Так как по роду деятельности (системный администратор), очень часто приходится сталкиваться с вирусами на компьютерах пользователей. Выработал для себя, алгоритм действий направленный на уничтожение этих самих вирусов, чем и хочу поделиться с хабрасообществом.
Пропустим момент самого заражения, так как если Вы читаете этот пост, то либо уже заражены, либо просто добавьте его в закладки.
Итак, если заражены то будете иметь такие признаки:
Перед тем как бороться с этими вирусами, нужно запастись инструментом и это будет:
А теперь пройдемся по списку и приведем алгоритм действий направленных на удаление вирусов.
Признаки WinLock вы увидите сразу, это будет баннер (с закосом под: системное приложение, порнобаннер, программу) с просьбой или требованием послать СМС на номер XXXX и текстом XXXXXXXXX.
Причем попытки запустить диспетчера задач или любой другое приложение окажутся тщетными. И уж если Вам повезло и Вы смогли запустить, какую нибудь программу, то значит Вам просто попалась старая версия вируса.
Сначала, если есть возможность то ищем ответные коды здесь:
Kaspersky DeBlocker
EsetNod32 UnLocker
Dr.Web UnLocker
VirusInfo
Если не получилось, запускаем реаниматор.
После запуска реаниматора первым делом открываем ERD Commander, возможно в поставке реаниматора будет другой вариант может называться Remote Regedit, главное подключиться к реестру нашей системы.
В ERD Commander перед тем как подключится к реестру, сначала надо подключиться к системе.
Выглядит это так:
После подключения к системе, подключаемся к реестру.
Теперь мы можем работать с реестром нашей системы, а именно увидеть что же включается при загрузке системы, а увидеть мы это можем этому пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в этой ветке находим пункт
«Userinit»=«C:\\Windows\\system32\\userinit.exe,»
и если Вы видите только это строку значит вирус запускается каким то другим способом, но как правило именно этим.
Если же вы увидите там еще, что-то то оно как правило имеет путь
C:\\Documents and Settings\\UserName\\Application Data\\VIRUSNAME.exe
C:\\Documents and Settings\\UserName\\Главное меню\\VIRUSNAME.exe
C:\\Documents and Settings\\UserName\\Главное меню\\Автозагрузка\\VIRUSNAME.exe
C:\\Documents and Settings\\All Users\\Application Data\\VIRUSNAME.exe
бывают также вирусы которые именуются подобно системным файлам например
C:\\Windows\\System32\\userinitI.exe
Не редко вирус прописывает себя в пункт
«Shell»=«explorer.exe»
и получаем например вот это
«Shell»=«explorer.exe, C:\Windows\VIRSNAME.exe»
Теперь приводим эти записи в оригинальное состояние и не забываем найти по этим путям сами вирусы и удалить их.
После перезагрузки никакого баннера быть не должно, а если есть ищем заново.
Бывают и совсем простые случаи когда вирус сидит просто в автозагрузке.
Ищем по этим путям:
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Если не знаете что удалить в этих ветках, то удаляйте все что считаете подозрительным или то чего не знаете, предварительно экспортируйте ветку реестра.
Но это еще не все, редко бывает когда вирус вымогатель бывает один. Поэтому после того как мы удалили сам вымогатель, нужно проверить систему например Dr.Web CureIT.
Как правило блокиратор браузера много вреда системе не наносит, если только в монитор не смотрит малолетний ребенок.
Тут все зависит от вируса, есть разные вариации, от внедренного в систему (реестр) вируса, до простой надстройки или плагина для браузера.
Поэтому пристально изучаем конфиги браузера-(ов), если там все пусто, значит имеем дело с отдельным файлом внедренным в систему, как тихо себе сидит в автозагрузке.
Ищем подозрительные процессы в Диспетчере задач, и чистим автозагрузку. Как правило эти манипуляции приводят к успеху, если же нет, то пускаем в ход артиллерию сторонних производителей Dr.Web CureIT и ежи с ними.
