Добро пожаловать в тему про Вирусы.
Спасибо за прочтение и открытие шапки а также поддержание движения моей темы;)
Начнем по порядку!
Первый пост описывает самые распространенные вирусы и пути борьбы с ними. Убедительная просьба раз вы уже здесь, внимательно читаем первый пост дабы избежать затем вопросов про то как удалить вирус, например блокиратор Windows.
Перед самим описанием хотелось бы сказать что большинство вирусов, примерно так 99%, лечатся стандартным не сложным способом или точнее тремя: Первый Способ: 1. Скачиваем DrWeb LiveCD записываем диск(флешку), загружаемся и проверяем системы на вирусы. ИЛИ/И
2. Скачиваем Kaspersky Rescue Disk основанный на ядре Linux (вирусы под win не пройдут, а под *nix их нету по крайней мере живых).Обновление происходит раз в неделю. Записываем диск(флеху), загружаемся и проверяем системы на вирусы.
Второй Способ: 1. Скачиваем загрузочный диск на базе LiveCD(ниже в следующем посте любой на выбор)
2. Скачиваем Dr.Web CureIT! и AVPTool (ниже в шапке)
3. Прожигаем скачанный LiveCD на болванку(флеху), перезагружаемся, выставляем в биосе загрузку с CDDVD(HDD или USB в случае с флехой)(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CDDVD(HDD или USB в случае с флехой) не заходя в биос.
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.
Желательно отключить систему восстановления. Свойства системы-система восстановления.
3 Способ: 1. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим).
2. Закидываем Dr.Web CureIT! и AVPTool к себе на комп и желательно переименовываем их.
3. Проверяемся)
Вот такие стандартные способы. Если не помогли читаем дальше как конкретно боротся с распространнеными вирусами!
***ОБНОВЛЕНИЕ!!! Добавляю страницу с сайта Касперского об вариантах удаления вирусов:
ПОМОЩЬ. За помощь в нахождении ссылки Aleksandr-tymen.
Первое место!
Trojan.Winlock - блокируют работу компьютера и требуют за разблокировку отправить платное SMS-сообщение.
Ни в коем случае не отправляем СМС!.
С данным трояном знакомы все, если не лично то по крайней мере на картинке у друга) Существует очень большое множество способов удаления.
Изучив все способы привожу для вас самые действенные но в тоже время и простые!
СПОСОБЫ УДАЛЕНИЯ1. Используем генераторы(анлокеры) кода который мы должны ввести после получения смс:
DR.WEB анлокер ESET NOD32 анлокер Kaspersky анлокер VIRUSINFO анлокер для пользоватлей с трубок;)
DR.WEB MOBILE! анлокер2. Кому сложно понять все премудрости или он просто хочет разобраться, я писал несколько кратких статей в журнал ХАКЕР может кто его и читает тот и там видел статью. Соотвествующий мануал вскоре после коррекции и добавления материала появился у них на странице:
ПОЛНЫЙ МАНУАЛ ПО ЛЕЧЕНИЮ3. Следующий вариант это LiveCD которые вы можете найти ниже в постах;)
Используя например Dr.Web® LiveCD или kaspersky Rescue Disk записанные на загрузочную флешку или диск разберутся сами)
ДЕЛАЕМ ЗАГРУЗОЧНУЮ ФЛЕШКУ. Сразу скажу что пока сам статью не писал так что пользуемся тем что есть в инете за более сложным но гибким способом в личку;)
4. Если мы используем Windows XP/2000, можно попробовать нажать на клавиатуре комбинацию – должно появиться окно с активацией специальных возможностей, у которого очень большой приоритет и далеко не все трояны умеют эту ситуацию обрабатывать. Далее запускаем экранную лупу и в появившемся окне с предупреждением кликаем на ссылку "Веб-узел Майрософт", после чего запускается браузер, через который можно достучаться до любого исполняемого файла.
5. Ручное удаление:
-ищем ключ в реестре: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonuserinit или рядом с ним shell
-Userinit = %systemfolder%userinit.exe, [путь до исполняемого файла блокера]
-удаляем все что записано после userinit
6. Довольно интересный способ найденный на просторах форума DR.WEB:
Если по каким-либо причинам у вас нет возможности выполнить представленные на форуме рекомендации, то вы можете обратиться в службу поддержки агрегатора, обслуживающего указанный на баннере вредоносного ПО короткий номер, с требованием выдать вам код разблокировки.
