Каждый пользователь компьютера, независимо от того, подключен он к сети интернет или нет, сталкивался с вирусами. Одни вирусы приводят к тому, что компьютер начинает работать нестабильно, другие вовсе блокируют его и требуют денег за разблокировку.
Конечно самое разумное - это обратиться к специалисту, т.к. неумелое "лечение" может привести самое малое к безрезультатно потраченному времени или того хуже, к полному выходу из строя операционной системы.
Но, как это часто бывает, обращаются к знакомому, знакомому знакомого и т.д. по цепочке, некоторые обращаются в магазины, где покупали свой ПК. Не хочу ни кого обидеть, но часто "больной" попадает в руки самого обычного шарлатана, который за весьма "разумную" цену готов "помочь" в лечении. Затем в 90% случаев пользователю сообщают о необходимости полной переустановки системы за гораздо большую сумму. Переустановка системы, конечно, решит проблему, но если вирус не был удален с жесткого диска, то в дальнейшем нет ни каких гарантий, что он не будет активирован вновь.
Некоторым везет и зараженная машина попадает в руки к настоящим специалистам. Но услуги специалиста обычно на порядок дороже, хоть он и дает гарантию полного излечения.
В крупных городах есть специализированные компьютерные фирмы, предоставляющие качественный сервис по антивирусной профилактике, но стоимость их услуг зачастую просто астрономическая для рядового пользователя.
Так что же делать, если у вас нет в городе фирмы или специалиста, предоставляющих качественный сервис или сервис за разумную стоимость? Или вы просто не знаете о их существовании?
Вот тут мы и подходим к самой сути этой записки - помочь обычному пользователю самостоятельно диагностировать вирусную активность и принять необходимые меры по предотвращению дальнейшего заражения и, по возможности, полному излечению от напасти.
И так, начнем:
Как без антивируса понять, что ваш компьютер заражен? или диагностика "на глаз"
Неявные признаки:
* в контекстном меню неактивна надпись вызова диспетчера задач;
* вы работаете в системе под административной учетной записью, но при вызове диспетчера задач или редактора реестра сестема вам рабостно сообщает, что администратор заблокировал такую возможность;
* модемное или vpn подключение выдает ошибку 720;
* при подключенном интернет соединении вы не используете интернет, но команда netstat, выполненная в коммандной строке, показывает вам кучу активных соединений;
* команда ipconfig /all выводит кучу непонятных интерфейсов (за исключением туннельного адаптера isatap, являющегося последствием мелкософтовской поделки по внедрению ipv6 совместно с ipv4);
* при комманде ping вместо адреса выводятся "кракозябры";
* ваш браузер не может отобразить большинство популярных интернет-страницы, таких как mail.ru, yandex.ru, rambler.ru, google.ru, vkontakte.ru и т.д., но совершенно спокойно заходит на малоизвестные в широких кругах пользователей windows сайты, такие как exploit.in, opensuse.org, lynks.ru, nixp.ru и т.д.
* комманда ping на доменное имя (пример: ping ya.ru) сообщает, что такое доменное имя не доступно в сети, однако проходит по цифровому адресу (пример: ping 77.88.21.8);
* у вас быстро расходуются денежные средства за интернет (при лимитированных тарифах), однако по вашему вы мало его используете;
* ваш 2-х мегабитный безлимитный канал интерен вдруг стал не быстрее обычного телефонного модема, однако ваш провайдер уверяет вас, что вы качаете на полной скорости;
* с вашего аккаунта e-mail, icq, skype или другого средства общения, в том числе сайтов социальных сетей, к вашим знакомым (и не только) приходят странные сообщения с предложением посетить сайт, посмотреть картинку, скачать файлик, послать SMS и т.д.;
Явные признаки вирусной активности:
* баннерные окна различного содержания с высоким приоритетом - вы не можете их закрыть, свернуть, убрать с экрана, в последнее время за их деактивацию требуют послать SMS.
* ваш компьютер, некогда резвый и откликающийся без задержек, вдруг стал "тормозить" и долго "думать" при открытии окон;
* флешки, дискеты, компакт-диски, записанные на вашем компьютере, на другом компьютере с установленным антивирусным ПО оказываются зараженными вирусом;
* при подключенной флэшке в окне "мой компьютер" вместо значка диска флэшки виден значок стандартной папки;
* ваш антивирус сообщает об угрозе, вы производите удаления или лечения зараженного объекта, но после перезагрузки компьютера ситуация повторяется;
* После где то минут 5 работы в нете, вылезает ошибка "Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.." После этого в инет уже не выходит. Приходится перезагружать комп.