По крайней мере прочитать форумы и найти решение уже проще.
Аудитория сайтов Одноклассники и Вконтакте очень большая, прямо таки скопление людей, следовательно представляет интерес для вымогателей.
Наверняка Вам звонила мама и говорила что не может выйти в Одноклассники.
Как бы ни было, блокираторы сайтов не менее противны в искоренении чем блокираторы Windows.
И тут я хочу их разделить на 3 группы по степени воздействия.
Эти группы объединяет одно, они вымогают СМС.
Группа №1:
Самая простая группа вирусов, некий файл делает запись в файл
C:\windows\system32\drivers\etc\hosts
решается приведением к оригинальному виду то есть из адресов должен остаться только
# 127.0.0.1 localhost
Можно также вообще удалить этот файл.
Следующим шагом будет поиск «некоего файла», как правило Cure IT поможет.
Группа №2:
Совсем недавно столкнулся с интересным вирусом, и даже это не вирус, а пакетный CMD файл.
После того как узрел, что файл hosts пуст, я оторопел, быть такого не может.
Сайты просто не открывались, а открывалась страница ведущая на сайт который ненавязчиво предлагал купить скрипт очистки от вируса, опять же за СМС.
Решение было простое, пакетничег тупо изменил записи DNS серверов.
Таким образом проверяем настройки соединения с интернет, и приводим их к оригинальному виду, рекомендуемому вашим провайдером.
Группа №3:
Самая паршивая группа вирусов, они не делают записей в файл hosts.
В систему внедряется вирус на подобие блокиратора Windows. Вирус точно также пишет себя в автозагрузку, сидит как правило в
c:\Documents and Settings\All Users\Application Data\VIRUSNAME.exe
c:\Documents and Settings\UserName\Application Data\VIRUSNAME.exe
вирус внедряется в системные файлы Windows.
Решение состоит в попытке удалить сам вирус с помощью консольной программы DelayDel, копируем delaydel.exe в папку с вирусом, из CMD вводим команду delaydel.exe virusname.exe
Появится сообщение о том что файл virusname.exe Marked, перезагружаемся, и проверяем доступность сайтов.
Такое решение может и не помочь, тогда поможет AVZ с готовым скриптом для этого вируса. Как правило готовые скрипты есть на http://virusinfo.info/.
Как правило у этих признаков есть один источник, вирус примерно похож на вирусы Группы №3.
Признаки, левые процессы в Диспетчере задач, не открывание флэшек, и даже если вы открыли ее и удалили левые файлы, при следующей вставке, они появятся снова.
Действуем как описано для вирусов группы №3.
Примечание:
VIRUSNAME.exe — как правило имеет примерно такой вид qwdut.exe, bsdid.exe и т.п.
И еще так как, для домашних юзеров приходиться ставить бесплатный антивирус, пришлось сделать свой рейтинг качества антивирусов, без холивара.
Место №1 — Avira Antivir Free — использую именно его.
Место №2 — AVG — хороший антивирус, но очень ограничивает опытного пользователя, тем что не дает себя отключить.
Место №3 — Avast — Очень не надежный антивирус, не использую его, но если ничего нет, то уж лучше он.
Windows сошла с ума
Пропустим момент самого заражения, так как если Вы читаете этот пост, то либо уже заражены, либо просто добавьте его в закладки.
Итак, если заражены то будете иметь такие признаки:
- Блокиратор Windows (баннер на рабочем столе), запрет на запуск программ
- Баннер в окне браузера
- Блокиратор сайтов
- Не открывание флэшек, долгий запуск Windows
Перед тем как бороться с этими вирусами, нужно запастись инструментом и это будет:
- Реаниматор (Alkid Live, RusLive) — обязательно наличие ERD Commander 2005 (Registry Editor)
- AVZ
- Dr.Web CureIT
А теперь пройдемся по списку и приведем алгоритм действий направленных на удаление вирусов.
