Перейти к содержимому

Фотография

Как лечить вирусы

- - - - -

  • Авторизуйтесь для ответа в теме

#1
admin

Отправлено 18 ������ 2009 - 12:49

admin

    Самый главный тут

  • Администраторы
  • 9�615 сообщений
как правильно лечить вирусы
(без переустановки винды)

1. отключить комп от сети (иногда программно сеть не тушится - выдернуть шнурок Ethernet)
2. спомошью Autoruns & Process Explorer убрать лишние процесcы из памяти + всякую дрянь из автозапуска
(просто снять галки со всего кроме userinit, exploer, ctfmon)
http://technet.micro...s/bb963902.aspx
http://technet.micro...s/bb896653.aspx
3. не перезагружаемся! включаем систему восстановления (если была отключена) только на системном разделе. вручную создаем точку отката - нам важно сохранить реестр
4. запустить AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17. выполняем. не перезагружаемся.
5. скачать, прожечь на болванку WinPEmini, загрузится с компакта
(если винт SATA - либо отключить AHCI либо юзать Alkid liveCD)
6. на всех дисках вычистить все точки отката (System Volume Information) кроме 2-3х последних
7. вручную почистить темпа (папки временных файлов)
%temp%
C:\Documents and Setting\имя_учетки\Local Settings\Temp и Temporarly Internet Files
8. из-под WinPEmini запустить полную проверку CureIt`ом
http://www.freedrweb.../cureit/?lng=ru
(!) хитрость = екзешник launch.exe нужно распаковать в отдельную папку и запускать _start.exe
9. важно!!! по окончанию сканирования не спешить перезагружатся!
нужно выписать на листик список удаленных екзешников и дллок из папки Windows & Windows\system32
(на тот случай если были покоцаны/заражены системные файлы и кюреит их снес - винда не загрузится)
10. сравниваем список удаленных с dllcache. если надо - сразу из-под лайвСД перекидываем из кеша в system32
11. после зачистки пытаемся грузится в "Безопасном режиме"

- если грузится запускаем TrojanRemover
http://www.simplysup...r/download.html
чтобы нейтрализовать остаточное действие троянов
(!) если будет ругатся на userinit - exclude (добавить в исключение)

- если не грузится вспоминаем про такую вещь как ERDCommander (поднятие винды это уже отдельная тема, если найду время - распишу)

12. грузимся в обычном режиме и сносим пробитую защиту, смотрим евентлог, ставим заплаты
(см. ниже 2-й пост в этой теме)
____________________________

реестр

если после лечения ось грузится но панель задач не подггружается и виден лишь фон рабочего стола...

Ctrl+Alt+Del (Ctrl+Shift+Esc) -> новая задача (Выполнить) -> regedit ->
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\
в этом разделе ищем куст explorer.exe, выделяем, в правой части окна появится параметр
Debugger (C:\Program Files\Microsoft\Common\wuauclt.exe)
удаляем этот параметр, закрываем regedit, вновь запускаем диспетччер задач и запускаем explorer

кроме того после зачистки или в процесе (если скан из-под лайвСД по тех. причинам не возможен)
советую обратить внимание на следующие кусты реестра:
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
из-под alkid live cd проверь кусты реестра, отвечающие за шелл и автозагрузку

HKEY_LOCAL_MASHINE\Software\Microsoft\Windows NT\Currentversion\Image File Execution Options
- ищи "папочку" с названием explorer.exe, выдели его, в правой части окна будет ключ "Debugging options" или "Debug" -> выдели его ни нажми Del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
* shell должен быть просто Explorer.exe без префиксов и добавок вроде csrsc и т.д.

!!!кроме того, в процесе зачистки очередного компа был найден мутировавший вариант авторана, который прописывал вместо шела ахинею в другом ключе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo2
если такой раздел (я имею ввиду "винлого2") существует - найти там параметр shell и удостовериться что он равен explorer.exe

также проверить записи в кустах
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

поколдуй с реестром:

1. скопируй в отдельную папку текущий реестр
(C:\Windows\system32\config
файлы без расширения
default
sam
security
software
system
)

2. замени текущий реестр тем что находиться в папке
C:\Windows\Repair
- загрузиться голая винда(!), это реестр на момент установки
сделай sfc /scannow
чтобы восстановить системные файлы, потом из-под лайв СД
опять верни рабочий реестр и пробуй грузиться


___________________________________________________________________________

после чистки рекомендуеться:

- Пуск -> Выполнить -> sfc /scannow
- CCleaner
http://www.ccleaner....ownloading-slim
- бекап данных
- юзанье Opera / FireFox вместо IE
- отключения авторана (актуально для флешей)
- здравый смысл, т.е. использовать посленюю версию антивиря и обновлять его

своевременно,не лазить по сайтам из группы риска blum.gif