* провайдер заблокировал ваш аккаунт за вирусную активность;
Не зависимо от того, произойдут ли перечисленные симптомы по отделности или их будет сразу несколько, можно с уверенностью на 99% сказать, что ваш компьютер заражен, и нуждается в срочном лечении.
Далее я опишу метод лечения, помагающий практически в 60% случаев избавиться от заразы. Этого, конечно, может оказаться не достаточно и вам всеже придется искать другие методы лечения или обратиться к специалисту, но, как говорится, 10$ то не лишние ;)
Первое и, пожалуй, самое главное - сбор необходимого ПО и девайсов:
* на понадобятся следующие девайсы:
a) флеш-накопитель или карта памяти с картридером - 1 шт
b) компакт диск CD-R или CD-RW - 1 шт
c) чистый компьютер с выходом в интернет - 1 шт
* необходимый минимум программ:
a) скачиваем LiveCD с оффсайта DrWeb или Kaspersky (в каком случае понадобится этот CD опишу ниже в методике лечения)
b) скачиваем бесплатную лечащую утилиту CureIT или AVTool
c) скачиваем бесплатную лечащую утилиту AVZ
d) скачиваем бесплатную версию Total Commander portable
e) скачиваем бесплатную версию ProcessExplorer
f) скачиваем бесплатную утилиту Unlocker
g) скачиваем бесплатную утилиту Ccleaner
(ссылки попозже приложу, а пока google вам в помощь)
Методика лечения
Фактически есть слишком много разных методов лечения для описания в разрезе одной статьи. Опишу пока основные принципы, с помощью которых вы сможете избавиться от большинства гадостей.
Т.к. записку пишу для обычных пользователей, особо в тонкости вдаваться не буду и для надежности стрелять по червям будем сразу из гаубиц с приличного расстояния.. мы ведь не хотим под случайные брызги попасть?)))).
Итак, приступим:
I. Способ первый: 10 относительно простых шагов к спокойствию
Имеется: зараженный компьютер под управлением ОС Windows с не работающим или отсутствующим антивирусом. Часть системы заблокирована (диспетчер задач, редактор реестра, загрузка в безопасном режиме). Программы запускаются и не блокируются вирусом.
Ваши действия:
1 Берем флэшку или компашку, записываем необходимый минимум программ для лечения, подключаемся к пациенту (при подключении с флэшки желательно на всякий случай зажать секунд на 20 клавишу shift - поможет избежать автозапуска и, вероятно, заражения на самой флешке)
2 Открываем флешку и запускаем AVZ. если значек накопителя в виде папки открываем через правую кнопку мыши, нужный пункт будет почти в самом низу. в AVZ первым делом в меню включаем режим AVZGuard и по возможности закрываем все активные окна. Режим AVZGuard запрещает запуск любых процессов или файлов в обход утилиты. В данном случае может кто-то возразить, что это лишнее... Однако мне перелечивать компы после таких умников уже порядком надоело, т.к. следует знать, что не бывает вирусов на компе в "единственном" экземпляре. В комплекте обязательно несколько разновидностей и по нескольку копий. А ведь мы хотим именно вылечить комп, а не создать вид бурной деятельности?
3 Запускаем в AVZ режим сканирования без всяких галочек. Вероятность нахождения зловреда в таком режиме хоть и не велика, но возможна. Тут в основном стоит обратить внимание на наличие красных строк с надписью "перехватчик" и по возможности определить не зарыто ли там чего...
Внимание!! строка с надписью "\FileSystem\ntfs[тут-что-то_еще] перехватчик не определен" нас не интересует.
Другие строки говорят о наличии в системе перехвата функций от пользовательского интерфейса. чаще всего это антивирусы/файерволы и т.п. но может быть и от руткита/кейлогера и т.п. пакости.
Если подгружаемый "драйвер" опознан как безопасный, продолжаем спокойно дальше. Если появились подозрения, понадобятся дополнительные утилиты типа HijackThis и/или Gmer. Но мы будем считать, что такой заразы пока у вас нет и их рассмотрение отложим до следующего способа.
4 Теперь нам нужно запустить Total Commander. Для этого в AVZ используем из меню AVZGuard запуск доверенных приложений (мы ведь доверяем, что это не вирусы на флэшке?)). Далее в качестве проводника будем использовать только его.
Если заблокированы диспетчер задач и/или редактор реестра ТС так-же нам поможет.
Но в качестве альтернативы диспетчера все-же лучше использовать утилиту Procexp. На мой взгляд он куда лучше по возможностям.
5 Вы запустили Procexp или диспетчер в ТС и сразу заметили зловреда? Поздравляю! Вам сильно повезло) Обычно таких случаев не так уж и много, особенно это касается вирусов, прячущихся внутри процессов типа explorer и/или svchost, а то и вовсе их подменяющие.