Блокиратор Windows (баннер на рабочем столе), запрет на запуск программ
Признаки WinLock вы увидите сразу, это будет баннер (с закосом под: системное приложение, порнобаннер, программу) с просьбой или требованием послать СМС на номер XXXX и текстом XXXXXXXXX.
Причем попытки запустить диспетчера задач или любой другое приложение окажутся тщетными. И уж если Вам повезло и Вы смогли запустить, какую нибудь программу, то значит Вам просто попалась старая версия вируса.
Сначала, если есть возможность то ищем ответные коды здесь:
Kaspersky DeBlocker
EsetNod32 UnLocker
Dr.Web UnLocker
VirusInfo
Если не получилось, запускаем реаниматор.
После запуска реаниматора первым делом открываем ERD Commander, возможно в поставке реаниматора будет другой вариант может называться Remote Regedit, главное подключиться к реестру нашей системы.
В ERD Commander перед тем как подключится к реестру, сначала надо подключиться к системе.
Выглядит это так:
После подключения к системе, подключаемся к реестру.
Теперь мы можем работать с реестром нашей системы, а именно увидеть что же включается при загрузке системы, а увидеть мы это можем этому пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
в этой ветке находим пункт
«Userinit»=«C:\\Windows\\system32\\userinit.exe,»
и если Вы видите только это строку значит вирус запускается каким то другим способом, но как правило именно этим.
Если же вы увидите там еще, что-то то оно как правило имеет путь
C:\\Documents and Settings\\UserName\\Application Data\\VIRUSNAME.exe
C:\\Documents and Settings\\UserName\\Главное меню\\VIRUSNAME.exe
C:\\Documents and Settings\\UserName\\Главное меню\\Автозагрузка\\VIRUSNAME.exe
C:\\Documents and Settings\\All Users\\Application Data\\VIRUSNAME.exe
бывают также вирусы которые именуются подобно системным файлам например
C:\\Windows\\System32\\userinitI.exe
Не редко вирус прописывает себя в пункт
«Shell»=«explorer.exe»
и получаем например вот это
«Shell»=«explorer.exe, C:\Windows\VIRSNAME.exe»
Теперь приводим эти записи в оригинальное состояние и не забываем найти по этим путям сами вирусы и удалить их.
После перезагрузки никакого баннера быть не должно, а если есть ищем заново.
Бывают и совсем простые случаи когда вирус сидит просто в автозагрузке.
Ищем по этим путям:
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Если не знаете что удалить в этих ветках, то удаляйте все что считаете подозрительным или то чего не знаете, предварительно экспортируйте ветку реестра.
Но это еще не все, редко бывает когда вирус вымогатель бывает один. Поэтому после того как мы удалили сам вымогатель, нужно проверить систему например Dr.Web CureIT.
Баннер в окне браузера
Как правило блокиратор браузера много вреда системе не наносит, если только в монитор не смотрит малолетний ребенок.
Тут все зависит от вируса, есть разные вариации, от внедренного в систему (реестр) вируса, до простой надстройки или плагина для браузера.
Поэтому пристально изучаем конфиги браузера-(ов), если там все пусто, значит имеем дело с отдельным файлом внедренным в систему, как тихо себе сидит в автозагрузке.
Ищем подозрительные процессы в Диспетчере задач, и чистим автозагрузку. Как правило эти манипуляции приводят к успеху, если же нет, то пускаем в ход артиллерию сторонних производителей Dr.Web CureIT и ежи с ними.
По крайней мере прочитать форумы и найти решение уже проще.
Блокиратор сайтов
Аудитория сайтов Одноклассники и Вконтакте очень большая, прямо таки скопление людей, следовательно представляет интерес для вымогателей.
Наверняка Вам звонила мама и говорила что не может выйти в Одноклассники.
Как бы ни было, блокираторы сайтов не менее противны в искоренении чем блокираторы Windows.
