Как избавиться от вирусов

[PLAstic]

Тема посвящена практическим вопросам избавления компьютера от вирусов.
В ней собираются способы, помогающие убить всяческую заразу на компьютере.

• Обсуждение антивирусов лучше вести в соответствующем разделе.
• Способы лечения конкретных вирусов обсуждаются здесь
• Для обсуждения частного случая заражения лучше создать отдельную тему.

Предисловие читать обязательно

* Всё написанное далее является imho и основывается на моём личном опыте.
* Порядок действий может варьироваться в зависимости от настроения и образа мышления.
* AVZ - не антивирус, а утилита. Она не обеспечивает защиту, а лишь устраняет последствия. И результат её работы зависит на 90% от головы и рук сидящего перед монитором.
* Настоятельно рекомендую изучить документацию по утилите и сайт поддержки. Там действительно понятно написано множество полезных вещей.
* Исправления и дополнения принимаются.

Версия от 19.11.2008. Исправления последней версии выделяются курсивом.

Подробнее

Вирусу, как и любой другой программе, надо как-то запуститься. Способов для запуска существует много. Наша задача перво-наперво (даже на уже инфицированной машине) выкинуть из памяти вирусняк, а потом добить его тушку на жёстком диске. Очень хорошая есть софтина от SysInternals, которую купила Microsoft, - Autoruns. Она показывает достаточно много точек запуска. Но! Как всегда, круче наших не бывает и специалист по защите информации из Смоленска Зайцев Олег сваял утилиту, равной которой до сих пор нет. Итак, по порядку...
Попытаемся запустить утилиту. Несмотря на кажущуюся простоту процесса на завирусованной машине могут возникнуть сложности.
1) Если вирус перехватил файловые ассоциации, то вполне может блокировать запуск файлов *.exe . Это лечится переименованием avz.exe в avz.com. Он потеряет иконку, но останется запускаемым.
2) Вследствие популярности утилиты уже появились вирусы, которые блокируют любые операции с файлами *.avz (это базы утилиты). Тут два варианта: простой требующий инета и сложный автономный.
Простой. Качаем с сайта специальную версию AVZ, которая уже содержит в себе все файлы.
Сложный. Открываем в любом 16-ричном редакторе (в моём случае это был UltraEdit) файл avz.exe и находим там строчку .avz (она там одна). Меняем ".avz", например, на ".avv". Далее на другой машине в папке Base утилиты пишем команду (Пуск-Выполнить-cmd)

Код:

dir *.avz >c:\text.cmd

В текстовом файле получаем список всех .avz файлов. Далее из каждой строки файла делаем что-то вроде

Код:

ren имя_файла.avz имя_файла.avv

, затем запускаем. Получаем папку Base, где внутри все файлы имеют расширение .avv. Теперь можно запускать AVZ - он будет искать файлы .avv.
Для начала установим драйвер расширенного мониторинга процессов. После его установки требуется перезагрузка! В меню AVZPM - Установить драйвер расширенного мониторинга процессов. Устанавливается он один раз за всё время существования AVZ на машине. Снести его можно соседним пунктом меню. Выдержка из AVZ'овской доки про этот драйвер:

Цитата: Технология AVZPM основана на KernelMode Boot драйвере, который осуществляет слежение за запуском процессов и загрузкой драйверов.

Мной было замечено, на некоторых машинах этот драйвер определяется как устройство при следующей перезагрузке и запрашиваются драйверы. Никаких драйверов ставить не надо.
Если просто снимать подозрительные процессы, можно заметить, что в большинстве случаев они создаются заново. Чтобы не заниматься бесполезной работой, зарежем активность всех процессов. Включаем AVZ Guard в меню - AVZGuard - Включить AVZGuard. Вот что говорит стандартная AVZ'овская дока про эту фичу:

Цитата: Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера. В момент активации все приложения делятся на две категории - доверенные и недоверенные. Исходно доверенным является только AVZ.

В общих чертах, недоверенным приложениям обрубаются все действия, которые могли бы воспрепятствовать расставанию с ними. С этого момента у вас не запускаются приложения и не закрывается AVZ. Хотите его закрыть - не забудьте выключить AVZGuard.
Итак, от фоновой активности мы избавились, теперь надо проверить автозапуск - Сервис - Менеджер Автозапуска. Внимательно просматриваем строки чёрного шрифта потому, что данный переключатель у вас включен:

Цитата: Переключатель "Проверять файлы по базе безопасных файлов" - включение этого переключателя активирует проверку исполняемых файлов и DLL по базам безопасных объектов, идущим в составе AVZ. Файлы, опознанные как безопасные, выделяются при просмотре зеленым цветом.

