрузки (чтоб потом не ругалось) 3. AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17 4. грузится из-под LiveCD (Mini XP/WinPE mini) и килять темпа+откаты, после полный скан CureIt`ом (!) есть одна маленькая особенность - чтобы запустить Cureit нужно его екзешник (launch.exe) распаковать в отдельную папку и уже из этой папки запускать файлик _start.exe 5. после этого в SafeMode запустить KidoKiller, после него TrojanRemover 6. загрузится в нормальном, каспер снести нафиг, поставить заплаты от кидо (линки смотри ниже) 7. если нужно - дополнительно профиксить систему Hijack This 8. проверить нормально ли функционируют службы винды (services.msc) и нет ли ошибок в евентлоге (eventvwr.msc) 9. поставить нормальный антивирь. если инет не идет через сервер/шлюз - также поставить фаервол (EAV v 4.0.417 + Outpost 2009 либо ESS) 10. (!) только после выполнения предведущих пунктов комп можно пустить в сеть/инет 11. если возникнут проблемы со стеком TCP/IP - профиксить WinsockXPFix 12. (!) отбить руки тем кто пользуется IE и отключить автозапуск с флешей и сетевых дисков 13. убить админа который допустил разгул вирей ![]() p.s. (прямые линки на софт + статьи по лечению + reg-файлы) » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « удачной охоты ![]() специально для 0day, © Glok17 Сообщение отредактировал Glok17 - Dec 16 2009, 0:03 |
![]() ![]() |
borman_z |
Пост
#41
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 417 С нами с: 4-October 08 ![]() |
Сестра установила прогу что бы читать чужие СМС в контакте,
записала на комп папка ищезла, и началось, когда захожу в контакт делаетса переадресация на другой контакт там в углу написане, не "Вконтакте" а VK, |
Glok17 |
Пост
#42
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
Сестра установила прогу что бы читать чужие СМС в контакте записала на комп папка ищезла О_о просто Девід Блейн а не сестраспробуй для початку включити показ прихованих файлів і подивися уважно що в тебе вантажиться разом з віндою переадресация на другой контакт почисть темпа, прибери зайві процеси з автозавантаження, перевстанови браузери і відлупцюй сеструв чому проблема? тобі впадло прочитати інструкцію про лікування вірусів і перевірити свій комп? |
Sintorres |
Пост
#43
|
Благодарности: 1871 Репутация: ![]() ![]() Старожил ![]() ![]() ![]() ![]() Группа: Модеры Сообщений: 3 673 С нами с: 20-March 06 ![]() |
....когда захожу в контакт делаетса переадресация на другой контакт там в углу написане, не "Вконтакте" а VK, Проверь. в C:\WINDOWS\system32\drivers\etc\hosts должно быть примерно так. » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « Если после 127.0.0.1 localhost присутствует запись типа - vkontaktе xxx.xxx.xxx.xxx (какой то левый IP) -грохни в принципе там не должно быть нечего кроме 127.0.0.1 localhost (если сам руцями этот файлик не рихтовал.) ну и следуй инструкциям от Glok17 Сообщение отредактировал Sintorres - Nov 3 2009, 22:08 |
borman_z |
Пост
#44
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 417 С нами с: 4-October 08 ![]() |
У меня такое самое, только по англ
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « |
VorTex777 |
Пост
#45
|
Репутация: ![]() ![]() Дух Группа: Пользователи Сообщений: 162 С нами с: 27-September 09 ![]() |
Словил такой вирь денька 2 назад - прадва у меня не блокируетса винда и ето окошко выскакивает через 2-3часа юзания, перезагрузил и все норм! НАшел ключики на сайте Доктор веба жду когда опять выскочит!!!
Сестра установила прогу что бы читать чужие СМС в контакте, записала на комп папка ищезла, и началось, когда захожу в контакт делаетса переадресация на другой контакт там в углу написане, не "Вконтакте" а VK, И такое было правда етот бред принесли на флешке заходи не на вконтакт ру а на ВК.ком (новый домен вконтакта) |
borman_z |
Пост
#46
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 417 С нами с: 4-October 08 ![]() |
ТИпа запасной ?
