Клуб экспертов THG.ru

Клуб экспертов THG.ru (http://www.thg.ru/forum/index.php)
-   Антивирусная защита, Malware (вредоносное ПО) (http://www.thg.ru/forum/forumdisplay.php?f=95)
-   -   Ликвидация последствий вирусного заражения... (http://www.thg.ru/forum/showthread.php?t=65749)

D'Dragon 15.07.2009 13:18

Ликвидация последствий вирусного заражения...
 
Вложений: 2
Вылечить ПК от вирусов не сложно... Но часто даже после удаления вирусов их следы остаются (не отображаются скрытые файлы, не запускается msconfig и т.д.)

Тут я постараюсь рассказать, как восстановить самые часто слетающие функции:
1. Не отображаются скрытые файлы в проводнике - для исправления скачайте Вложение 19614 распокуйте и запустите reg файл или ручками:
Создайте текстовый документ и скопируйте туда:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

смените расширение с .txt на .reg и запустите его...

2. Не работает Ctrl+Alt+Delete
Пуск – Выполнить - Вводите gpedit.msc и жмете ОК. Далее "Конфигурация пользователя" - "Административные шаблоны" - "Система" - "Возможности Ctrl+Alt+Del" - "Удалить диспетчер задач" в свойствах "Не задан"...
Так же можно попробывать запустить Process Explorer и в Options нажать Replace Task Manager.
3. Не работает msconfig, cmd, regedit (или Windows выдаёт при загрузке: ошибка, не найден файл)
Качаем Autoruns (~600кб) запускаем и ищем то, что не работает. Примерно так это будет выглядеть:

Снимаем галочки с этих файлов.

4. Не работает инет (не заходит на какме-то сайты или идёт перенаправление на другие сайты):
1. Файл hosts (...\WINDOWS\system32\drivers\etc):
Кроме строк начинающихся с # и 127.0.0.1 localhost других строк быть не должно... Пример...
Смотреть обязательно с отображением скрытых файлов, т.к. вирус обычно его подменяет скрытым файлом... Если нашли др строки или файлов hosts несколько, можно их удалить ОС потом восстановит (после перезагрузки)
2. Proxy 127.0.0.1, некоторые вирусы прописывают 127.0.0.1 как прокси и программы обращаются как бы к ПК на котором запущены соответственно инета нет, увидеть это проще всего если при запуске Opera не отображает станицу и пишет "Прокси сервер..." тогда делаем так:
Панель управления - Свойства обозревателя - Подключения - Настройка LAN - Использовать прокси-сервер для подключений LAN (галочку убрать).
3. Пуск - выполнить - cmd введите route -f (Очищает таблицу маршрутизации) (Спасибо Cat_Empire помогло для восстановления доступа к антивирусным сайтам) затем netsh winsock reset (сброс настроек и восстановление первоначальной конфигурации LSP Winsock) и перезагрузите ПК.
4. Почистите cookies - CCleaner, либо если пользуетесь Opera Инструменты - Удалить личные данные...

5. Если после удаления вирусов не заходит на диск C:\ (или любой др диск), можно зайти, прописав в адресной строке C:\ или Far-ом, после этого нужно удалить autorun.inf в корне диска...

6. Вирус скрыл папки и нет доступа к атрибуту "Скрытый" галочка серая, нужно запустить bat файл Вложение 19615 в корне диска где скрыты файлы или ручками:
Создайте текстовый документ и скопируйте туда:
@echo off
mode con codepage select=1251 > nul
echo Please wait...
attrib -s -h -r -a /s /d

смените расширение с .txt на .bat и запустите его в корне диска где скрыты файлы...


И пара общих советов, если ПК грузится, но на "рабочем столе" пусто, можно попробовать нажать Ctrl+Alt+Del и зайти в Диспетчер задач - Файл - Выполнить... (зайти C:\WINDOWS и вручную запустить explorer.exe)...

Если стандартными средствами удалить вирус не получается, можно попробовать удалить его Unlocker-ом...

Если восстановить отображение скрытых файлов не удалось, их можно увидеть FAR Manager-ом...

Для убийства "самовосстанавливающихся" вирусов (когда 2 или 3-и процесса и при убийстве одного другой его заново запускает и так их можно убивать по очереди до бесконечности), можно воспользоваться программой Process Explorer, убив каждый процес по разу так чтобы все были запущены от 1 процесса (будет 1 процес + слева и под ним др процессы), кликнуть на "главный" процес 2-ой кнопкой затем Kill Process Tree, вся ветка процессов будет убита и вирус себя не сможет восстановить...

Проверить есть ли на ПК вирус (не 100%, но как быстрый вариант) можно: вставить пустую флэшку, зайти на неё двойным кликом, извлечь её, снова вставить и посмотреть на неё Far-ом, если появился файл autorun.inf, то удалить его, снова зайти на флешку, извлечь её, снова вставить, если autorun.inf снова появился, то ПК заражен...

P.S. Если есть что дополнить или возникли вопросы, пишите. :) (флуд очень не приветствуется;))

HotBeer 24.07.2009 07:14

..в продолжении тематики...
Вообщем очередной блокирующий винду вирь, представляется как будто это "касперский" и предлагает вылечить потенциально находящийся в системе вирус, отправив очередное смс.
Естесственно никакие ctrl+ald+delete не работают, проводник не запускается.

