Вернуться   GraBBerZ.CoM - ICQ | Proxy | Бруты | Дедики | Эксплоиты > Дополнительные разделы > Вопрос-Ответ

Закрытая тема
 
Опции темы Опции просмотра

"помогите, у меня вирус!" первые действия.
Старый 31.03.2010, 20:21   #1
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,973
Восклицание

"помогите, у меня вирус!" первые действия.

И так. Все чаще топики с просьбами о помощи в лечении вирусов стали создавать именно в этом разделе, а не в специально отведенной теме (ссылка у меня в подписи).
Решил набросать краткую инструкцию, чтобы процесс лечения проходил быстрее и эффективней.

Для начала попробуйте полечиться утилитами:

Cпособы ниже расчитаны на такие случаи, когда антивирус не может обнаружить вредносное ПО в системе или же антивирусы блокируются этим самым вредоносным ПО. Чаще всего такие ситуации случаются при заражении так называемыми "блокираторами системы" и "порно баннерами".

Для начала скачиваем две утилиты:

HijackThis и AVZ.

Запускать их необходимо из под администраторской учетки. А в OCях Windows Vista и Windows 7 нужно щелкнуть правой кнопкой на иконку программы и выбрать пункт "Запуск от имени Администратора"


Начнем с AVZ.
Обе они портативные и не требуют установки, разве что AVZ желательно обновить Файл -> Обновление баз:


Обновились, идем дальше. Щелкаем "Файл" -> "Стандартные скрипты", ставим галочку на Скрипт сбора информации для раздела "Помогите!" virusinfo.info и нажимаем "Выполнить отмеченные скрипты":
После завершения автоматического сканирования и исследования системы архив virusinfo_syscheck.zip будет сохранен в директории AVZ в папке "LOG". Его и нужно будет выложить на форум, чтобы мы могли его проанализировать. Средний вес архива ~40-60 кб.

Возможно в ответ на ваш лог Вас попросят выполнить определенный скрипт.
В таком случае в AVZ идем в "Файл"->"Выполнить скрипт"
Вводим туда код скрипта и нажимаем "Запустить".

Дальнейшие инструкции по обстоятельствам, возможно процедуру создания отчета придется повторить.

Переходим к HijackThis. Эту утилиту так же следует запускать под администраторской учетной записью
Запускаем программу, на вопрос о лицензии жмем "I Accept" и нажимаем вариант "Do a system scan and save a logfile"


Спустя некоторое время программа откроет текстовый файл, это и есть необходимый лог. Средний вес лога hijackthis.log менее 10 кб.
Файл создается в папке с самой программой. Содержимое файла можно запихнуть в тег [code] или приаттачить сам файл к сообщению.
После анализа логов HijackThis, Вас, возможно, попросят пофиксить что-либо. Делается это следующим образом:
Открываем программу заново, выбираем вариант "Do a system scan only"

ждем завершения сканирования и выставляем галочки напротив тех элементов, которые следует "пофиксить", тобишь удалить.



Возможно вас попросят повторить процедуру создания логов.

Так же вы сможете сами произвести автоматический анализ логов на сайте оф.сайте http://hijackthis.de/. Довольно надежная база, когда под рукой нет знающего человека - вполне подойдет.

В общем-то этого достаточно для дифф-диагноза. Остальные действия по обстоятельствам, просто без этого разобраться будет намного сложнее, так как названия вирусов по номенклатуре лабораторий не всегда отражают суть мальвари.
__________________________________________________ __________________________________________________ ______________

Внимание! Если вирус блокирует попытки запуска этих программ, то придется воспользоваться зашифрованными версиями.

Переименованный HijackThis
Полиморфный AVZ (без возможности обновления баз)

__________________________________________________ __________________________________________________ ______________

Этот топик я специально закрыл, так как тема для лечения заражений уже есть. Отчеты и суть проблемы постить нужно будет туда.
Обсуждения и свои находки так же в ту тему.