И тут я хочу их разделить на 3 группы по степени воздействия.
Эти группы объединяет одно, они вымогают СМС.
Группа №1:
Самая простая группа вирусов, некий файл делает запись в файл
C:\windows\system32\drivers\etc\hosts
решается приведением к оригинальному виду то есть из адресов должен остаться только
# 127.0.0.1 localhost
Можно также вообще удалить этот файл.
Следующим шагом будет поиск «некоего файла», как правило Cure IT поможет.
Группа №2:
Совсем недавно столкнулся с интересным вирусом, и даже это не вирус, а пакетный CMD файл.
После того как узрел, что файл hosts пуст, я оторопел, быть такого не может.
Сайты просто не открывались, а открывалась страница ведущая на сайт который ненавязчиво предлагал купить скрипт очистки от вируса, опять же за СМС.
Решение было простое, пакетничег тупо изменил записи DNS серверов.
Таким образом проверяем настройки соединения с интернет, и приводим их к оригинальному виду, рекомендуемому вашим провайдером.
Группа №3:
Самая паршивая группа вирусов, они не делают записей в файл hosts.
В систему внедряется вирус на подобие блокиратора Windows. Вирус точно также пишет себя в автозагрузку, сидит как правило в
c:\Documents and Settings\All Users\Application Data\VIRUSNAME.exe
c:\Documents and Settings\UserName\Application Data\VIRUSNAME.exe
вирус внедряется в системные файлы Windows.
Решение состоит в попытке удалить сам вирус с помощью консольной программы DelayDel, копируем delaydel.exe в папку с вирусом, из CMD вводим команду delaydel.exe virusname.exe
Появится сообщение о том что файл virusname.exe Marked, перезагружаемся, и проверяем доступность сайтов.
Такое решение может и не помочь, тогда поможет AVZ с готовым скриптом для этого вируса. Как правило готовые скрипты есть на http://virusinfo.info/.
Не открывание флэшек, долгий запуск Windows
Как правило у этих признаков есть один источник, вирус примерно похож на вирусы Группы №3.
Признаки, левые процессы в Диспетчере задач, не открывание флэшек, и даже если вы открыли ее и удалили левые файлы, при следующей вставке, они появятся снова.
Действуем как описано для вирусов группы №3.
Примечание:
VIRUSNAME.exe — как правило имеет примерно такой вид qwdut.exe, bsdid.exe и т.п.
Выводы:
- Эра вирусов которые тупо портили файлы прошла, сейчас эра вирусов которые вымогают деньги.
- Ни один антивирус (хоть платный, хоть бесплатный) вам не поможет, пока у Вас административные привилегии, а так как большинство из простых юзеров, не ограничивают свои права, и свято верят в силу антивируса — производители антивирусов буду обогащаться.
- Я не против коммерческих продуктов, я против того что производители не приучают пользователей к ограниченным правам, и даже если и делают это, то очень ненавязчиво.
- Если же Вы все таки хотите работать под админом, то считаю выбрасыванием денег на ветер, покупая антивирус.
- Исходя из 2 пункта, не вижу смысла юзать платный ломаный антивирус.
- Считаю, что производители антивирусов, все таки могут влиять на проблему административных прав, например можно было бы внедрить антивирусный комплекс, параллельно с системой, то есть Антивирусный Live CD на диске C:\ с возможностью запуска, наподобие безопасного режима.
- Режим UAC в Windows 7, полная чушь проверял, свеженьким WinLock'ом, UAC даже не пикнул что производятся нехорошие операции.
И еще так как, для домашних юзеров приходиться ставить бесплатный антивирус, пришлось сделать свой рейтинг качества антивирусов, без холивара.
Место №1 — Avira Antivir Free — использую именно его.
Место №2 — AVG — хороший антивирус, но очень ограничивает опытного пользователя, тем что не дает себя отключить.
Место №3 — Avast — Очень не надежный антивирус, не использую его, но если ничего нет, то уж лучше он.