Зверинец в вашем компьютере (поиск и удаление вирусов).

Проблемы и настройка компьютера c сетевым оборудованием, вопросы, ответы, советы, рекомендации о том, как сделать софт помягче, хард пожестче, а сеть поячеестее

Зверинец в вашем компьютере (поиск и удаление вирусов).

Postby Тупак on Sat Dec 15, 2007 6:05 pm

Данную тему хочу посвятить поиску всякой нечисти, пребываемой из Интернета для дальнейшего избавления от нее или для ее коллекционирования (как в случае с вашим покорным слугой =). Итак, начнем ...



Джентельменский набор (что понадобится):

* Volcov commander (или другой DOS-менеджер);

* антивирус (Kaspersky или другой);

* рабочий Safe Boot;

* Task manager (Диспетчер задач Windows);

* Regedit (Редактор реестра);

* свободное время ...



Альтернативные замены:

Если по какой то причине у вас нет или были удалены Task manager и Regedit вы можете воспользоваться моей программой Tray pack v0.4.0.2 beta.



Прикрепленные архивы:

vc.rar - архив с DOS-менеджером volcov commander (выбрал из-за небольшого размера - свободно поместится на дискету, если кто помнит что это такое =);

safe_boot.rar - архив с веткой реестра для правильной работы "Безопасного режима" (он вам понадобится, если ваш компьютер был атакован вирусом Win32.Sality.s или любым другим схожим вирусом);



Часть 1 - Идентификация вируса.



Итак-с ... с чего же начать поиск? Во-первых, о наличии вируса может говорить появление нового "подозрительного" процесса в Диспетчере задач (например файлы ntos.exe, лишний svchost.exe и др.). Список стандартных приложений, работающей на свежей системе приведен ниже (в конце темы). Во-вторых, "тревожные звонки" от вашего антивируса, если вы конечно им пользуетесь )) Я бы советовал завести txt-файл и записывать туда все, что выдаст вам антивирус по обнаруженным вирусам и троянам. Зачем? За тем, что вы будете знать о возможном местоположении вредоносного объекта на вашем компьютере, его название и классификацию.



Основные места, в которые копируются тела вирусов и троянских программ:



.:: На жестком диске:

* C:\

* C:\Documents and Settings\{User}

* C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка


Эти места характерны для копирования Trojan-Downloaders и Trojan-Dropper, не исключены и вирусы



* C:\Documents and Settings\{User}\Local Settings\Temp

* C:\WINDOWS\system32

* C:\WINDOWS\Temp


Эти места характерны для E-mail worms и Virusis (например тот же Win32.Sality.s)



* C:\System Volume Information



Это универсальное место! Если вы не отключили "Восстановление системы", то при удалении вируса он автоматически сохранится в этой папке для восстановления ))



* C:\AUTOEXEC.BAT

Часто трояны и другие вредоносные программы прописываются в этом файле. Если вы не IT-профессионал и не используете параметры при начальной загрузке, то этот файл должен быть всегда пустым.



.:: В реестре:



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\WINDOWS\system32\userinit.exe, {всевозможные продолжения через запятую должны быть удалены!!!}"
т.е. должно быть так:

"Userinit"="C:\WINDOWS\system32\userinit.exe,"



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

Здесь находится "Автозагрузка" вашего компьютера. Нежелательные приложения можно смело удалять. Также об автозагрузке системы можно узнать с помощью стандартной утилиты msconfig: кнопка ПУСК -> Выполнить -> msconfig | вкладка автозагрузка



Часть 2 - Удаление "мусора".