После того, как вы выполнили эти действия можете идти и смело выкладывать логи и симптомы в эту тему:
http://grabberz.com/showthread.php?t=22098
__________________
onthar@fuckav.in
 
Респектов за этот пост: 17

Генераторы ключей для разблокировки винлокера и банеров
Старый 02.04.2010, 12:28   #2
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,973
Стрелка Генераторы ключей для разблокировки винлокера и банеров

В случае заражения порно-баннером или блокиратором системы, рекомендую использовать сервисы генерации ключей:

Внимание! Даже верно указанный ключ не удаляет вирус из системы, а только временно, как правило, убирает баннер.
__________________
onthar@fuckav.in
 
Респектов за этот пост: 6

Портативные утилиты для оперативного лечения инфекций.
Старый 02.04.2010, 12:30   #3
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,973
Стрелка Портативные утилиты для оперативного лечения инфекций.

После удаления банера или первых симптомов, блокирующих нормальную работу компьютера или антивируса, необходимо все таки удалить вредоносов из системы.
Можно сделать это способом из первого поста, а можно портативной антивирусной утилитой.

Самые известные и мощные из них это:

  • Cureit! от Dr.Web - Не является полноценным антивирусом, но вполне пригоден для быстрого и эффективного лечения систем, зараженных Winlocker. Против этого семейства довольно эффективен.
  • AVPTool от Лаборатории Касперского - Тяжелый комплекс антивируса касперского с мощным эвристическим анализатором и сигнатурной базой от полной версии + верной утилиты AVZ. Весит много ~70мб, но является очень мощным инструментом в экстренном лечении.
  • Stinger от McAfee - особенно хорош от троянов семейства Virut, Kido, Waledac, Fakealert.
  • Vba32Check - Довольно качественный белорусский продукт тоже решил представить портативную версию, в которую входят: Консольный сканер, Антируткит Vba32 AntiRootkit, Набор заранее определенных задач, которые помогут пользователю в решении часто встречаемых проблем. Отзывы неплохие, в "бою" не проверял.
  • Norman Malware Cleaner - Утилита с достаточно большой и весьма актуальной базой троянцев. Обновление - раз в сутки. Больше информации тут.


Последний образец не требует регулярного обновления, но вот первые два нужно скачивать заново при каждом лечении/сканировании, для повышения эффективности, хотя бы раз в день. Базы пополняются до 15 раз в сутки, поэтому и актуальность может быть сомнительна.

Главное их достоинство, что никаких настроек не требуется, и даже неопытный пользователь сможет провести сканирование. Дефолтных настроек вполне достаточно. Для специалистов, в AVPTool, конечно, были встроены расширенные настройки, но это другая история.

Так же существуют специализированные утилиты от определенных вирусов. Ознакомиться можно по следующим ссылкам:
  • Bitdefender - к сожалению не самые новые образцы, но в свое время очень помогали с Brontok, Pollip, Sality, Netsky.
  • Kaspersky Labs - Описания приведены на сайте, постоянно обновляемые программы для лечения и удаления последствий самых распространенных семейств вирусов, таких как Kido, TDSSKiller, Zbot, Sality, Sinowal, Ransom и других..
  • Dr.Web - Ориентированны на семейства Encoder, Winlocker, Plastix. Вполне неплохие результаты.
  • Eset Nod 32 Так же предлагают набор утилит для лечения конкретных вирусов. База скудная, хуже чем у Bitdefender, но пригодиться может.
  • McAfee antimalware tools - Набор очень мощных утилит от McAfee анподобие стингера, только заточенных под конкретные вирусы. Борется с семействами Kido, Fakealert, Aurora-эксплойты, PWS-Banker, Polip и другие.
  • Norman Support tools - Утилиты для лечения вирусов семейств Vundu, TDSS, Sinowal. А так же несколько утилит для пользователей антивирусного пакета этой компании.
  • Avg Free Virus Removal Tools - Актуальные утилиты от новых вирусов, таких как Sality, Virut.
  • Panda Security Repair Utilities - Большой выбор противомер от актуальных вирусов и модификаций.
__________________
onthar@fuckav.in
 
Респектов за этот пост: 10

Заблокирован контакт, не заходит на сайты антивирусных компаний.
Старый 15.04.2010, 18:47   #4
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,973
Заблокирован контакт, не заходит на сайты антивирусных компаний.