Вам нужно лишь узнать путь к физическому расположению файла (выделить процесс, кликнуть мышью в Procexp или нажать F3 в ТС) далее через ТС переходим к зловреду, кликаеем правой кнопкой, выбираем Unlocker (вы ведь его установили уже?) выделяем файл, выбираем удалить и жмем разблокировать. Вирус удален. Но, в зависимости от вируса, процесс может остаться в памяти. Для уверенности нужно еще прибить процесс через Procexp или Total Commander.
Так-же теперь весьма не плохо было бы убить все "лишние" процессы. т.е, согласно списка процессов утилиты Procexp это все, что начинается от explorer и ниже его подпроцессов, оставив лишь наш AVZ и ТС (ну и сам Procexp)
6 Но искать "вручную" для большинства пользователей слишком непосильная задача. Поэтому мы отодвинем в сторону свою непомерную гордость и доверимся утилите "чужого дяди" по имени Dr.Web или Kasperksy (тут на вкус и цвет). Так что переходим в тотале на свою флэшку(диск), запускаем CureIT (AVTool), запускаем стандартное сканирование системы и спокойно идем пить пиво.
7 Утилиты из предыдущего пункта отработали? Хорошо. Внимательно изучаем список найденного. Что не удалилось, удаляем ручками. Теперь контрольный выстрел первого этапа - запускаем полное сканирование утилитой AVZ (сканирует быстро, так что пиво подождет). Если лог чист, радуемся его удачному завершению и начинаем подготовку для второго...
8 Подготовка заключается в чистке системы после проведенных чуть ранее телодвижений. Нам очень желательно очистить временные директории, реестр и проверить наличие "левых" файлов.
"Тотальной" чистке подлежат следующие директории:
?:\RECYCLER и/или схожие по названию
?:\Documents and Settings\%user_name%\Local Settings\Temp
?:\Documents and Settings\%user_name%\Local Settings\Temporary Internet Files
?:\WINDOWS\Temp
?:\WINDOWS\system32\dllcache
?:\System Volume Information
в корне папки ?:\Documents and Settings\%user_name%\ из файлов должны быть только
NTUSER.DAT
ntuser.dat.log
ntuser.ini
остальное можно удалить
где:
знак ? - буква диска
%user_name% - все пользователи (папки) в дирректории ?:\Documents and Settings\
Ну и в завершение - переходим в запущенную ранее утилиту AVZ (вы ведь не подумали ее выключить и/или отключить режим AVZGuard? иначе описанное придется повторить еще раз, а то и не один раз)
Теперь из этой утилиты нам нужна функция в меню "файл" и зовется она "Восстановление системы".
Особо грамотные могут и ручками из ТС конечно все это сделать, но т.к. обычному пользователю эта задача непосильна, опять прячем свое чрезмерное чувство собственной значимости и запускаем это самое восстановление. Там впринципе все по русски описано что как и для чего.
Я вам дам лишь подсказку - отмечаем галочками все пункты, кроме 21,18 и 14 и жмем кнопку "выполнить".
Теперь чистим реестр. Особо страждущие ручками, все остальные утилитой Ccleaner (вы ведь ее то-же уже ставили? нет? ставим!), или другой со схожими функциями.
Кто бы чего не говорил, что все это совсем не нужно, слушать его вам вовсе не стоит)
Вреда точно не будет, времени практически не займет, а гарантия исправления от вирусной деструктивной деятельности значительно повышается.
Теперь финал подготовки - жесткий ребут! да-да! именно кнопочкой! можно конечно питание отключить... тут на вкус и цвет)
9 Ну и теперь заключительный второй этап...
После загрузки биоса жмем F8. В меню выбираем загрузку в безопасном режиме, запускаем снова антивирусную утилиту, ставим на полное сканирование и идем опять пить пиво))
Если после завершения работы утилиты лог чист и вирусов не обнаружено, гордо бъем себя пяткой в грудь. проверяем работу своего антивируса (можно переустановить конечно на всякий, но редко бывает на столько плохо), перезагружаем комп в стандартном режиме и довольные собой допиваем остатки пива (ну или в ларек бежим снова).
10 Если вдруг что-то осталось... обычно после второго этапа достаточно бывает повторить его еще раз. Реже приходится начинать опять с нуля.
II. Способ второй: нам не позволено лечиться?! однако...
Имеется: зараженный компьютер под управлением ОС Windows. Часть системы заблокирована (диспетчер задач, редактор реестра, загрузка в безопасном режиме и т.д.). Программы запускаются, но блокируются антивирусные утилиты.