На сегодняшний день существуют троянские программы и вирусы, которые легко скрывают свое существование от глаз "Тупого" пользователя. Дабы не быть такими, предлагаю сделать следующее:



* Для отображения всего скрытого на компьютере делаем следующее:

ПУСК - Мой компьютер - Menu | Сервис - Свойства папки - Вид |



убираем флажок с "Скрывать защищенные системные файлы (рекомендуется)";

ставим флажок на "Показывать скрытые папки и файлы";



После того, как все неявное стало явным, открываем наш txt-файл с отчетом антивируса и ищем наши файлы на компьютере. если они остались после антивируса. Некоторые файлы вы не сможете удалить, т.к. они используются системой. Поэтому сперва удалите эти "процессы" из Диспетчера задач. Если же после этого файл все равно не удаляется, то добро пожаловать к следующему пункту!



* "Консольная загрузка"



Запуск системы в безопасном режиме с поддержкой консоли (командной строки) - самое оптимальное средство для удаления всякой нечисти с вашего компьютера. Но есть одно важное и очень важное НО: вам придется вернуться к истокам MS-DOS и его черному экрану! Ужас, неправда ли )) Вот тут нам и пригодится наш DOS-менеджер - volcov commander. Советую скопировать его сразу на диск С, чтобы путь к нему был C:\vc.com - работать все равно будем в режиме MS-DOS, но уже веселее ). Итак, у нас появилась консоль после загрузки системы со строкой C:\Documents and Settings\{User} здесь же набираем C:\vc.com и жмем Enter - как результат наш DOS-менеджер запустился. Теперь открываем через него наш все тот же txt-файл с местоположением вредоносной программы, находим ее, жмем F8 и удаляем ее - теперь то нам никто не помешает. Кстати, комбинация Ctrl+Alt+Delete или Ctrl+Shift+Esc здесь также уместна (запуск Диспетчера задач для завершения вредоносных программ).



* Окончательная зачистка.

После того, как мы удалим все вредоносные файлы на нашем жестком диске, необходимо зачистить реестр Windows. Для этого необходимо загрузиться в обычном Безопасном режиме под зараженным пользователем, запустить ПУСК -> Выполнить -> regedit и с помощью системы поиска заново найти все наши вредоносные файлы (в поиске стоит набирать только собственное имя вредоносного файла, например ntos.exe) удалить все имена разделов, имена параметров и значения параметров, в которых встречаются названия наших "злобных" программ.
Attachments
vc.rar
DOS-менеджер - volcov commander
(45.31 KB) Downloaded 804 times
Safe_Boot.rar
Восстановление "Безопасного режима"
(1.39 KB) Downloaded 792 times
task_manager.JPG
Процессы на свежей Windows XP
Last edited by Тупак on Sun Dec 16, 2007 9:34 pm, edited 1 time in total.
Тупак
Шеф-ковбой
Шеф-ковбой
 
Posts: 121
Joined: Tue Jul 03, 2007 7:23 pm
Location: Krasnodar ))
Gender: Male
Country: Russian Federation

Re: Зверинец в вашем компьютере (поиск и удаление вирксов).

Postby el_teniente on Sun Dec 16, 2007 2:47 pm

Тупак wrote: ...лишний svchost.exe...


а сколько их должно быть на "чистом" компьютере, всегда ли то что сверх 5---"лишнее"?
die hard---live easy
User avatar
el_teniente
Статс-админ
Статс-админ
 
Posts: 4280
Joined: Mon Nov 07, 2005 7:51 pm
Location: Белокаменная
Gender: Male
Country: Russian Federation

Postby Тупак on Sun Dec 16, 2007 9:30 pm

е больше 6 шт, причем 6-ой появляется при входе в интернет. Если после выхода из интернета он остался, то это свидетельствует о плохой выгрузке неиспользуемых библиотек вашей системой и о ламерских способностях ее настройщика!!! Но стандарт (без нета) - 5 шт. : 2 SYSTEM, 1 LOCAL и 2 NETWORK подробней он их можно почитать в нете - уверен информации очень много )))

Тупак
Шеф-ковбой
Шеф-ковбой
 
Posts: 121
Joined: Tue Jul 03, 2007 7:23 pm
Location: Krasnodar ))
Gender: Male
Country: Russian Federation