Иногда бывает, что вирус блокирует доступ к каким-либо ресурсам интернета, например веб-страницы антивирусных компаний, социальные сети, почтовые сервера и прочее..

Или не блокирует, а переадресовывает на так называемый "фейк" - поддельную страницу, созданную с целью обманным путем получить ваши личные данные, пароли или другую конфиденциальную информацию.

Если ресурс блокируется не на уровне фильтрации трафика или сетевого драйвера, то это легко излечимо.

Открываем текстовый редактор, тот же блокнот к примеру, под администраторской учеткой.
Для windows vista и windows 7 для этого нужно в меню "Пуск" перейти во Все Программы => Стандартные => Блокнот, щелкнуть правой кнопкой мши на "Блокноте" и выбрать пункт "Запуск от имени администратора"


Далее открываем файл по следующему пути:
С:\Windows\system32\drivers\etc\hosts


Видим следующее:
Код:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host


127.0.0.1	localhost
::1		localhost
Это хост-файл здоровой системы, если ниже строки 127.0.0.1 localhost что-то находится - можно смело удалять, возможно это и есть тот самый редиррект на фейк или "мертвую" страницу, для блокировки получения контента.

После чистки сохраняем файл и работаем с компьютером дальше.

Не забывайте, чистка hosts-файла - не лечение системы от вирусов, а всего лишь нейтрализация симптомов. Для лечения используйте антивирус или способ из первого поста.

так же советую прочитать этот крайне занимательный пост на хабре:
http://bita.habrahabr.ru/blog/73219/
__________________
onthar@fuckav.in
 
Респектов за этот пост: 9

Старый 26.09.2010, 14:06   #5
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,973
Иногда бывает, что оригинальный файл hosts, по адресу ../system32/drivers/etc, чист от лишних записей, а редиректы все равно идут.
Рассмотрим больше способов подмены.

Местоположение файла HOSTS
В реестре можно изменить адрес настоящего файла hosts. Проверить это можно обратившись в реестр:
Код:
DataBasePath ветки HKLM\System\ControlSet001\Services\tcpip\parameters (лучше посмотреть все ветки, начиная с CurrentControlSet и до ControlSet001/N)

На скрине приведен пример нахождения hosts по адресу C:\Windows\NSDB


В оригинале должно стоять %SystemRoot%\System32\drivers\etc

Настройки DNS-серверов

Для переадресации злоумышленник так же может поменять в реестре настройки dns-серверов, используемых системой.
Пример:


Для получения информации следует ввести в командной строке
Код:
ipconfig /all
Восстанавливается путем правки реестра
Код:
HKLM\System\ControlSet001\Services\tcpip\parameters

Правильные настройки лучше всего узнать в службе технической поддержки своего провайдера.

Замена маршрутов

Тут все просто, по умолчанию в реестре по адресу
Код:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
ичего лишнего быть не должно.
__________________
onthar@fuckav.in
 
Респектов за этот пост: 8

Старый 26.09.2010, 16:17   #6
Перезагрузка
 
Аватар для onthar
 
onthar вне форума
Регистрация: 02.06.2008
Сообщений: 6,075
Респекты: 8,973
Часто вирусы блокируют доступ к таким системным программам, как
  • Редактор реестра - regedit
  • Диспетчер задач - taskmgr
  • Командная строка - cmd
В таких случаях может помочь программа RegComTas EnableR.
__________________
onthar@fuckav.in
 
Респектов за этот пост: 9
Закрытая тема

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Быстрый переход



Время: 19:29



Powered by vBulletin® Version 3.7.6
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot