Информация по борьбе с вирусами "вручную"

[xterm]

В большинстве случаев нам всем вполне достаточно того, что у нас установлена и настроена антивирусная программа. Однако при встрече с новыми типами вирусов она иногда 'пасует', и не важно касперский это, доктор веб или авира. Обновления антивирусных баз не всегда оперативно выходят, поэтому просто необходимо знать как самостоятельно бороться со всякой нечистью на компьютере и без использования подобных программ. В этой теме постараюсь простым человеческим языком обьяснить как это делается

Просьба писать конкретные предложения по борьбе с вредоносными программами "вручную". Принимаются описания вспомогательных средств для этого, если без их описания не получится описать решение какого-то типа проблем. Автоматизированные средства проверки(антивирусные программы, файерволы, мониторы доступа и.т.п) здесь не обсуждаются.
Просьба обсуждение софта по большей части вести в соседней теме, спасибо

 

[xterm]

Re: Тема по борьбе с вирусами "вручную"

информация по точкам автозагрузки в WIndows.

В большинстве случаев вредоносные программы создают записи в таких точках для того, чтобы стартовать при каждой загрузке операционной системы. Если удалить все подобные ключи(пункты автозагрузки), теоретически, такие программы не смогут приносить вред. Естественно сами файлы вирусов необходимо ткже удалять.

Чтобы открывать ключи в реестре, Вам необходимо нажать ПУСК-ВЫПОЛНИТЬ. Набрать в окошке regedit и нажать кнопку OK.

Список ключей автозагрузки:
a) HKLM-Software-Microsoft-Windows-CurrentVersion-Run
b)HKCU-Software-Microsoft-Windows-CurrentVersion-Run
c) HKLM-Software-Microsoft-Windows-CurrentVersion-RunOnce
d) HKCU-Software-Microsoft-Windows-CurrentVersion-RunOnce
e) HKLM-Software-Microsoft-Windows-CurrentVersion-RunOnceEx

Почти всегда, вирусы и другие подобные программы следят именно в этих ветках реестра. Если при открытии одной из этих веток, Вы увидели в правом окне запись вроде "C:\Windows\System32\Trojan_XP.exe", значит Вам повезло. Осталось только найти по указанному адресу файлик и удалить его, причем желательно сразу поискать такие же на всех дисках! Ну и конечно, не забудьте удалить значение из реестра, т.е. в нашем случае запись с путем"C:\Windows\System32\Trojan_XP.exe"в правом окошке редактора.

Описаны только самые часто используемые вирусами ключи реестра, тема будет пополняться. Если кто допишет, против не буду

 

[MEG@VOLT]

Re: Тема по борьбе с вирусами "вручную"

Обновлю темку чтоли...
люблю ковыряться в реестре, да и часто с конями борюсь - так что еще один пример.
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключи
Shell Explorer.exe
Userinit C:\WINDOWS\system32\userinit.exe,

Не должны отличаться от тех что я привел - если отличается - вирус, смотрим что написал Хтрем

Осталось только найти по указанному адресу файлик и удалить его, причем желательно сразу поискать такие же на всех дисках! Ну и конечно, не забудьте удалить значение из реестра

Если выдается сообщение:

Редактирование реестром заблокированно администратором

Делаем следующее:

Пуск –>Выполнить… –>в поле Открыть: введите gpedit.msc –>OK –>Групповая политика –>Политика «Локальный компьютер» –>Конфигурация пользователя –>Административные шаблоны –>Система –>справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра вызови окно Свойства: Сделать недоступными средства редактирования реестра –>установи переключатель Отключен (или Не задан) –>Применить –>OK

и если вирус активен - то нужно практически одновременно нажать "ОК"и открыть реестр.
далее лезем в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
исчем ключ DisableTaskMgr и DisableRegistryTools и удаляем их.
Далее открываем диспетчер задач - ищем незнакомы нам процесс обычно выглядит так: ProCesS~SS.exe и т.п. запомниаем его название(полностью, диспетчер задач и редактор реестра НЕ закрывать). лезем в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options и создаем в этой ветке раздел с названием того странного процесса. далее в созданом только что разделе создаем строковый параметр называем его Debugger, а в его значение пишем ntsd -d.
Далее в диспетчере задачь завершаем нашь странный процесс, и снова удаляем ключи DisableTaskMgr и DisableRegistryTools в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System. Далее делаем то что я гвоорил в самом начале.