Postby el_teniente on Sun Dec 16, 2007 9:32 pm

у меня на сервере их 7

разумеется, сервер постоянно подключен к интернету, так что один в минус



как мне определить что за зверь такой этот седьмой?
die hard---live easy
User avatar
el_teniente
Статс-админ
Статс-админ
 
Posts: 4280
Joined: Mon Nov 07, 2005 7:51 pm
Location: Белокаменная
Gender: Male
Country: Russian Federation

Postby Тупак on Sun Dec 16, 2007 9:40 pm

el_teniente wrote:а у меня на сервере их 7

разумеется, сервер постоянно подключен к интернету, так что один в минус



как мне определить что за зверь такой этот седьмой?




надо было упомянуть в начале статьи, что речь идет о домашнем ПК, а не о сервере.
Тупак
Шеф-ковбой
Шеф-ковбой
 
Posts: 121
Joined: Tue Jul 03, 2007 7:23 pm
Location: Krasnodar ))
Gender: Male
Country: Russian Federation

Postby el_teniente on Sun Dec 16, 2007 9:41 pm

Не секрет, что многие вирусные и троянские программы прячутся, маскируя свои действия в системе под действия нормальных системных процессов.



Для того чтобы различать "мух от котлет", необходимо знать, для какой цели запускается в системе тот или иной системный процесс и самое главное - обоснованно ли он загружается в память и производит какие-либо действия.



Начнём с "наболевшего" - SVCHOST.EXE



Очень часто у пользователей WindowsXP возникает вопрос - что это за программа svchost.exe, наблюдаемая ими в списке запущенных процессов? Первоначально вызывает недоумение - почему она загружена 2-3-4-5-... раз?, нужное подчеркнуть...



При более детальном изучении списка процессов видно, что процесс svchost.exe запущен несколько раз, с разными PID (идентификатор процесса) и разными объёмами оперативной памяти, выделяемыми системой под каждый процесс.



На самом деле - это никакой не вирус и не троян - SVCHOST.EXE (Generic Host Process for Win32 Services) вполне «законна». Это приём извлечения и запуска разнообразных системных сервисов из различных DLL. Каждый раз при запуске определённой службы вызывается svchost.exe с различными параметрами, что и позволяет управлять запуском различных служб унифицированным методом.



Управлять загрузкой сервисов можно через вкладку Панель Управления - Администрирование - Сервисы.



Вот список сервисов (служб), запускаемых с помощью svchost.exe:





1)Оповещатель Alerter ---Посылает выбранным пользователям и компьютерам административные оповещения

2)Управление приложениями---Application Management Обеспечивает службы установки программного обеспечения, такие, как назначение, публикация и удаление

3)Система событий COM+ COM+ Event System---Поддержка службы уведомления о системных событиях (SENS), обеспечивающей автоматическое распространение событий подписавшимся компонентам COM

4)Обозреватель компьютеров---Computer Browser Обслуживает список компьютеров в сети и выдает его программам по запросу

5)Сервер---Server Обеспечивает поддержку общего доступа к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение

6)DHCP-клиент---DHCP Client Управляет конфигурацией сети посредством регистрации и обновления IP-адресов и DNS-имен

7)Клиент отслеживания изменившихся связей---Distributed Link Tracking Client Поддерживает связи NTFS-файлов, перемещаемых в пределах компьютера или между компьютерами в домене

8)DNS-клиент---DNS Client Разрешает для данного компьютера DNS-имена в адреса и помещает их в кэш

9)Диспетчер логических дисков---Logical Disk Manager Обнаружение и наблюдение за новыми жесткими дисками и передача информации о томах жестких дисков службе управления диспетчера логических дисков

10)Служба сообщений---Messenger Посылает и получает сообщения, переданные администраторами или службой оповещений

11)Диспетчер авто-подключений удаленного доступа---Remote Access Auto Connection Manager Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS- имени или адресу

12)Удаленный вызов процедур---(RPC) Remote Procedure Call (RPC) Обеспечивает сопоставление конечных точек и иных служб RPC