Описываем ситуацию, называем текст смс и номер... говорим, что хотели засудить своего сотового оператора, но он направил Вас к ним...
3381, 3649, 4460, 5121, 7373, 8353 принадлежат А1: Первый альтернативный контент-провайдер + все их SMS-номера
Бесплатные телефоны службы поддержки: 8-800-100-73-37 или 8-800-555-01-02
8(495)363-14-27, добавочный 555 - платно, на всякий случай; 38-044-581-57-14 - бесплатно для Украины)
Анонимная жалоба на действия партнеров компании "А1 Агрегатор" - в сообщении описываем ситуацию... ждем ответ.
техническая поддержка указанного поставщика достаточно оперативно отвечает на запросы пользователей и выдает им соответствующие коды для разблокировки.
Форум A1 - смотрим, оставляем "добрые" пожелания
Для номера 3381 и текста 18*********** пробуем 66788855 или 667877755 или 75633922 или нажать одновременно Ctrl+7
Для номера 5121 и текста 35****** пробуем нажать одновременно Ctrl+Alt+Shift+J или +I или +F или +G или +D
Для номера 5581 и текста 35****** пробуем нажать одновременно Ctrl+Alt+Shift+Y или +U или +W или другие буквы...
язык ввода должен быть EN и должно быть активно (курсор) поле ввода кода баннера!
1350, 2474, 3354, 7132, 8385, 9800 - ИнкорМедиа 8(495)789-85-38, 8 800 5555 638 (звонок бесплатный) + все их SMS-номера
написать жалобу в службу поддержки ИнкорМедиа
Для всех локеров на номер 9800 код ответа: 54891
К сожалению данный способ не так практичен так как номеров регистрировать можно очень много(
7. Самый простой способ)) Это попробовать перевод времени в BIOS на 4-6 месяцев вперед или назад.
8. Также еще один из несложных методов это воспользоваться программой Ransomhide которая есть ниже в шапке;)
Как итог могу сказать, что мы только что проделали самые простые способы избавления от данного типа вируса на начальной стадии. Чтобы избавиться от всех его последствий следуем инструкциям внизу поста.
Если не один из способов не помог НЕ РАССТРАИВАЙТЕСЬ, пишем на форуме в теме или в личку. Способы еще есть просто они сложнее в реализации;)
Второе место!
Локер сайтов, а также баннеры в браузерах- как понятно из названия блокируют доступ к сайтам, перенаправляют или просто открывают баннер. Названий много не стал перечислять)
Ни в коем случае не отправляем СМС!.
С данным троем знакомы тоже многие. Скажу сразу что удаляется он попроще да и безвредней он)
Итак проверенные способы удаления:
СПОСОБЫ УДАЛЕНИЯ
1. Используем программу StaticDelete
2. Если не помогло то пробуем вручную.Проверяем файл hosts на наличие "лишних" записей.
- заходим по пути С:windowssystem32driversetchosts (если по данному пути не нашли тогда лезем в реестр пуск->выполнить->regedit и смотрим ключ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParametersDataBasePath чтобы его значение было С:windowssystem32driversetc )
- открываем файл hosts через блокнот
- сравниваем его:
Для ХР:
# © Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
Для 7:
# Copyright © 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
-если все точно также то все в поряде) если есть лишние записи то чистим их. Кстати для справки там часто прописываются на localhost кейгенами регистрации пиратстких программ так что осторожнее)
3. Если по второму пункту все нормально то переходим дальше. Проверяем статистические маршруты:
- вызываем как и раньше консоль пуск->выполнить и набираем route print
- этот файл показываем экспертам с этой темы
- если сами разобрались да и в принципе в любом случае почти чистим их командой из консоли route -f
4. Не помогло еще?) Тогда переходим дальше. Чистим странные задания:
- заходим Панель управления Все элементы панели управления Администрирование и смотрим. чистим
5. В свойствах своего браузера проверяем левые плагины и надстройки а также наличие левых прокси-серверов
Третье место!
Не намного оторвавшийся по распространеннию руткит Rootkit.Win32.Stuxnet.*
Руткит, который запускает вредоносный код в системе пользователя. Выполнен в виде драйвера режима ядра NT (kernel mode driver). Имеет размер 26616 байт.
Краткая информация
Распространение:
Руткит распространяется через сменные USB носители используя уязвимость нулевого дня CVE-2010-2568 в LNK-файлах (подробнее здесь).