 

[xterm]

Re: Тема по борьбе с вирусами "вручную"

Shell Explorer.exe

Вот это точно...Может быть написано Explore.exe, можно и не заметить. Еще хуже если в названии используются русские буквы, ведь в таком случае название будет выглядеть также как и в оригинале.. стоит проверить если есть подозрения

 

[Звёздочка]

Re: Информация по борьбе с вирусами "вручную"

необходимо нажать ПУСК-ВЫПОЛНИТЬ. Набрать в окошке regedit и нажать кнопку OK.

Сделала так, но так и не увидела Список ключей автозагрузки :-\. В левой колонке очень большая колонка всяких названий, в левом окне только (По умолчанию) REG_SZ
это нормально?

 

[xterm]

Re: Информация по борьбе с вирусами "вручную"

Звезда, если ты открыла одну из перечисленных веток реестра и не нашла ничего в списке(всё-таки не слева, а справа), значит в автозагрузке по этим ключам ничего нет А REG_SZ - просто стандартный тип данных для ключа по умолчанию, так и должно быть.

Добавлю, что есть более простой способ всё это посмотреть:
ПУСК-ВЫПОЛНИТЬ-msconfig-Автозагрузка. Там всё выглядит более "по-человечески"..

 

[siryksv]

Re: Информация по борьбе с вирусами "вручную"

Звезда
Дополню немного к посту xterm.
В реестре лучше неопытным пользователям не лазить.... Туда следует ходить только если чувствуете в себе внутреннюю компьютерную силу и четко знаете цель, зачем туда идти. Лучше воспользуйтесь какой-либо специализированной программой для просмотра автозагрузок. Рекомендую Autoruns - я о ней писал в теме Программы\Системные утилиты и оптимизация. Можно и msconfig использовать, он прост и примитивен.

 

[MEG@VOLT]

Re: Информация по борьбе с вирусами "вручную"

Сталкнулся вчера с одним тунеядсем:
Думаю уже всем сисадминам или приближенным к этой тематике людям, известны такие экзешники как ntos.exe sdra64.exe
Многие знают что и как они делают, в частности прописывают себя вместе с юзеринит. Дык вот что я увидел вчера:
Включаю комп - загрузился - завожу имя юзера, пароль, нажимаю enter - выдается симптом как при СДРА64 - сразу происходит разлогирование.
Все ясно - вирус.
Загружаюсть с лайф сиди - смотрю ветку реестра.
действительно userinit прописан вместе с НТОС и СДРА64. Поковыряв в систем32 нашел их и убил - соотвественно и юзеринит поправил.
Запускаю комп в нормальном режиме - все путем, перезахожу под другим пользователем - опять выкидывает. Сново LifeCD, сново реестр - сново userinit вместе с ntos и sdra64. после поправки и пролечки(нашлось еще парочка) компа от вирья, ситуация повторилась. И опять LifeCD, гляжу на юзеринит - все впорятке, долго думая увидел интересную весчь - параметр userinit создан не как должно быть - строковым(REG_SZ), а бинарным параметром(REG_BINARY), поправил как должно быть. История повторилась - смотрю параметр снова бинарный. Не зная что делать - сделал следующим образом:
создал батник с названием need.bat и поместив его в c:\windows\system32 прописал у него в коде:

reg del "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v /f Userinit
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /d "C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\need.bat"

Пока все работает.
Незнаю в общем что за зверь мне попался - похоже антивири не знают еще про него. дня через 2-3 еще раз попробую его полечить.

 

[dimashe]

Re: Информация по борьбе с вирусами "вручную"

Добавлю, что есть более простой способ всё это посмотреть:
ПУСК-ВЫПОЛНИТЬ-msconfig-Автозагрузка. Там всё выглядит более "по-человечески"..

А в 7винде как посмотреть? Там Выполнить нет.

 

[xterm]

Re: Информация по борьбе с вирусами "вручную"

dimashe, Win+R. Но в семёрке если не ошибаюсь видел меню автозагрузки на панели управления, удобней

 

[soulless_665]

Re: Информация по борьбе с вирусами "вручную"

есть в вин7 "выполнить": пуск-все программы-стандартные

 

[MEG@VOLT]

Re: Информация по борьбе с вирусами "вручную"

И еще добавлю:
в семерке пуск - появляется сразу поле для ввода - вот это своего рода тоже "выполнить"