If you have any questions, contact us:
Telegram:maintex
ICQ:1607000

  #1 Old 08-22-2013, 10:21 PM
Cartographer
 
Cartographer's Avatar
 
Join Date: Aug 2013
Posts: 511
Cartographer is on a distinguished road
Default FAQ о том, как лечить вирусы и трояны

FAQ о том, как лечить вирусы и трояны

! прошу заметить, что инструкция универсальная, не для конкретного виря, а в общем и написана для новичков !

как правильно лечить вирусы (без переустановки винды)

1. отключить комп от сети (иногда программно сеть не тушится - выдернуть шнурок Ethernet)
2. спомошью Autoruns & Process Explorer убрать лишние процесcы из памяти + всякую дрянь из автозапуска (просто снять галки со всего кроме userinit, exploer, ctfmon)
http://technet.microsoft.com/en-us/s.../bb963902.aspx
http://technet.microsoft.com/en-us/s.../bb896653.aspx
3. не перезагружаемся! включаем систему восстановления (если была отключена) только на системном разделе. вручную создаем точку отката - нам важно сохранить реестр
4. запустить AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17. выполняем. не перезагружаемся.
5. скачать, прожечь на болванку WinPEmini, загрузится с компакта (если винт SATA - либо отключить AHCI либо юзать Alkid liveCD)
6. на всех дисках вычистить все точки отката (System Volume Information) кроме 2-3х последних
7. вручную почистить темпа (папки временных файлов)
%temp%
C:\Documents and Setting\имя_учетки\Local Settings\Temp и Temporarly Internet Files
8. из-под WinPEmini запустить полную проверку CureIt'ом http://www.freedrweb.com/cureit/?lng=ru
ехе'шник launch.exe можно распаковать в отдельную папку и запускать _start.exe
9. важно!!! по окончанию сканирования не спешить перезагружатся! нужно выписать на листик список удаленных екзешников и дллок из папки Windows & Windows\system32 (на тот случай если были покоцаны/заражены системные файлы и кюреит их снес - винда не загрузится)
10. сравниваем список удаленных с dllcache. если надо - сразу из-под лайвСД перекидываем из кеша в system32
11. после зачистки пытаемся грузится в "Безопасном режиме"
- если грузится запускаем TrojanRemover
http://www.simplysup.com/tremover/download.html
чтобы нейтрализовать остаточное действие троянов и мусор, который остался после троянов и их удаления
- если не грузится, вспоминаем про такую вещь, как ERDCommander (поднятие винды это уже отдельная тема)
12. грузимся в обычном режиме и сносим пробитую защиту, смотрим евентлог, ставим заплаты



Реестр
Если после лечения ось грузится, но панель задач не подгружается и виден лишь фон рабочего стола...
Ctrl+Alt+Del (Ctrl+Shift+Esc) -> новая задача (Выполнить) -> regedit ->
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Image File Execution Options\
в этом разделе ищем куст explorer.exe, выделяем, в правой части окна появится параметр
Debugger (C:\Program Files\Microsoft\Common\wuauclt.exe)
Удаляем этот параметр, закрываем regedit, вновь запускаем диспетчер задач и запускаем explorer. Кроме того, после зачистки или в процесе (если скан из-под лайвСД по тех. причинам не возможен)

Советую обратить внимание на следующие кусты реестра:
из-под alkid live cd проверь кусты реестра, отвечающие за шелл и автозагрузку

HKEY_LOCAL_MASHINE\Software\Microsoft\Windows NT\Currentversion\Image File Execution Options
- ищи "папочку" с названием explorer.exe, выдели его, в правой части окна будет ключ "Debugging options" или "Debug" -> выдели его ни нажми Del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
* shell должен быть просто Explorer.exe без префиксов и добавок вроде csrsc и т.д.

!!!кроме того, в процесе зачистки очередного компа был найден мутировавший вариант авторана, который прописывал вместо шела ахинею в другом ключе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo2
если такой раздел (я имею ввиду "винлого2") существует - найти там параметр shell и удостовериться что он равен explorer.exe

также проверить записи в кустах
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

поколдуй с реестром:

1. скопируй в отдельную папку текущий реестр
(C:\Windows\system32\config
файлы без расширения
default
sam
security
software
system)

2. замени текущий реестр тем что находиться в папке
C:\Windows\Repair
- загрузиться голая винда(!), это реестр на момент установки
сделай sfc /scannow
чтобы восстановить системные файлы, потом из-под лайв СД
опять верни рабочий реестр и пробуй грузиться



После чистки рекомендуется:
- Пуск -> Выполнить -> sfc /scannow
- CCleaner
http://www.ccleaner.com/download/bui...wnloading-slim
- бекап данных
- юзанье Opera / FireFox вместо IE
- отключения авторана (актуально для флешей)
- здравый смысл, т.е. использовать посленюю версию антивиря и обновлять его
- не лазить по порно/варез/мусорным сайтам


Как бы я лечил компы в малой сети (фирма 10-15 компов в одной рабочей группе)
1. по-одной отключать тачки от сети (физически выдергивая еcернетовский шнурок)
2. Autoruns & Process Explorer - убрать лишнее из оперативки и автозагрузки (чтоб потом не ругалось)
3. AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17
4. грузится из-под LiveCD (Mini XP/WinPE mini) и килять темпа+откаты, после полный скан CureIt'ом
(!) есть одна маленькая особенность - чтобы запустить Cureit нужно его екзешник (launch.exe) распаковать в отдельную папку и уже из этой папки запускать файлик _start.exe
5. после этого в SafeMode запустить KidoKiller, после него TrojanRemover
6. загрузится в нормальном, каспер снести нафиг, поставить заплаты от кидо (линки смотри ниже)
7. если нужно - дополнительно профиксить систему Hijack This
8. проверить нормально ли функционируют службы винды (services.msc) и нет ли ошибок в евентлоге (eventvwr.msc)
9. поставить нормальный антивирь. если инет не идет через сервер/шлюз - также поставить фаервол (EAV v 4.0.417 + Outpost 2009 либо ESS)
10. (!) только после выполнения предведущих пунктов комп можно пустить в сеть/инет
11. если возникнут проблемы со стеком TCP/IP - профиксить WinsockXPFix
12. (!) отбить руки тем кто пользуется IE и отключить автозапуск с флешей и сетевых дисков
13. убить админа который допустил разгул вирей

© Glok17
Cartographer is offline   Reply With Quote
Reply

Thread Tools Search this Thread
Search this Thread:

Advanced Search

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump

Similar Threads
Thread Thread Starter Forum Replies Last Post
Рассуждение, о том как начать Cartographer Статьи 0 09-01-2013 01:51 PM
Рассуждение, о том как начать Cartographer Статьи 0 09-01-2013 01:36 PM


Cybercrime forum, cybercrime site, ,fraud forum, russian fraud forum, Credit cards, carder, infraud, carders.ws, crdpro, fraudsters, darkpro, crdcrew, dumps, cvv, cc, stuff carding, legit seller, vendor, free cvv, dumps+pin, skimmer, ,shimmer, emv software, emv chip writer, free cc+cvv, valid cards, track 2, free cvv, dump pin, dumps, cvv, cc, credit cards, real carding, legit vendor, carder forum, carding tutorial, russian hackers, online cvv shop, track 101, enroll, fullz