Борьба с вирусами
Различные антивирусы могут называть один и тот же вирус по-разному. Поэтому речь будет идти о некоем обобщенном вирусе, основными заметными действиями которого является (помимо распространения своиих копий через флэшку):
- создание в корневом разделе дисков ряда зараженных файлов, типовыми из которых являются файл с именем autorun.* и файлы с расширениями *.com и *.exe, определяющиеся антивирусным ПО как зараженные.
- блокировка для пользователя таких функций ОС как командная строка (cmd) и редактор реестра (regedit), а также некоторых других.
- невозможность включения в "проводнике" (explorer) отображения скрытых и системных файлов.
- непонятные "стракозяблы" вместо привычного "открыть" в меню, вызываемом по правому клику мыши на иконке логического диска, а также ошибка с сообщением о невозможности открыть файл при двойном клике на иконке логического диска.
- и т.д. и т.п.
Т.к. все вирусы "косячат" по-своему, то общего механизма лечения не существует и не надо острить про format C:. Задача этой темы - попытаться избавиться от "заразы" не прибегая к таким кардинальным решениям. Почитав форум, поотвечав на вопросы пользователей, я собрал и объединил советы из различных тредов. Получилось примерно следующее:
Во-первых ваша учетная запись должна обладать правами администратора. Что это такое здесь не рассматривается, подразумевается, что все это и так знают. Из программного обеспечения в обязательном порядке рекомендую Total Commander (с включенным режимом отображения скрытых и системных файлов и плагином просмотра автозапускающихся программ (например startup guard), а также плагином редактирования реестра (использовать по желанию)) и TuneUp Utilites 2007 (обладает альтернативным редактором реестра и возможностью просмотра программ, находящихся в автозапуске). Что это за ПО и где его брать здесь также не рассматривается, поиск вам в руки. Использование данного ПО определено исключительно моими предпочтениями, вы можете юзать и другое с аналогичным функционалом.
Итак на ПК отсутствует антивирус и проявились описанные выше симптомы заражения. Первое что делаем, идем в:
пуск - выполнить - gpedit.msc - "конфигурация пользователя" - "административные шаблоны" - "система" - параметр "отключить автозапуск" - выставить состояние "включен / на всех дисководах"
затем:
пуск - выполнить - gpedit.msc - "конфигурация компьютера" - "административные шаблоны" - "система" - параметр "отключить автозапуск" - выставить состояние "включен / на всех дисководах"
(примеч. на ОС Windows XP Home Edition не работает! но вы можете использовать утилитку tweakui в которой есть аналогичная функция)
Далее:
В ТС смотрим плагином startup guard что у нас вообще в автозагрузке находится, отключаем (удаляем) лишние/подозрительные вещи (рассчитано на средний уровень пользователей, если вы "ламер" - попросите помочь вашего более продвинутого друга), параллельно удаляем из корня всех локальных дисков скрытые файлы по критериям описанным выше. У неопытных пользователей есть шанс "убить" из корневого раздела системного диска нужный исполняемый файл, поэтому ограничтесь удалением autorun.* и папок runauto... если таковые там окажутся. Если что-то удаляться откажется, пропускаем, идем далее.
Далее перегружаем ПК, а затем с помощью редактора реестра TuneUp Utilites чистим реестр удаляя:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe - удалить параметр Debugger.
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe - удалить параметр Debugger
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe - удалить параметр Debugger
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe - удалить параметр Debugger
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe - удалить параметр Debugger
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List - удалить параметр C:\WINDOWS\lsass.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List - удалить параметр C:\WINDOWS\lsass.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List - удалить параметр C:\WINDOWS\lsass.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List - удалить параметр C:\WINDOWS\lsass.exe
В качестве дополнительных действий (или если раньше не удалилось) пробуем еще раз в ТС удалить лишние файлы из корня диска, а также пробуем сделать это в командной строке (которая к этому моменту после манипуляций с реестром должна заработать)
Запускаем cmd. Здесь набираем команду RD для каждого диска, т.е.:
rd C:\runauto...\ /s /q
rd D:\runauto...\ /s /q
rd E:\runauto...\ /s /q
и т.д.
Дополнительно можете добавить в реестр следующий код (включение отображения в "проводнике" скрытых файлов)
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
Перезагружаем машину. Ставим антивирус. Обновляем базы. Сканируем все локальные диски на предмет остатков от вируса.
--------------------------------------------------------------------------------
Всё вышесказанное по большей части относилось к вирусу runauto и подобным, вот еще добавлено для вируса ntde1ect.com
Это троянец, определяемый как Win32/Pacex или Win32/PSW.Agent.NDP trojan. Как от него избавиться:
1) Открыть диспечер задач (Ctrl-Alt-Del)
2) Если запущен процесс wscript.exe - завершить его
3) Завершить explorer.exe
4) В диспечере процессов "файл - новая задача (выполнить)"
5) cmd
6) выполнить следующую команду, заменив c:\ поочередно всеми буквами ваших локальных дисков
del c:\autorun.* /f /a /s /q
7) перейти в Windows\System32 командой cd c:\windows\system32
8) выполнить dir /a avp*.*
9) если вы увидите в списке имена типа avp0.dll или avpo.exe или avp0.exe, удалите их следующими командами:
attrib -r -s -h avpo.exe
del avpo.exe
и т.д.
10) В диспечере процессов "файл - новая задача (выполнить)" - regedit (это редактор реестра)
11) перейти в ветвь HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
12) если там есть записи типа avpo.exe, - удалить их
13) поискать в реестре записи типа ntde1ect.com и удалить всё что найдете
14) Перезагрузить ПК
Синий экран
Синий экран смерти
|
Главная 