Так у всех так ? Новый Симптом: Требует активация мобильного телефона ВОТ ![]() Вот проверял комп прогой AVZ » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « Сообщение отредактировал borman_z - Nov 4 2009, 12:55 |
Glok17 |
Пост
#47
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
|
borman_z |
Пост
#48
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 417 С нами с: 4-October 08 ![]() |
Мозилу я нехочу переустанавливать, у меня там куча важных закладок
|
Glok17 |
Пост
#49
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
|
borman_z |
Пост
#50
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 417 С нами с: 4-October 08 ![]() |
А какие проги надо что бы проверить на вирусы ?
Нашол в моих документах в папке Admin папку Scripts В ней документ название witkontakt.user Сообщение отредактировал borman_z - Nov 4 2009, 15:14 |
Sl@sh |
Пост
#51
|
Репутация: ![]() ![]() Дух Группа: Пользователи Сообщений: 21 С нами с: 18-March 09 ![]() |
Для кого все это пишут... обычно хватает AVZ и Trojan Remover. Из под безопасного лечится и как блокировка винды так и вконтакт. В тяжелых случаях если там стадо вирусов юзай загрузочные WinPEmini либо liveCD. http://forum.0day.kiev.ua/index.php?showtopic=95539 для кого это?
Сообщение отредактировал Sl@sh - Nov 4 2009, 15:14 |
Glok17 |
![]()
Пост
#52
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
А какие проги надо что бы проверить на вирусы ? http://www.freedrweb.com/cureit/ http://www.simplysup.com/download.html http://www.ccleaner.com/download http://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx http://technet.microsoft.com/en-us/sysinte...s/bb896653.aspx В ней документ название witkontakt.user видали йогоДля кого все это пишут |
borman_z |
Пост
#53
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 417 С нами с: 4-October 08 ![]() |
Напиши инструкцию понятную, как всё надо делать по порядку
|
Glok17 |
Пост
#54
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
Напиши инструкцию понятную, как всё надо делать по порядку ![]() ось це по-твоєму що http://forum.0day.kiev.ua/index.php?showtopic=95539 попроси старшого хто в цьому розбирається. |
borman_z |
Пост
#55
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 417 С нами с: 4-October 08 ![]() |
Не хто больше нешарит, только я чуток
Я включил сканер др веб Сообщение отредактировал borman_z - Nov 4 2009, 16:39 |
Glok17 |
![]()
Пост
#56
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
Не хто больше нешарит, только я чуток прийду з роботи, якщо буденатхнення - напишу, але воно того не варте. 305-й раз повторюю скрипт може сидіти в кеші браузера (тої поги, якою ти в контакт ломишся) збережи закладки Закладки - Управление закладками - Импорт и резервирование - Резервное копирование і тупо видали браузер і його папка як з Program Files так і з Application Data після цього пройдись CCleaner |
borman_z |
Пост
#57
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 417 С нами с: 4-October 08 ![]() |
Проблема решена с помощю Dr.Web
Спасибо что дал прогу ))) Сообщение отредактировал borman_z - Nov 4 2009, 17:39 |
borman_z |
![]()
Пост
#58
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 417 С нами с: 4-October 08 ![]() |
А етот вирус опасний "Trojan.PWS.Vkontakte.49" ?
|
Glok17 |
Пост
#59
|
Репутация: ![]() ![]() Справжній Львяра ![]() ![]() ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 10 062 С нами с: 13-September 07 ![]() |
|
borman_z |
Пост
#60
|
Репутация: ![]() ![]() Активист ![]() Группа: Пользователи Сообщений: 417 С нами с: 4-October 08 ![]() |
Вконтакте теперь очень большой спам, тока он уже пишет картинками.
Проблемка: вставил флешку с мобилы в кардридер, и устройства отключились, В чом может бить проблема ? Сообщение отредактировал borman_z - Nov 6 2009, 23:16 |
![]() ![]() |
![]() |
Упрощённая версия | Сейчас: 9th August 2024 - 23:35 |
Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст. |