Для этого вредоносный код, работающий в процессе services.exe мониторит подключение новых USB накопителей в системе и в случае обнаружения подключения создает в корневой папке накопителя следующие файлы:
~wtr4132.tmp – 513536 байт, определяется как Trojan-Dropper.Win32.Stuxnet.a
~wtr4141.tmp – 25720 байт, определяется как Trojan-Dropper.Win32.Stuxnet.b
Эти файлы являются динамическими библиотеками, которые загружаются в результате срабатывания уязвимости и инсталлируют руткита в систему. Вместе с этими файлами в корень заражаемого диска помещаются файлы ярлыков с уязвимостью:
"Copy of Shortcut to.lnk"
"Copy of Copy of Shortcut to.lnk"
"Copy of Copy of Copy of Shortcut to.lnk"
"Copy of Copy of Copy of Copy of Shortcut to.lnk"
Файлы имеют размер 4171 байт и определяются как Trojan.WinLnk.Agent.i. Уязвимость срабатывает, когда пользователь делает попытку просмотреть содержимое корня сменного носителя файловым менеджером, с включенным отображением значков файлов. После срабатывания уязвимости активируется руткит, который мгновенно скрывает вредоносные файлы.
Разрущения:
Руткит предназначен для внедрения вредоносного кода(inject) в процессы пользовательского режима. Руткит загружает динамическую библиотеку DLL в следующие системные процессы:
svchost.exe
services.exe
lsass.exe
после чего в их списке модулей появляются библиотеки с именами вида:
kernel32.dll.aslr.
shell32.dll.aslr.
где rnd – случайное шестнадцатеричное число.
Внедряемый код находится в файле:
%WinDir%infoem7A.PNF
в зашифрованном виде.
Внедряемый код содержит основной функционал данной вредоносной программы. Который включает:
* Распространение на сменных носителях.
* Мониторинг за работой системы Siemens Step7. Для этого драйвер руткита внедряет в процесс s7tgtopx.exe свою библиотеку-посредник, вместо оригинальной s7otbxsx.dll, которая эмулирует работу следующих API-функций:
s7_event
s7ag_bub_cycl_read_create
s7ag_bub_read_var
s7ag_bub_write_var
s7ag_link_in
s7ag_read_szl
s7ag_test
s7blk_delete
s7blk_findfirst
s7blk_findnext
s7blk_read
s7blk_write
s7db_close
s7db_open
s7ag_bub_read_var_seg
s7ag_bub_write_var_seg
собирая различные данные о работе системы.
* Выполнение SQL запросов. Руткит получает список компьютеров в локальной сети и проверяет запущен ли на каком-либо из них Microsoft SQL сервер, который обслуживает систему визуализации производственных процессов Siemens WinCC. Если сервер обнаружен, вредонос пытается подключиться к базе данных используя имя пользователя и пароль WinCCConnect/2WSXcder после чего пытается получить данные таблиц, таких как:
MCPTPROJECT
MCPTVARIABLEDESC
MCPVREADVARPERCON
* Собирает информацию из файлов со следующими расширениями:
*.S7P
*.MCP
*.LDF
создаваемых при помощи системы Siemens Step7. Поиск файлов ведется на всем жестком диске компьютера.
* Отправляет собранные данные в интернет на сервера злоумышленников в зашифрованном виде.
Файл руткита подписан цифровой подписью Realtek Semiconductor Corp.
Как удалять:(делаем все попрядку) СПОСОБЫ УДАЛЕНИЯ
1. Удалить ключи системного реестра:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNet]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls]
2. Удалить следующие файлы:
%System%driversmrxnet.sys
%System%driversmrxcls.sys
%windir%infmdmcpq3.pnf
%windir%infmdmeric3.pnf
%windir%infoem6c.pnf
%windir%infoem7a.pnf
3. Провериться утилитой StuxnetRemover
Четвертое место:
Virus.Win32.Sality.*-Компьютерный вирус. Является приложением Windows (PE EXE-файл). Инфицирует файлы с расширением EXE и SCR. Упакован UPX.
Краткая информацияПроявление в системе: * Появление сообщений с текстом «>»
* Если тип операционной системы — Windows 2000/XP , то частые появления сообщений системы защиты файлов Windows о нераспознанных версиях системных файлов Windows.
* Увеличение размеров EXE и SCR файлов.
* Возможно пропадание закладки «Версия» в окне со свойством файла (появляется при выборе соответствующего пункта в контекстном меню), в случае, если до этого эта закладка существовала.
* Изменение расширений у файлов с расширениями EXE и SCR на случайное расширение.
