Архив рубрики: Борьба с вирусами

В этой рубрике я буду описывать личный опыт в борьбе с вирусами

Вирус заблокировал компьютер

Если вирус заблокировал компьютер с операционной системой MS Windows, первым делом надо со второго компьютера 🙂 или с компьютера друга поискать метод лечения на сайтах Касперского тут, тут, а так же тут, полезно на такие случаи иметь диск Kaspersky Rescue Disk и Kaspersky Virus Removal Tool 2011; еще обязательно надо поискать визуально картинку блокировщика на сайте Dr.Web тут.

Вирус действует путем подмены стандартной Shell или Userinit на свою в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Для этого нужно любым способом добраться до реестра своей операционной системы и установить параметрам Shell и Userinit значения explorer.exe и C:\WINDOWS\system32\userinit.exe соответственно. Вручную исправить реестр недоступной системы можно с помощью всевозможных дисков-реаниматоров, коих полно в сети.

Так же Kaspersky Rescue Disk — очень хорошее средство. Если после удаления им вируса, Windows продолжает встречать окном с сообщением об отправке СМС, значит скорее всего вирус подменил служебный файл userinit.exe. Именно такая ситуация была у меня. Помогло выкачивание этого файла из интернета и замена в нерабочей системе. Искать нужно файл из нужной вам версии Windows, а так же с нужным сервис-паком. В моем случае меня спасла статья И снова вирус просит пополнить счет, где в конце выложен файл для Windows XP SP3.

Как отключить автозапуск дисков в Windows

Как и обещал в статье о Лечение “вируса” usb.wsf опишу метод гарантированного отключения автозапуска (autorun) съемных и сетевых дисков в Windows.
Для чего это надо? Во-первых, для меня это изначально было сомнительным удобством, я бы даже сказал напрягало всегда то, что после ставки диска/флэшки появлялось окно с выбором действий или просто молча поверх остальных окон появлялось окно с содержимым диска/флэшки. Во-вторых, с появлением различных autorun-вирусов это стало реальной проблемой, особенно если есть локальная сеть.
Можно через редактор реестра, а можно через импорт в реестр этого файла.
Этот файл в реестре меняет следующие строки:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000DF

Первая строка

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"

заменяет в реестре значение файла Autorun.inf на значение «не существует» и система просто не воспринимает эти файлы.

Вторая строка

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000DF

отключает автозапуск всем дискам, кроме CD-ROM’a
Значение DF формируется из следующих данных:

0x01 (DRIVE_UNKNOWN) — привод, тип которого не может быть определен
0x02 (DRIVE_NO_ROOT_DIR) — диск с невалидным корнем (сетевые “шары”?)
0x04 (DRIVE_REMOVABLE) — съемный диск (дискеты, флешки)
0x08 (DRIVE_FIXED) — несъемный диск (жесткий диск)
0x10 (DRIVE_REMOTE) — сетевой диск
0x20 (DRIVE_CDROM) — CD-привод
0x40 (DRIVE_RAMDISK) — виртуальный диск (RAM-диск)
0x80 (DRIVE_FUTURE) — будущие типы устройств

Сумма всех этих значений равна 0xFF, но 0xFF0x20 = 0xDF и таким образом оставляем автозапуск для CD-привода.

Лечение «вируса» usb.wsf

Не знаю даже толком вирус это или нет, т.к. вредных действий не заметил за ним, но то, что он сам распространяется без спроса и трудно «выводится» в сети предприятия говорит о том, что это вирус.
автор этого скрипта утверждает, что это решение проблемы вирусов-авторанеров с флэшек и других съемных дисков.
Очень хорошо про этот скрипт и его лечение написано тут.
У меня в сети Касперский никак не реагирует на этот вирус. А мой Avast его определяет как VBS:Malware-gen.
В отличие от приведенного по ссылке описания его действий, у меня он в "Program Files" создает папку "Съемный диск" и в него помещает файл usb.wsf. В реестре прописывается в автозагрузку
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Съемный диск].
Лечение простое, если компьютер не в сети.
Как вылечить один комп можно посмотреть по ссылке выше.
Вкратце:

  1. Удаляем процесс wscript.exe
  2. Удаляем папку "Съемный диск" в "Program Files"
  3. Удаляем сами файл autorun.inf и usb.wsf в корне флэшки или сетевого диска, или вообще где их увидим 🙂
  4. Удаляем запись в реестре [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Съемный диск]

Это казалось бы всё. Но тут одно НО. Windows такая штука, что авторан всё равно не отключен и этот вирус моментально появится при открытии флэшки, например.
Поэтому надо отключить этот autorun.
Как отключить autorun я опишу в следующей записи.

Полное лечение вируса Win32.Sality.aa

В предыдущей статье Лечение вируса Win32.Sality.aa я описывал свой способ лечения этого вируса. С тех пор я выработал более универсальный способ лечения, т.к. окончательно вирус не ушел (спасибо терминальным юзерам с полным доступом к инету) и описать как искоренить эту заразу полностью!
Вирус не новый, но почему мы так плотно на него «подсели» — до сих пор не понимаю. Касперского на клиентских компах вырубает на раз, Админку Касперского на сервере — тоже. В итоге базы у юзеров не обновлялись, а вирус с серверов спокойно переходил на клиентские компы.
В общем, почитав еще несколько раз описание вируса тут, и, вооружившись всего одной утилитой SalityKiller, разработал такой алгоритм.
Читать далее Полное лечение вируса Win32.Sality.aa

Лечение вируса Win32.Sality.aa

Новый год начался весело. Проник вирус Win32.Sality.aa  по классификации AVP, он же Win32.Sector.8, Win32.Sector.8, Win32.Sector.9, Win32.Sector.10, Win32.Sector.12, Win32.Sector.17 по классификации Dr.Web.

Я не заметил каких-либо особо вредных действий этого вируса, за исключением невозможности редактирования реестра в инфицированном компьютере (regedit не запускается), а так же невозможность запуска Диспетчера задач (taskmgr.exe). Эти процессы блокируются вирусом. Подробнее о действии этого вируса можно почитать в вирусной энциклопедии Касперского (прямой линк на описание).  Методы борьбы тоже разные и их можно найти в интернете.

Я опишу свой способ.

Читать далее Лечение вируса Win32.Sality.aa