Если найден непонятный процесс чёрного цвета - стОит проверить путь (в колонке "Файл") и точку запуска (в колонке "Описание"). У большинства процессов можно нажать кнопку на панели сверху "Заблокировать автозапуск". Отрубаем процессы таким образом. Кроме того, некоторые вирусы меняют стандартные ключи реестра на свои значения. Например, вместо запуска оболочки explorer.exe может стоять что-то иное. В этом случае при установке курсора на процесс сверху становится доступна кнопка "Восстановить значение по умолчанию". Нажав её вы вернёте ключу стандартное значение. Итак, просмотрели список, избавились от подозрительных чёрных пунктов если не удалением из списка, то деактивацией. Однако, ещё не конец - слева замечаем дерево, курсор в котором стоит на пункте "Автозапуск". Кроме него в списке ниже есть пункт WinLogon. Выбираем его и наблюдаем другой список. Тут важно не накосячить. Это дочерние процессы WinLogon, которые реагируют на определённые события. Например, на старт машины или логон пользователя. Сюда прописывается процесс klogon, принадлежащий антивирусу Касперского, который почему-то до сих пор отсутствует в базе данных и отмечен чёрным цветом. В этот список любят прописываться особо хитросделанные вирусы.
Любые процессы которые вы отключали выше я советую запоминать. Да, вот так вот после выпрыгивания из самолёта предупреждаю, что надо было надеть парашют. Так вот, если процесс стоял в автозапуске, то логично, что до сих пор он запущен. Идём в меню Сервис - Диспетчер процессов. Здесь мы видим сильно помогающее выделение цветом и обращаем пристальное внимание на процессы чёрного цвета. Когда вы ставите курсор на какой-либо процесс, в нижней части окна выводится список файлов, открытых процессом. Вредоносное ПО не всегда создаёт отдельные процессы, часто оно внедряет свои DLL в системные процессы, а в патологических случаях - во все. Посему рекомендую проверять все процессы с их содержимым. Если вы уверены, что вот этого процесса быть не должно, то на нём правый клик и "Завершить процесс". Если же в нормальном процессе обнаружен "лишний" файл, в нижней части окна на нём правый клик и "Принудительно выгрузить DLL". Кстати, в обязательном порядке выкидываем из ОЗУ те процессы, которые вы отключали в автозапуске.
Теперь у нас есть с разной долей вероятности чистое ОЗУ и можно пройтись по остальным пунктам из меню Сервис. Достаточно часто неразумные пользователи разрешают напихаться всякой гадости в расширения браузера. Выкидываем эту ватагу удальцов пунктом Сервис - Менеджер расширений IE. Просматриваем остальные пункты до "Менеджер Active Setup" включительно. Редко, но всё же иногда гадость встречается в расширениях системы печати или планировщике заданий, чуток почаще - в Downloaded Program files.
Мы вплотную подошли к запуску сканирования ОЗУ и содержимого дисков. Обращаем внимание на галку в основном окне справа вверху - "Выполнять лечение". Ставим её, отмечаем все диски, которые могут содержать вирусы. Вы не отметили флешку? Зря. Отмечаем всё, даже CD-ROM можно. Может статься, образ, который принёс Васёк Пупкин, содержит кроме полезного софта коллекцию вирусов (а такие образы, бывает, раздаются и у нас на форуме).
Заглядываем на закладку "Параметры поиска". Ставим "Эвристический анализ" на максимум, включаем "расширенный анализ", активируем блокирование работы всех руткитов. Нажимаем заветную кнопку "Пуск" и откидываемся на спинку кресла. Готовьтесь узнать о своей системе много нового.
По окончании проверки просматриваем выделенные красным строки. На Win2003 SP2 ENG я заметил такое сообщение:
Ошибка обмена с драйвером [00000002]
Без паники, это ещё не вирусы. Вот комментарий автора:

Цитата: Все нормально - так и должно быть. AVZ детектировал, что устновлен SP2 и сработала блокировка - W2K3 серверная операционка и если драйвер не тестирован в конкретной конфигурации, то он отрубается.

Ещё очень редко в списке процессов встречаются процессы красного цвета с названием "?". Этому тоже есть объяснение:

Цитата: это фича антируткита, проявляется редко ... известно, что наблюдается на ПК с установленным софтом от HP и/или Apache. Причина установлена - этот софт не закрывает некоторые свои хендлы. Результат - хендл есть, а процесса-владельца же нет, вот отсюда и реакция.

Продолжим. В большинстве случаев при проверке вирусные файлы удаляются, но иногда на них только падает подозрение (не 100%ное) и потому AVZ их оставляет. Если вы эти файлы не встречали в автозапуске, чтобы не искать, каким образом они запускаются, просто отправим их в пешее эротическое путешествие со следующей перезагрузки. В этом нам поможет пункт "Файл - Отложенное удаление файла". Вставляем в появившееся окно вместе с путём имя файла и обязательно ставим точку на "Удаление файлов и эвристическая чистка ссылок на них".