Опишу способ как избавиться вручную, ни чего даже не скачивая с интернета.

Вообщем данный вирус не позволяет в принципе и загрузиться и в безопасном режиме. Но все таки вчера нашел способ.

Заходим в безопасный режим под тем пользователем, что заразились ctrl+ald+delete вообщем ни как не срабатывает.
А если зайти под другим, или глобальным локальным администратором, то при нажатия ctrl+ald+delete на пару секунд появляется диспетчер устройств, в котором во вкладке приложения запущена одна служба rd.exe или rp.exe, которая и блокирует винду и дает картинку, типа желания "помочь" отправив смс.
После в нем же диспетчере, после гашения службы он не пропадает, нажимает добавить задачу explorer.exe открывается всеми знакомый проводник.

Чистим на всех разделов файлы в корне каждого autorun.inf и md.exe (судя по названию make dir (создает где то директорию).
После в папке Documents and Settings в папках всех пользователей чистим файлы в temp'ах setup.exe (одинокий файл).
Далее в папке %windir%\system32\ удаляем файл user32.exe

После всего выше переделанного, windows у меня спокойно загрузился....профилактическая проверка всей системы обновленным антивирусом и все вуаля.

Gore 07.03.2010 02:11

1. Связка: Касперский+Unlocker позволяет обойтись без перезагрузки винды (когда антивирус в отчете пишет вроде этого: autoit.xx.xx - будет удален при перезагрузке), вместо ребута удаляем вирус Unlocker-ом (название файла и путь к нему Касперский указывает, его и удаляем).
2. Быстрый способ проверки наличия вируса без манипуляции с флешкой (не 100%) - установить 'Prio' (для Win XP, не знаю есть ли версии для других систем), одна из функций этой надстройки для диспетчера задач - при наведении курсора на процесс показывать в всплывающем окне информацию о процессе (данные цифровой подписи, дата изготовления и версия, используемые процессом службы), если нет подписи Microsoft и никаких служб процесс не использует, в режиме простоя компьютера, то 90%, что этот процесс инициирован вирусом.

Cat_Empire 08.06.2010 21:24

а можно дополнить?

сегодня столкнулся с такой проблемой: после вычищения ПК от вирусов пропал доступ на некоторые сайты. то есть интернет есть, на мэйл\яндекс заходит а вот на гугл нет, и обновления NOD32 не качаются..

оказалось вирус отредактировал таблицу IP-маршрутизации и запросы на ip адреса некоторых сайтов (в основном антивирусных) уходили в неизвестном направлении.

решение проблемы:
в командной строке пишем route print должно получиться что-то типа этого. Смотрим активные\пассивные маршруты, сетевых адресов должно быть примерно столько же сколько на картинке. Если слишком много то очищаем всё ненужное, либо ветка реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\Tcpip\Parameters\PersistentRoutes. Смотрим, удаляем в ручную.

Подробное описание команды route

Brat 09.06.2010 09:51

Цитата:

Сообщение от Cat_Empire (Сообщение 934496)
оказалось вирус отредактировал таблицу IP-маршрутизации

Хм... не перемудрили? Вообще-то это решается возвращением девственного вида файлу hosts (открывается Блокнотом) по пути C:\WINDOWS\system32\drivers\etc
Когда он еще сохранил невинность, он должен выглядеть так:
Цитата:

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost
(скопировано со своей машины, закомментированные строки можно убрать)

Cat_Empire 09.06.2010 17:51

нет, не перемудрил. с файлом hosts всё было в порядке. я первым делом его проверял.

HotBeer 30.11.2010 08:44

Последствия вирусного лечения :)
Сегодня прогнал комп антивирусником, даже не посмотрел, что там около 15 зараженных файлов ~5 разными вредителями.
После перезагрузки, висит курсор мыши и всё.
Выход ctrl+alt+del -> Диспетчер задач -> Новая задача -> Explorer.exe
Но оболочка всё равно не загрузилась.
После убиЕния лишнего svhosts, операционка загрузилась в полном виде.

rhemorha 14.11.2012 10:03

Народ привет.

Короче такая хрень просочилась ко мне под названием Webalta.ru.
Дело в том, что эта хрень при запуске Лисицы выскакивает постоянно. Пытался ее убрать из стартовых, но ее там нет. Реестре находил и удалял все связанное с ней и ничего. Короче поисковик-троян что-ли. Не лечится ничем.

Не знаю откуда подцепил. Грешу, что с чем-то установил последнее из установленных был Dishonored пиратский.

Как его убрать вообще. Просто постоянно с браузером лезит как главная.

Читал много форумов и все делал, но толку. (think)

regist 22.05.2015 10:59

Для лечения вирусов и удаления хвостов вирусов, просьба обращаться в раздел Лечение компьютерных вирусов.
Тема закрыта.


Часовой пояс GMT +4, время: 13:13.

Работает на vBulletin® версия 3.6.10.
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Перевод: zCarot