* Появление скрытых файлов с расширениями вида ~01 (если они не созданы пользователем) в каталоге, в котором присутствует файл с тем же именем и расширением EXE.
* При запуске файла, поражённого вирусом, при отсутствии выполняющейся другой копии вируса, в списке процессов появляется два процесса: имя_файла.EXE и имя_файла.~01.
После запуска, для контроля уникальности своего процесса в системе вредонос создает уникальные идентификаторы с именами "Op1mutx9", "Ap1mutx7". Затем вредонос в отдельном потоке создает копию своего оригинального процесса. Запрещает отображение скрытых файлов, добавив в ключ системного реестра следующий параметр:
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden"=dword:00000002
Также устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line", при этом добавляя в системный реестр следующую информацию:
[HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings]
"GlobalUserOffline"=dword:00000000
Отключает UAC (User Account Control), установив в "0" значение параметра "EnableLUA" ключа реестра:
[HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciessystem]
Добавляет себя в список разрешенных для доступа в сеть приложений в файервол Windows, сохраняя следующий параметр в ключе реестра:
[HKLMSystemCurrentControlSetServicesSharedAccessParameters
FirewallPolicyStandardProfile
AuthorizedApplicationsList] ""=
":
*:Enabled:ipsec"
Далее создает ключи реестра, в которых сохраняет свою служебную информацию:
[HKCUSoftware914903692176]
"1953719636"=dword:00000001
"-387528024"=dword:00000000
"1566191612"=dword:00000000
"-775056048"=dword:0000001e
"1178663588"=dword:0000008f
"1162584072"="0400687474703A2F2F38392E3131392E36372E3135342F7465 73746F352F00687474703A2F2F6B756B7574727573746E65743737372E696E6 66F2F686F6D652E67696600687474703A2F2F6B756B7574727573746E657438 38382E696E666F2F686F6D652E67696600687474703A2F2F6B756B757472757 3746E65743938372E696E666F2F686F6D652E67696600"
"791135564"="7439D18CF99ADB97C70A1EA4EA1DDEB3A46AF9AF9995ACD22 104A39789171EB3633818AD029260106FF7F47FE0DE6244028206B85FFFAD2 26E9742031F5914A424C8AAD11CCC09A683D5C288F7B6E1F47648BB650989 5D8CEFEAA4FC96A6440B61FA7545CEB6A4B60F5D6273763CD021B75224603
D4E837AD74FFC1C93A050D600"
[HKCUSoftware914]
"T_"="rnd"
где rnd – случайные числа.
Затем находит файл с именем:
%WinDir%system.ini
и добавляет в него следующую запись:
[MCIDRV_VER]
DEVICEMB=1812931242030
После этого вредонос извлекает из своего тела файл, который сохраняет под случайным именем в системном каталоге Windows:
%System%drivers.sys
где rnd – случайные латинские прописные буквы, например, "mgpgjg". Данный файл имеет размер 5509 байта и детектируется Антивирусом Касперского как Virus.Win32.Sality.aa. Извлеченный драйвер запускается под видом службы с именем "asc3360pr".
Затем, в отдельных потоках вредонос циклически выполняет следующие действия:
* Отключает запуск ОС в безопасном режиме, удаляя параметр "AlternateShell", в ключе реестра:
[HKLMSystemCurrentControlSetControlSafeBoot]
а также удаляет ключи со всеми подключами и параметрами:
[HKLMSystemCurrentControlSetControlSafeBootMinimal]
[HKLMSystemCurrentControlSetControlSafeBootNetwork]
* Удаляет файлы с расширением "exe" и "rar" из каталога хранения временных файлов текущего пользователя:
%Temp%
* Пытается выполнить загрузку файлов, расположенных по ссылкам:
https://89.***.***.154/testo5/?= https://*****trustnet777.info/home.gif?= https://*****trustnet888.info/home.gif?= https://*****trustnet987.info/home.gif?= https://www.*****e9fqwieluoi.info/?= где rnd - случайная цифробуквенная последовательность;
rnd1 – случайная цифровая последовательность.
В случае успешной загрузки – файлы сохраняются с именами:
%Temp%win.exe
где rnd – случайные 4 латинские буквы. Затем каждый файл запускается на выполнение.
На момент создания описания указанные ссылки не работали.
* Останавливает и удаляет огромное количество служб
* Ищет окна с текстом "dr.web", "cureit" и завершает процессы, которые создают данные окна.
