IPB

Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в эту темуОткрыть новую тему
> Лечим вирусы ручками
Shaman
сообщение 2.5.2009, 01:39
Сообщение #1





Группа: Модераторы
Регистрация: 1.12.2005
Из: OnLine
Пользователь №: 6 823



Для начала список софта:
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe - бесплатная антивирусная утилита от Dr.Web (запуск из под Windows)
ftp://ftp.drweb.com/pub/drweb/livecd/minD...iveCD-5.0.0.iso - то же самое только образ загрузочного диска чтобы можно было удалять любые файлы.
http://dl.antivir.de/down/vdf/rescuecd/rescuecd.exe - нечто подобное от avira
http://www.farmanager.com/ - far
http://technet.microsoft.com/ru-ru/sysinternals/default.aspx - в частности потребуется process explorer (аналог диспетчера задач только с большей информацией о процессах), procmon, tcpview.

действия простые - сначала смотрим все процессы в procexp, подозрительные отслеживаем в tcpview (прослушивает ли наш процесс какой-либо порт), procmon (к каким файлам на диске и веткам реестра обращается).
если есть подозрения на вирус, грузимся в безопасном режиме, запускаем cureit, утилитой autoruns удаляем подозрительное приложение из автозагрузки, запускаем far и смотрим наличие файлов autorun.inf в корневых директориях всех дисков (в том числе и сетевых)
если файл заблокирован и удалить не удается даже из безопасного режима, грузимся с liveCD и снова запускаем сканирование.

в основном все, есть еще файлики реестра для возврата некоторых значений которые меняют вирусы, добавлю их позже.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
}{UNTER
сообщение 2.5.2009, 12:24
Сообщение #2





Группа: Модераторы
Регистрация: 26.7.2006
Из: за кабинета злой
Пользователь №: 13 854



http://www.z-oleg.com/secur/avz/download.php
Цитата
Назначение программы и решаемые ей задачи
Антивирусная утилита AVZ предназначена для обнаружения и удаления:
SpyWare и AdWare модулей - это основное назначение утилиты
Dialer (Trojan.Dialer)
Троянских программ
BackDoor модулей
Сетевых и почтовых червей
TrojanSpy, TrojanDownloader, TrojanDropper
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Max Swap
сообщение 2.5.2009, 12:52
Сообщение #3





Группа: Пользователи
Регистрация: 16.1.2004
Из: 90.157.89.0-255  94.31.217.0-255 (SWEN, юго-запад)
Пользователь №: 1 458



Цитата(Shaman @ 2.5.2009, 02:39) *
ручками

всегда думал, что "ручками" это с помощью неспециализированного софта, т.е. неантивирусного

из специализированного бесплатного добавочка:
Kaspersky Virus Removal Tool (AVPTool)
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

Kaspersky Rescue Disk
http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/


из платных решений:
Диск аварийного восстановления с помощью продуктов Лаборатории Касперского версии 2009
http://support.kaspersky.ru/kav2009/all?qid=208635970

avast! BART CD
http://www.avast.ru/Avast_BART_CD.htm

Сообщение отредактировал Max Swap - 3.5.2009, 21:02
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Shaman
сообщение 3.5.2009, 20:36
Сообщение #4





Группа: Модераторы
Регистрация: 1.12.2005
Из: OnLine
Пользователь №: 6 823



Цитата(Max Swap @ 2.5.2009, 13:52) *
всегда думал, что "ручками" это с помощью неспециализированного софта, т.е. неантивирусного

некоторые и антивирусами толком пользоваться не умеют. ручками больше относилось к pocexp, far, tcpview, etc.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Mитхун Чакраборт...
сообщение 4.5.2009, 12:33
Сообщение #5


∴ ∵ ∴ ∵ ∴ ∵ ∴ ∵


Группа: Пользователи
Регистрация: 28.8.2003
Пользователь №: 12



HijackThis + AVZ

Лучшая связка, помогала мне избавиться даже от неизвестных вирусов.
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
forinn
сообщение 4.5.2009, 14:45
Сообщение #6





Группа: Пользователи
Регистрация: 25.10.2006
Пользователь №: 16 303



Spybot - Search & Destroy©® - тоже неплохая прога,бесплатная,обновляться только надо постоянно.http://www.safer-networking.org/ru/spybotsd/index.html
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Shaman
сообщение 31.5.2009, 13:28
Сообщение #7





Группа: Модераторы
Регистрация: 1.12.2005
Из: OnLine
Пользователь №: 6 823



вроде недавно появившаяся напасть AdSubscribe.dll
регистрируется как компонент explorer.exe (нижняя панелька с кнопкой Пуск)
ставится через якобы загрузчик книги, но возможно и другими исполняемыми файлами.
создается директория %appdata%\AdSubscribe куда помещаются файлы спайваре модуля.
в процессах не отображается, т.к. подгружается частью explorer'а

по непроверенной информации, для удаления можно просто ввести 012345.

чистил ручками:
открываем regedit жмем Ctrl+F и ищем в реестре строку 82C885EE-6B87-4D51-9EF4-0CFE9FADA900
удаляем все найденные ключи/разделы, после чего удаляем папку %appdata%\AdSubscribe

либо скачиваем с сайта sysinternals.com программу autoruns.exe в ней ищем (Ctrl+F) AdSubscribe и удаляем все ключи. после чего также удаляем оставшиеся файлы.

Avira на этот модуль не сработала.