Ваши действия:
* вирус сменил ассоциации файлов запуска антивирусов на себя любимого, либо контролирует процесс запуска каждого приложения сравнивая его со своей базой и убивает доктора на стадии "входа в дверь")
как обычному пользователю побороть такие противоправные действия? есть несколько способов:
От и для AVZ:
1. Переименовать папку AVZ, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.
2. Переименовать avz.exe в что-то типа test.exe, game.pif, program.com
3. Запускать AVZ с ключом: avz.exe ag=y (в этом случае при запуске AVZ включается AVZGuard)
4. Запускаем восстановление системы.
5. Следуем инструкциям из первого способа лечения начиная с п.3
От дядюшки паучка:
1. Качаем утилиту восстановления системы (ftp://ftp.drweb.com/pub/drweb/tools/plstfix.exe) от Dr.Web
2. Запускаем ее и жмем кнопку "Продолжить". Здесь все еще проще - достаточно запустить утилиту и она самостоятельно внесет нужные изменения в реестр, оставив не тронутыми неизмененные ключи реестра.
3. Переходим к п.2 первого способа лечения.
III Способ третий: все попробовал, ни чего не помогает!
Имеется: зараженный компьютер под управлением ОС Windows. Системы заблокирована полностью. Имеем после запуска окно с радостным приветствием о необходимости заплатить денежку смс-кой. По видимым признакам работает только мышка для нажатия на единственную кнопку и клавиатура только для ввода "секретного" кода.
Ваши действия:
* Берем топор и вешаемся... шутка))
Вот на такие случаи может пригодится LiveCD, если нет под рукой машины с инетом, или кода активации еще в принципе ни где нет. А такое тоже часто бывает. Хотя может показаться, что им проще с самого первого раза воспользоваться, но не всем.
При запуске компа заходим в БИОС и выставляем на загрузку с CD-Rom, если не знаете как это делается, отправляемся в google. Загружаемся с компашки и в привычном интерфейсе производим тотальную проверку и вакцинацию.
Иногда, после лечения с LiveCD, ОС перестает загружаться вообще. Такое часто встречается, когда вирус подменивает собой какие-нибудь основные для запуска ОС файлы. В данном случае, возможно, поможет LiveCD от BartPE с загрузкой ОС Windows. Все-же для редактирования реестра и восстановления этой ОС лучше штатные утилиты использовать.
Но это я допишу позже... (продолжение следует)..
Способ аля шипко интересующиеся ручной работой по способу № II:
Исправление поврежденных ключей реестра вручную:
1. Не запускается (запрещен) "Редактор реестра".
необходимо создать reg-файл:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0
назвать его произвольным именем, например, restorere.reg, и запустить дважды щёлкнув по reg-файлу левой кнопкой мыши; альтернативно - Пуск > Выполнить > ввести
regedit /s restorere.reg
и нажать кнопку "ОК"
Если же редактор реестра regedit не запустится, то с помощью редактора реестра из командной строки reg.exe:
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
2. Не запускаются *.exe-файлы.
надо создать reg-файл:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"
назвать его произвольным именем, например, restoreexe.reg, и запустить дважды щёлкнув по reg-файлу левой кнопкой мыши.
3. Не запускаются программы и выдается сообщение "В доступе отказано, обратитесь к администратору".
смотрим, чтобы в реестре было так:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000000
альтернативно просто удалите ключ "RestrictRun" (Дефолтное значение "0").
4. Отключен (запрещен) Диспетчер задач.
проверяем реестр:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:0
альтернативно можно просто удалить ключ "DisableTaskMgr" (Дефолтное значение "0")
5. Отключена возможность выбора свойств папки.
проверяем ключи реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000000
или
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=dword:00000000
6. Отключено отображение скрытых и системных файлов.
проверяем ключи реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
вредоносная программа может также изменить ключ "CheckedValue"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. При открытии диска ОС Windows спрашивает, с помощью какой программы его открыть:
Найти и убить все autorun.inf со всех дисков. Запустить редактор реестра, найти следующие ключи и удалить их:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
8. В окне свойств экрана отсутствуют некоторые вкладки.
Часто вирусы изменяют рисунок Рабочего стола Windows с тем, чтобы вывести на экран собственную информацию. При этом блокируют возможность изменения настроек Рабочего стола, скрывая некоторые вкладки окна свойств экрана. Прежде чем восстанавливать отображение этих вкладок, убедитесь, что вирус, который отключил их отображение, уже не действует в системе. Если вирус уже удалён из системы, то для восстановления скрытых папок необходимо создать reg-файл и запустить его, дважды щёлкнув по reg-файлу левой кнопкой мыши.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=dword:0
"NoDispScrSavPage"=dword:0
--------------------------------------
<это не оконченная статья>
--------------------------------------
вторник, 2 февраля 2010 г.
Подписаться на:
Сообщения (Atom)