Основан 26 Июля 2013 года
freehacks.ru fhacks.me fhacks.pw fhacksnplmzxaaoo.onion

Показано с 1 по 2 из 2
  1. #1
    TopicStarter
    Заблокирован по собственному желанию
    Аватар для S3ct0r

    Статус
    Offline
    Регистрация
    30.03.2014
    Сообщений
    459
    Репутация
    202 + / -
    Другое

    Faq о том, как лечить вирусы и трояны

    FAQ о том, как лечить вирусы и трояны

    Прошу заметить, что инструкция универсальная, не для конкретного виря, а в общем и написана для новичков !

    как правильно лечить вирусы (без переустановки винды)

    1. отключить комп от сети (иногда программно сеть не тушится - выдернуть шнурок Ethernet)

    2. спомошью Autoruns & Process Explorer убрать лишние процесcы из памяти + всякую дрянь из автозапуска (просто снять галки со всего кроме userinit, exploer, ctfmon)

    3. не перезагружаемся! включаем систему восстановления (если была отключена) только на системном разделе. вручную создаем точку отката - нам важно сохранить реестр

    4. запустить AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17. выполняем. не перезагружаемся.

    5. скачать, прожечь на болванку WinPEmini, загрузится с компакта (если винт SATA - либо отключить AHCI либо юзать Alkid liveCD)

    6. на всех дисках вычистить все точки отката (System Volume Information) кроме 2-3х последних

    7. вручную почистить темпа (папки временных файлов)
    %temp%
    C:\Documents and Setting\имя_учетки\Local Settings\Temp и Temporarly Internet Files

    8. из-под WinPEmini запустить полную проверку CureIt'ом [Только зарегистрированные могут видеть это. ] ехе'шник launch.exe можно распаковать в отдельную папку и запускать _start.exe

    9. важно!!! по окончанию сканирования не спешить перезагружатся! нужно выписать на листик список удаленных екзешников и дллок из папки Windows & Windows\system32 (на тот случай если были покоцаны/заражены системные файлы и кюреит их снес - винда не загрузится)

    10. сравниваем список удаленных с dllcache. если надо - сразу из-под лайвСД перекидываем из кеша в system32

    11. после зачистки пытаемся грузится в "Безопасном режиме"
    - если грузится запускаем TrojanRemover - [Только зарегистрированные могут видеть это. ]
    чтобы нейтрализовать остаточное действие троянов и мусор, который остался после троянов и их удаления

    - если не грузится, вспоминаем про такую вещь, как ERDCommander (поднятие винды это уже отдельная тема)

    12. грузимся в обычном режиме и сносим пробитую защиту, смотрим евентлог, ставим заплаты



    Реестр
    Если после лечения ось грузится, но панель задач не подгружается и виден лишь фон рабочего стола...
    Ctrl+Alt+Del (Ctrl+Shift+Esc) -> новая задача (Выполнить) -> regedit ->
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Image File Execution Options\
    в этом разделе ищем куст explorer.exe, выделяем, в правой части окна появится параметр
    Debugger (C:\Program Files\Microsoft\Common\wuauclt.exe)
    Удаляем этот параметр, закрываем regedit, вновь запускаем диспетчер задач и запускаем explorer. Кроме того, после зачистки или в процесе (если скан из-под лайвСД по тех. причинам не возможен)

    Советую обратить внимание на следующие кусты реестра:
    из-под alkid live cd проверь кусты реестра, отвечающие за шелл и автозагрузку

    HKEY_LOCAL_MASHINE\Software\Microsoft\Windows NT\Currentversion\Image File Execution Options
    - ищи "папочку" с названием explorer.exe, выдели его, в правой части окна будет ключ "Debugging options" или "Debug" -> выдели его ни нажми Del

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    * shell должен быть просто Explorer.exe без префиксов и добавок вроде csrsc и т.д.

    Кроме того, в процессе зачистки очередного компа был найден мутировавший вариант авторана, который прописывал вместо шелла ахинею в другом ключе реестра
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo2
    если такой раздел (я имею ввиду "винлого2") существует - найти там параметр shell и удостовериться что он равен explorer.exe

    также проверить записи в кустах
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

    по колдуй с реестром:

    1. скопируй в отдельную папку текущий реестр
    (C:\Windows\system32\config
    файлы без расширения
    default
    sam
    security
    software
    system)

    2. замени текущий реестр тем что находиться в папке
    C:\Windows\Repair
    - загрузиться голая винда(!), это реестр на момент установки
    сделай sfc /scannow
    чтобы восстановить системные файлы, потом из-под лайв СД
    опять верни рабочий реестр и пробуй грузиться



    После чистки рекомендуется:
    - Пуск -> Выполнить -> sfc /scannow

    - CCleaner [Только зарегистрированные могут видеть это. ]

    - бекап данных

    - юзанье Opera / FireFox вместо IE

    - отключения авторана (актуально для флешей)

    - здравый смысл, т.е. использовать посленюю версию антивиря и обновлять его

    - не лазить по порно/варез/мусорным сайтам


    Как бы я лечил компы в малой сети (фирма 10-15 компов в одной рабочей группе)

    1. по-одной отключать тачки от сети (физически выдергивая еcернетовский шнурок)

    2. Autoruns & Process Explorer - убрать лишнее из оперативки и автозагрузки (чтоб потом не ругалось)

    3. AVZ -> Файл -> Восстановление системы -> выбираем пункты 1-4, 6, 8-13, 16-17

    4. грузится из-под LiveCD (Mini XP/WinPE mini) и килять темпа+откаты, после полный скан CureIt'ом
    (!) есть одна маленькая особенность - чтобы запустить Cureit нужно его екзешник (launch.exe) распаковать в отдельную папку и уже из этой папки запускать файлик _start.exe

    5. после этого в SafeMode запустить KidoKiller, после него TrojanRemover

    6. загрузится в нормальном, каспер снести нафиг, поставить заплаты от кидо (линки смотри ниже)

    7. если нужно - дополнительно профиксить систему Hijack This

    8. проверить нормально ли функционируют службы винды (services.msc) и нет ли ошибок в евентлоге (eventvwr.msc)

    9. поставить нормальный антивирь. если инет не идет через сервер/шлюз - также поставить фаервол (EAV v 4.0.417 + Outpost 2009 либо ESS)

    10. (!) только после выполнения предведущих пунктов комп можно пустить в сеть/инет

    11. если возникнут проблемы со стеком TCP/IP - профиксить WinsockXPFix

    12. (!) отбить руки тем кто пользуется IE и отключить автозапуск с флешей и сетевых дисков

    13. убить админа который допустил разгул вирей!
    Последний раз редактировалось S3ct0r; 27.04.2014 в 03:27.

  2. 4 пользователя(ей) сказали cпасибо:
  3. #2
    Аватар для tyman

    Статус
    Offline
    Регистрация
    12.09.2013
    Сообщений
    310
    Репутация
    78 + / -
    Хакинг
    У меня был интересный вирус
    При закрытии процесса выдавал экран смерти
    При убирании из автозагрузки - экран смерти
    При удалении - экран смерти
    При запуске безопасного режима - экран смерти.
    Через другую винду удалил.
    .|.

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.