13)Диспетчер подключений удаленного доступа---Remote Access Connection Manager Создает сетевое подключение

14)Удаленный реестр---Remote Registry Service Позволяет удаленным пользователям изменять параметры реестра на этом компьютере

Remote Registry Service Позволяет удаленным пользователям изменять параметры реестра на этом компьютере

15)Съемные ЗУ---Removable Storage Обеспечивает корректное распознавание и подключение съемных ОЗУ

16)Маршрутизация и удаленный доступ---Routing & Remote Access Предлагает услуги маршрутизации организациям в локальной и глобальной сетях

17)Уведомление о системных событиях---System Event Notification Протоколирует системные события, такие как регистрация в Windows, в сети и изменения в подаче электропитания

18)Планировщик заданий---Task Scheduler Позволяет настраивать расписание автоматического выполнения задач на этом компьютере

19)Телефония---Telephony Обеспечивает поддержку Telephony API (TAPI) для программ, управляющих телефонным оборудованием и голосовыми IP-подключениями на этом компьютере, а также через ЛВС - на серверах, где запущена соответствующая служба

20)Служба времени---Windows Windows Time Управляет синхронизацией даты и времени на всех клиентах и серверах в сети



Автор: Дмитрий Дробот
die hard---live easy
User avatar
el_teniente
Статс-админ
Статс-админ
 
Posts: 4280
Joined: Mon Nov 07, 2005 7:51 pm
Location: Белокаменная
Gender: Male
Country: Russian Federation

Postby el_teniente on Sun Dec 16, 2007 9:53 pm

Тупак wrote:надо было упомянуть в начале статьи, что речь идет о домашнем ПК, а не о сервере.




Windows XP Pro легко может работать как сервер
die hard---live easy
User avatar
el_teniente
Статс-админ
Статс-админ
 
Posts: 4280
Joined: Mon Nov 07, 2005 7:51 pm
Location: Белокаменная
Gender: Male
Country: Russian Federation

Postby el_teniente on Tue Jan 15, 2008 9:37 pm

егодня потратил 1, 5 часа на ликвидацию файла ntos.exe, который упорно прописывался в реестр и автозагрузку в любых условиях :lol:



ХР переустанавливается 1 час roll:::
die hard---live easy
User avatar
el_teniente
Статс-админ
Статс-админ
 
Posts: 4280
Joined: Mon Nov 07, 2005 7:51 pm
Location: Белокаменная
Gender: Male
Country: Russian Federation

Postby Тупак on Wed Jan 16, 2008 7:52 pm

el_teniente wrote:
Тупак wrote:надо было упомянуть в начале статьи, что речь идет о домашнем ПК, а не о сервере.




Windows XP Pro легко может работать как сервер




я и не спорю ))) я имел ввиду обычный одиночный компьютер, который не подключен к другим (локальная сеть отсутствует)
Тупак
Шеф-ковбой
Шеф-ковбой
 
Posts: 121
Joined: Tue Jul 03, 2007 7:23 pm
Location: Krasnodar ))
Gender: Male
Country: Russian Federation

Postby el_teniente on Wed Jan 16, 2008 8:00 pm

Тупак wrote:...я и не спорю ))) я имел ввиду обычный одиночный компьютер, который не подключен к другим (локальная сеть отсутствует)




таких компьютеров становится все меньше и меньше(особенно в крупный городах)



а по локалке трояна впиливают моментально---без шуток, например я всегда переустанавливаю Windows отключенным от сети
die hard---live easy
User avatar
el_teniente
Статс-админ
Статс-админ
 
Posts: 4280
Joined: Mon Nov 07, 2005 7:51 pm
Location: Белокаменная
Gender: Male
Country: Russian Federation

Postby Тупак on Thu Jan 17, 2008 10:45 am

=) я не люблю переустанавливать винду, уже настолько привык к вирусам и троянам, что вполне и сам могу свой комп почистить.