Цитата: В этом режиме кроме удаления файла производится автоматическая зачистка автозапуска и ряда ключей реестра, в которых мог быть зарегистрирован удаляемый файл (Winlogon, регистрация CLSID, расширения Internet Explorer и проводника и т.п.). Подобная очистка производится автоматически и делает удаление более корректным.

Иногда можно встретить надписи типа

Код:

1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = F9805ED5 -> Avw75.sys

Чтобы не маяться с поиском, где же находится этот файл, выбирайте пункт меню "Файл - Просмотр списка подозрительных объектов". Там будут показаны все подозрительные файлы и тут же можно выполнить со всеми ними действия вроде "Отложенное удаление файла" с предварительным копированием в карантин для истории.
При диагностике памяти встречаются сообщения, что операция работы с жёстким диском (точный текст сообщения я постараюсь найти), а точнее, NTFS или FastFat перехвачены. На текущий момент мне неизвестны способы лечения этой заразы из заражённой системы, т.к. это драйверы ядра и убить их из рабочей системы никак не получается. Остаётся грузиться с liveCD и убивать указанный файл ручками. Убиваются они без последствий.

Теперь пройдёмся ещё по драйверам и службам. Часто встречаю, что вирусы запускаются через свои установленные драйверы или службы. Чтобы избавиться от них, просматриваем списки запущённых служб и драйверов в меню "Сервис - Диспетчер служб и драйверов". Вредоносные драйверы встречаются намного чаще служб. Перед удалением обращаем внимание на путь, где находится файл. Отмечу, что sptd - драйвер от Daemon Tools, а kl1 и klif являются драйверами антивируса Касперского и удалять их нежелательно.

Напоследок осталось заглянуть в меню "Файл - Восстановление системы" и удивиться доступным процедурам. Здесь собраны основные скрипты для устранения негативных последствий от действий вирусного ПО на систему. Особо много жертв на счету этих пунктов

1.Восстановление параметров запуска .exe, .com, .pif файлов
Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.

2.Сброс настроек префиксов протоколов Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer

3.Восстановление стартовой страницы Internet Explorer
Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer

4.Сброс настроек поиска Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки поиска в Internet Explorer

5.Восстановление настроек рабочего стола
Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesktop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.

6.Удаление всех Policies (ограничений) текущего пользователя
Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.

8.Восстановление настроек проводника
Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).

9.Удаление отладчиков системных процессов
Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ

10.Восстановление настроек загрузки в SafeMode
Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.

11.Разблокировка диспетчера задач
Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.

13. Очистка файла Hosts
Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".

16. Восстановление ключа запуска Explorer
Восстанавливает системные ключи реестра, отвечающие за запуск проводника.

17. Разблокировка редактора реестра
Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.

После выполнения скриптов можно перегрузиться, а затем контрольный выстрел в тушки вирусов повторной проверкой всех точек запуска и содержимого ОЗУ и дисков.
Перезагрузку выполняем так:

Цитата: В случае, если проводилось лечение системы, необходимо перезагрузиться не выключая AVZGuard. Это важный момент, связанный с тем, что в системе после лечения могут быть загружены вредоносные DLL, будут продолжать работу троянские процессы и т.п.

Т.е. перегружаемся не выключая AVZ. Завершаем приложение по запросу системы.

Открыт специализированный раздел
Лечение систем от вредоносных программ

[desa]

Открыт специализированный раздел
Лечение систем от вредоносных программ

[PLAstic]

В лечении всегда исходим из того, чтобы использовать минимум предустановленных софтин или дополнительных дисков. Ни того, ни другого как правило под рукой нет, надо быстро вылечить вирус. Итак...

Принесли ноут с экраном "Ваш компьютер заблокирован за просмотр копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми".
Вирусня элементарно лечится на Win7/Win2008, даже скрины не надо.
Нажимаем CTRL-ALT-DEL на экране с вирусным уведомлением. Внизу слева видим значок для инвалидов. Что делается по нажатию на него? Жать не надо, это риторический вопрос. Запускается utilman.exe из %systemroot%\system32. Мы не инвалиды, нам надо вирус убить - загружаемся с liveCD, переименовываем старый utilman.exe в utilman.exe.old, а cmd.exe (лежит там же) копируем и копию переименовываем в utilman.exe .
Теперь у нас есть возможность вызывать cmd с правами администратора на экране приветствия. Зачем? Вставляем флешку с AVZ и через "Сервис-Менеджер автозапуска" убиваем все элементы автозапуска, что нам не нужны. Если нет AVZ, то убивать можно руками, но надо знать, что. Для возможности загрузки в моём случае было достаточно убить файл 22CC6C32.exe из ProgrammData.