Архив метки: Лечить вирусы

Вирус заблокировал компьютер

Если вирус заблокировал компьютер с операционной системой MS Windows, первым делом надо со второго компьютера 🙂 или с компьютера друга поискать метод лечения на сайтах Касперского тут, тут, а так же тут, полезно на такие случаи иметь диск Kaspersky Rescue Disk и Kaspersky Virus Removal Tool 2011; еще обязательно надо поискать визуально картинку блокировщика на сайте Dr.Web тут.

Вирус действует путем подмены стандартной Shell или Userinit на свою в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Для этого нужно любым способом добраться до реестра своей операционной системы и установить параметрам Shell и Userinit значения explorer.exe и C:\WINDOWS\system32\userinit.exe соответственно. Вручную исправить реестр недоступной системы можно с помощью всевозможных дисков-реаниматоров, коих полно в сети.

Так же Kaspersky Rescue Disk — очень хорошее средство. Если после удаления им вируса, Windows продолжает встречать окном с сообщением об отправке СМС, значит скорее всего вирус подменил служебный файл userinit.exe. Именно такая ситуация была у меня. Помогло выкачивание этого файла из интернета и замена в нерабочей системе. Искать нужно файл из нужной вам версии Windows, а так же с нужным сервис-паком. В моем случае меня спасла статья И снова вирус просит пополнить счет, где в конце выложен файл для Windows XP SP3.

Как отключить автозапуск дисков в Windows

Как и обещал в статье о Лечение “вируса” usb.wsf опишу метод гарантированного отключения автозапуска (autorun) съемных и сетевых дисков в Windows.
Для чего это надо? Во-первых, для меня это изначально было сомнительным удобством, я бы даже сказал напрягало всегда то, что после ставки диска/флэшки появлялось окно с выбором действий или просто молча поверх остальных окон появлялось окно с содержимым диска/флэшки. Во-вторых, с появлением различных autorun-вирусов это стало реальной проблемой, особенно если есть локальная сеть.
Можно через редактор реестра, а можно через импорт в реестр этого файла.
Этот файл в реестре меняет следующие строки:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000DF

Первая строка

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"

заменяет в реестре значение файла Autorun.inf на значение «не существует» и система просто не воспринимает эти файлы.

Вторая строка

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000DF

отключает автозапуск всем дискам, кроме CD-ROM’a
Значение DF формируется из следующих данных:

0x01 (DRIVE_UNKNOWN) — привод, тип которого не может быть определен
0x02 (DRIVE_NO_ROOT_DIR) — диск с невалидным корнем (сетевые “шары”?)
0x04 (DRIVE_REMOVABLE) — съемный диск (дискеты, флешки)
0x08 (DRIVE_FIXED) — несъемный диск (жесткий диск)
0x10 (DRIVE_REMOTE) — сетевой диск
0x20 (DRIVE_CDROM) — CD-привод
0x40 (DRIVE_RAMDISK) — виртуальный диск (RAM-диск)
0x80 (DRIVE_FUTURE) — будущие типы устройств

Сумма всех этих значений равна 0xFF, но 0xFF0x20 = 0xDF и таким образом оставляем автозапуск для CD-привода.

Лечение «вируса» usb.wsf

Не знаю даже толком вирус это или нет, т.к. вредных действий не заметил за ним, но то, что он сам распространяется без спроса и трудно «выводится» в сети предприятия говорит о том, что это вирус.
автор этого скрипта утверждает, что это решение проблемы вирусов-авторанеров с флэшек и других съемных дисков.
Очень хорошо про этот скрипт и его лечение написано тут.
У меня в сети Касперский никак не реагирует на этот вирус. А мой Avast его определяет как VBS:Malware-gen.
В отличие от приведенного по ссылке описания его действий, у меня он в "Program Files" создает папку "Съемный диск" и в него помещает файл usb.wsf. В реестре прописывается в автозагрузку
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Съемный диск].
Лечение простое, если компьютер не в сети.
Как вылечить один комп можно посмотреть по ссылке выше.
Вкратце:

  1. Удаляем процесс wscript.exe
  2. Удаляем папку "Съемный диск" в "Program Files"
  3. Удаляем сами файл autorun.inf и usb.wsf в корне флэшки или сетевого диска, или вообще где их увидим 🙂
  4. Удаляем запись в реестре [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Съемный диск]

Это казалось бы всё. Но тут одно НО. Windows такая штука, что авторан всё равно не отключен и этот вирус моментально появится при открытии флэшки, например.
Поэтому надо отключить этот autorun.
Как отключить autorun я опишу в следующей записи.

Лечение вируса Win32.Sality.aa

Новый год начался весело. Проник вирус Win32.Sality.aa  по классификации AVP, он же Win32.Sector.8, Win32.Sector.8, Win32.Sector.9, Win32.Sector.10, Win32.Sector.12, Win32.Sector.17 по классификации Dr.Web.

Я не заметил каких-либо особо вредных действий этого вируса, за исключением невозможности редактирования реестра в инфицированном компьютере (regedit не запускается), а так же невозможность запуска Диспетчера задач (taskmgr.exe). Эти процессы блокируются вирусом. Подробнее о действии этого вируса можно почитать в вирусной энциклопедии Касперского (прямой линк на описание).  Методы борьбы тоже разные и их можно найти в интернете.

Я опишу свой способ.

Читать далее Лечение вируса Win32.Sality.aa