Но если и приходится переустанавливать, то только с полным форматированием ) ... низкоуровневым .... чтобы все там подохло ...
Тупак
Шеф-ковбой
Шеф-ковбой
 
Posts: 121
Joined: Tue Jul 03, 2007 7:23 pm
Location: Krasnodar ))
Gender: Male
Country: Russian Federation

Postby el_teniente on Thu Jan 17, 2008 11:09 am

не просто жалко времени на вылавливание и "выкусывание" трояна, тем более, что в 70% случаев трояны портят системные файлы и реестр, поэтому винда остается кривоватая roll:::



переустановка винды с полным сохранением данных занимает времени гораздо меньше :smt023
die hard---live easy
User avatar
el_teniente
Статс-админ
Статс-админ
 
Posts: 4280
Joined: Mon Nov 07, 2005 7:51 pm
Location: Белокаменная
Gender: Male
Country: Russian Federation

Postby Alisa on Thu Jan 17, 2008 1:10 pm

el_teniente wrote:

переустановка винды с полным сохранением данных занимает времени гораздо меньше :smt023




У тех, кто умеет :badgrin:
«Учтивые манеры оттеняют достоинства и придают им приятность». (Ж. Лабрюйер)
User avatar
Alisa
Флигель-комиссар
Флигель-комиссар
 
Posts: 1114
Joined: Sun Oct 30, 2005 7:05 pm
Location: Москва
Gender: Female
Country: Russian Federation

Re: Зверинец в вашем компьютере (поиск и удаление вирусов).

Postby Тупак on Tue Apr 29, 2008 8:54 pm

Еще одним из признаков того, что в вашем компьютере появился вирус - это то, что у вас неожиданно отключился запуск "Диспетчера задач" (нажатие клавиш Ctrl+Alt+Delete или Ctrl+Shift+Esc) или "Редактора реестра" (Пуск -> Выполнить -> regedit). Одной из вероятностью этого может служить появление новых записей в реестре:



[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]

DisableRegistryTools = 1

DisableTaskMgr = 1

Чтобы избавиться от этой проблемы, необходимо удалить эти 2-е записи из реестра.



Очень часто большинство из вирусов загружаются "беспалевно" вместе с "Рабочим столом", а именно с процессом Explorer.exe. Просмотрите следующую запись:



[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell = "Explorer.exe RVHOST.exe"



Это значит, что вместе с рабочим столом у меня загружается файл RVHOST.exe (последствия от Worm.Win32.AutoIt.c, могу им поделиться, если кто желает). Необходимо привести в божеский вид данную запись, так, чтобы она выглядела следующим образом:



Shell = "Explorer.exe"



Есть важное НО! Не факт, что изменив данную запись, вы с уверенностью избавились от вредоносного объекта - этот файл может все еще сидеть в памяти вашего компьютера, причем скрытно от глаз. Чтобы его завершить, сделайте следующее:



Пуск -> Выполнить -> taskkill /IM RVHOST.exe



таким образом можно завершать любой из вредоносных скрытных файлов ...
Тупак
Шеф-ковбой
Шеф-ковбой
 
Posts: 121
Joined: Tue Jul 03, 2007 7:23 pm
Location: Krasnodar ))
Gender: Male
Country: Russian Federation

Re: Зверинец в вашем компьютере (поиск и удаление вирусов).

Postby el_teniente on Tue Apr 29, 2008 11:35 pm

как изменить запись в реестре, если не загружается редактор реестра?

die hard---live easy
User avatar
el_teniente
Статс-админ
Статс-админ
 
Posts: 4280
Joined: Mon Nov 07, 2005 7:51 pm
Location: Белокаменная
Gender: Male
Country: Russian Federation

Next

Return to Хард и Софт

Who is online

Users browsing this forum: No registered users and 5 guests


Page generation time 0.07 sec (PHP: 57% - SQL: 43%) - DB queries 28 - Peak memory usage 4.18 MB
cron