Сообщение отредактировал Shaman - 31.5.2009, 13:47
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Shaman
сообщение 12.11.2009, 01:37
Сообщение #8





Группа: Модераторы
Регистрация: 1.12.2005
Из: OnLine
Пользователь №: 6 823



хз старая ли напасть, у сестры вчера нашел на компе.
по классификатору DrWeb - Win32.HLLW.Lime.18
Для заражения жертвенной системы запускался wmfcgr.exe, все остальное он загружал самостоятельно.
Изменения вносимые в реестр:
Код
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Microsoft Driver Setup"="C:\\WINDOWS\\jcdrive32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Driver Setup"="C:\\WINDOWS\\jcdrive32.exe"
"wshost32"="C:\\WINDOWS\\system32\\wshost32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"="\\\\192.168.1.12\\smb\\RECYCLER\\S-1-5-21-5504433037-9497313590-284501210-8228\\wmfcgr.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\893.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\893.exe:*:C:\\WINDOWS\\jcdrive32.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\893.exe"="C:\\DOCUME~1\\user\\LOCALS~1\\Temp\\893.exe:*:C:\\WINDOWS\\jcdrive32.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"12CFG214-K641-12SF-N85P"="C:\\RECYCLER\\S-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe"
"12CFG214-K641-24SF-N85P"="C:\\RECYCLER\\S-1-5-21-0243936033-3052116371-381863308-1859\\ls888.exe"


так же возможно изменяет значения реестра:
Код
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG]
"Seed"=hex:e3,96,f7,1d,71,f7,d8,1f,df,92,78,49,0c,e8,5e,29,69,d4,29
,48,b9,42,\
  de,78,87,f5,33,e0,8d,1c,c8,08,6d,72,6f,85,1c,f0,99,0a,5
9,7d,11,87,54,70,f4,\
  1b,b4,24,d9,e8,15,89,ea,c8,26,fc,68,7b,8d,6b,c3,23,9b,a
6,65,36,89,c5,ad,0f,\
  b8,df,56,6b,2e,45,94,f3
"Seed"=hex:7d,05,55,1a,7c,59,1f,90,a4,d6,2d,14,fb,77,c8,9a,c1,81,7a
,39,a9,02,\
  4f,7a,82,75,12,5c,74,7d,5b,43,ab,e4,fc,1b,e0,ea,fb,81,1
6,96,69,26,c0,e8,36,\
  9e,b4,a4,28,24,95,10,30,38,69,4d,51,d9,b8,88,fe,0d,18,e
4,0c,d4,29,c6,80,0f,\
  6f,6c,2b,f4,2e,d7,c4,14

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Epoch]
"Epoch"=dword:0000001b
"Epoch"=dword:0000001c

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0000001b
"Epoch"=dword:0000001c

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]
"SavedLegacySettings"=hex:3c,00,00,00,09,00,00,00,01,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,04,00,00,00,00,00,00,00,60,08,ad,2
3,c3,19,ca,01,01,00,\
  00,00,0a,00,02,0f,00,00,00,00,00,00,00,00
"SavedLegacySettings"=hex:3c,00,00,00,0e,00,00,00,01,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,04,00,00,00,00,00,00,00,60,08,ad,2
3,c3,19,ca,01,01,00,\
  00,00,0a,00,02,0f,00,00,00,00,00,00,00,00

для удаления вируса запускаем диспетчер задач, убиваем процесс explorer.exe, запускаем far и удаляем все из каталога С:\RECYCLER, файлы:
C:\WINDOWS\jcdrive32.exe
C:\WINDOWS\system32\\wshost32.exe
C:\DOCUME~1\user\LOCALS~1\Temp\893.exe
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1859\ls888.exe
wmfcgr.exe (у меня он расположен в сети, но может находиться в одном из подкаталогов C:\RECYCLER)
после удаления файлов, из все того же диспетчера задач запускаем редактор реестра regedit и удаляем созданные червем значения реестра.

это предварительная версия, действенно ли лечение проверю завтра (сегодня уже очень спать хочется), червь запускался в песочнице в VirtualBox'e для анализа значений реестра использовалась программа Regshot.

Сообщение отредактировал Shaman - 12.11.2009, 01:38
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
stells
сообщение 24.1.2010, 15:24
Сообщение #9





Группа: Новички
Регистрация: 24.1.2010
Пользователь №: 48 211



Цитата(Shaman @ 12.11.2009, 01:37) *
после удаления файлов, из все того же диспетчера задач запускаем редактор реестра regedit и удаляем созданные червем значения реестра.

Даже после неитрализации действия гадости, могут сохряниться правила, запрещающие доступ к диспетчеру задач, редактору реестра, управления службами и т.д.
В этом случае, можно воспользоваться любой сторонней утилитой для работы с реестром (например, я использую Total commander и в нем плагин Registry).
И чистим ключи:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies - можно смело удалить все в нем.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies - аналогично, можно все удалить
так же, на всякий случай смотрим и если что удаляем в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
и
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
После этого, лучше всего на ветки
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
Наложить ограничения – запретить писать туда ВСЕМ
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Demon2
сообщение 10.2.2010, 02:08
Сообщение #10





Группа: Модераторы
Регистрация: 25.11.2006
Из: :
Пользователь №: 17 337



Сейчас у вирусописателей стало модно блокировать винду (Trojan.Winlock) и вымогать смс.
Для получения кода разблокировки помогут следующие сервисы:
http://www.drweb.com/unlocker/index/?lng=ru
http://support.kaspersky.ru/viruses/deblocker

Ну и не забываем про лечение с LiveCD
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения
Спасибот
сообщение 6.1.2015, 22:32
Сообщение #11





Группа: Пользователи
Регистрация: 27.8.2005
Пользователь №: 5 198



А у меня такая проблема. Пробовал разные антивирусы, после удаления вирусов, не заходит в интернет. Что с этим делать ? (Сейчас вернул восстановление системы в режим "до установки антивируса".
Вернуться в начало страницы
 
+Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



- Текстовая версия Сейчас: 23.7.2019, 21:20
Блог КАБiNET