* Выполняет поиск и удаление файлов с расширением "VDB", "KEY", "AVC", "drw".
Заражение файлов Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями:
EXE
SCR
Вирус не заражает файлы размером больше 20971520 байт и меньше 512 байт.
При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредонос копирует оригинальное не зараженное тело файла в созданный временный каталог с именем:
%Temp%__Rar.exe
Автозагрузка
Для автозапуска своего оригинального файла, вредонос создает в корневом каталоге всех логических дисков скрытый файл:
:autorun.inf
в котором сохраняет команды запуска файла вредоноса. При открытии логического диска в "Проводнике" происходит автозагрузка вредоноса.
Первое что хочется сказать это то что опять же сначала пробуем лечится livecd dr.web и если оно не помогло тогда крепитесь так как данный вирус один из самых пакостных и ручное удаление сами посмотрите дальше
в продолжении тех строк: удаление его это просто танцы с бубном так что запасаемся нервами и вперед):
СПОСОБЫ УДАЛЕНИЯ 1.Скачиваем файл Sality_off.rar распаковываем и записываем его на CD-R(RW) или DVD-R(RW) или на флеш носитель
2.Тогда прописываем эту утилиту в автозапуск: Пуск ->Программы ->Автозагрузка:
* щелкните правой кнопкой мыши в любом месте папки Автозагрузка
* выберите пункт меню Создать в контекстном меню
* выберите подпункт Ярлык
* нажмите кнопку Обзор
* выберите папку на компакт-диске где Вы записали файл Sality_off.exe
* выделите файл Sality_off.exe
* нажмите кнопку ОК
* в поле Укажите размещение объекта допишите символы -m. Таким образом строка должна быть вида F:Sality_off.exe -m
* нажмите кнопку Далее
* нажмите кнопку ОК
3. Перегружаем комп - и у нас должен запустится монитор Sality_off.exe .(Я так понимаю что с ключом -м эта утилита работает как резидентный монитор который не дает заражать новые exe-файлы)
4. Теперь запускаем с диска еще одну копию Sality_off.exe - эта будет уже лечить... Теперь ждем, пока не полечится...
Иногда НАДО два раза перегрузить комп, тоесть повторить вышеописанное дважды (бывало, что за первым разом некоторые системные файлы не лечились).
5. Тогда включаем возможность запуска редактора реестра(2 варианта):
1 вариант: утилитой Razblocker из шапки
2 вариант:
– нажмите Пуск –> Выполнить… –> Запуск программы –> cmd –> OK;
– переключите (при необходимости) раскладку клавиатуры на EN;
– после приглашения системы C:Documents and SettingsАдминистратор>
введите REG DELETE HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools
– нажмите ;
– на появившийся запрос системы Delete the registry value DisableRegistryTools (Y/N)? введите y (что означает yes), нажмите ;
– появится сообщение Операция успешно завершена;
6. После этого включаем возможность запуска Диспетчера задач(так же два варианта, первый тот же второй ниже):
– нажмите Пуск –> Выполнить… –> Запуск программы –> cmd –> OK;
– переключите (при необходимости) раскладку клавиатуры на EN;
– после приглашения системы C:Documents and SettingsАдминистратор>
введите REG DELETE HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableTaskMgr
– нажмите ;
– на появившийся запрос системы Delete the registry value DisableTaskMgr (Y/N)? введите y (что означает yes), нажмите ;
– появится сообщение Операция успешно завершена;
Теперь включаем безопасный режим и оключаем автозапуск дисков и флешек (надо, надо в теперешние тяжелые времена
)) Для этого скачиваем Sality_RegKeys.zip
распаковываем, запускаем файл Disable_autorun.reg, после вопроса - жмем ДА или ОК...
и запускаем файл ключа реестра из этого же архива:
* для ОС Windows 2000 файл реестра SafeBootWin200.reg
* для ОС Windows XP файл реестра SafeBootWinXP.reg
* для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg
* для ОС Windows Vista/7 файл реестра SafebootVista.reg
После этого должно заработать использование безопасного режима...
Во время всех этих танцев с бубном должен быть запущен Sality_off.exe -m чтобы эта зараза не вернулась
Теперь можна ставить Каспера или Куреит, НО Sality_off.exe -m из автозагрузки пока что не выключать
После полной проверки каспером включаем сеть и уже тогда удаляем из автозагрузки Sality_off.exe -m
Второй способ лечения описан в нашей любимой лаборатории касперского!
Второй способ лчения
