Главная
Форум
Регистрация
Гостевая книга
Поиск
Пользователи
Файлы
Профиль
Выход
Новые сообщения · Участники · Правила форума · Поиск · RSS
Страница 1 из 11
Форум » Underground » Статьи » Как устранить последствия некоторых вирусных атак?
Как устранить последствия некоторых вирусных атак?
-=xVx=-Дата: Понедельник, 20.07.2009, 17:56 | Сообщение # 1
Админ :)
Сообщений: 107
Репутация: 0
Как устранить последствия некоторых вирусных атак?

***

И сказал вирусописатель вирусам: «Плодитесь и размножайтесь!..».

(Компьютерные байки)

Вирусы становятся всё изощреннее, – теперь они, к примеру, не только портят какие-либо определенные файлы, но и изменяют системные настройки и т.д. и т.п. Поэтому даже после лечения зараженного компьютера остаются всевозможные проблемы, например, не открывается флешка (или локальный диск), не открываются какие-либо файлы, некорректно работают некоторые программы…

К сожалению, антивирусы, вылечив ПК, не могут восстановить нарушенные вирусами программные и системные настройки.

Радикальный метод – форматирование винчестера и переустановка операционной системы – не всегда приемлем в силу различных причин.

В таких случаях остается один выход – восстанавливать всё вручную.

1. Если вы не можете запустить Диспетчер задач, см. Что делать, если появляется сообщение «Диспетчер задач отключен администратором»?.

2. Если пункт меню Свойства папки недоступен, см. Что делать, если недоступен пункт меню «Свойства папки»?.

3. Если вы не можете запустить Редактор реестра Windows, см. Что делать, если появляется сообщение «Редактирование реестра запрещено администратором системы»?.

4. Если вы не можете открыть флешку, см. Что делать, если после лечения от вирусов не открывается флешка?.

5. Если вы не можете запустить Проводник Windows (как правило, в этом случае – еще при запуске ОС – появляется сообщение об ошибке, что не найден какой-то файл), это означает, что вирус «прописал» себя вместо Explorer.exe.

Запустите Редактор реестра Windows: нажмите Пуск –> Выполнить… –> regedit –> OK;

– найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– исправьте значение строкового параметра Shell на Explorer.exe

6. Если вы не можете запустить никакие исполняемые (exe-файлы), найдите в Реестре раздел [HKEY_CLASSES_ROOT\exefile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*

7. Если вы не можете запустить com-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\comfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*

8. Если вы не можете запустить bat-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\batfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*

9. Если вы не можете запустить cmd-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\cmdfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*

10. Если вы не можете запустить pif-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\piffile\shell\open\command] и исправьте значение строкового параметра по умолчанию на "%1" %*

11. Если вы не можете запустить Internet Explorer, найдите в Реестре раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\i explore.exe\shell\open\command] и исправьте значение строкового параметра по умолчанию на "C:\Program Files\Internet Explorer\iexplore.exe" %1

Вирусы часто «молотят» под системные файлы, например, вместо iexplore.exe может появиться зараженный файл 1explore.exe.

12. Если вы не можете запустить txt-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\txtfile\shell\open\command] и исправьте значение расширяемого строкового параметра по умолчанию на %SystemRoot%\system32\NOTEPAD.EXE %1

13. Если вы не можете запустить reg-файлы, найдите в Реестре раздел [HKEY_CLASSES_ROOT\regfile\shell\open\command] и исправьте значение строкового параметра по умолчанию на regedit.exe "%1"

14. Если у вас начались проблемы с установкой программ, найдите в Реестре раздел [HKEY_CLASSES_ROOT\Msi.Package\shell\Open\command] и исправьте значение расширяемого строкового параметра по умолчанию на "%SystemRoot%\System32\msiexec.exe" /i "%1" %*

15. Если у вас начались проблемы с унинсталляцией (удалением) программ, найдите в Реестре раздел [HKEY_CLASSES_ROOT\Msi.Package\shell\Uninstall\comm and] и исправьте значение расширяемого строкового параметра по умолчанию на "%SystemRoot%\System32\msiexec.exe" /x "%1" %*

Внимание!

1. Будьте осторожны при манипуляциях с Реестром (см. Что такое Реестр Windows?)! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Рекомендации данной статьи предназначены для ОС Windows 2000/XP/2003/Vista, для Windows 95/98/Me будут незначительные отличия.

--------
ПК не грузится..

Симптомы заражения: компьютер загрузить не удается – каждый раз дело доходит до «приветствия», и ПК «уходит» на перезагрузку, – и так – по кругу.

При попытке загрузить ПК в Безопасном Режиме (Safe Mode) оказывается, что все учетные записи, доступные в Безопасном Режиме (в том числе, встроенная учетная запись Администратора), «запаролены» вирусом.

Как лечить

Можно снять винчестер и подключить к другому ПК с надежным антивирусом. Но, пролечив таким образом винчестер, работоспособность ПК мы не восстановим, т.к. останутся записи вируса в Реестре Windows.

Поэтому воспользуемся загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите свою ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);

– найдите и удалите следующие файлы (как правило, имеют атрибуты Скрытый, Системный, Только чтение):

• файл PwdServ.exe в папке \WINDOWS\System32\ (Антивирус Касперского идентифицирует этого зловреда, как not-a-virus:PSWTool.Win32.RAS). Именно этот файл блокирует загрузку ПК в Безопасном Режиме, устанавливая свои пароли;

• файл ie_updates3r.exe (вариант – ie_updater.exe; 3,04КБ) в папке \Documents and Settings\<имя_пользователя>\. Panda Antivirus 2008 идентифицирует ie_updates3r.exe, как Trj/Downloader.UBQ, Антивирус Касперского – Trojan-Downloader.Win32.Tiny.aff;

• файл ntos.exe в папке \WINDOWS\System32\;

• все файлы hhxw***.exe в папке \WINDOWS\system32\ (например, hhxw265.exe);

• файл winlogon.exe (42,0КБ) в папке \WINDOWS\. Антивирус Касперского идентифицирует этот вирус, как Trojan.Win32.Pakes.jmb. Этот лже-winlogon.exe грузится вместо настоящего файла winlogon.exe (Программа входа в систему Windows; 507КБ), расположенного в папке \WINDOWS\system32\;

– закройте окно ERD Commander Explorer;

– нажмите Start –> Administrative Tools –> Autoruns;

– в окне ERD Commander Computer Management раскройте (слева) Autoruns (System, <имя_пользователя>, Администратор);

– удалите (если таковые имеются) записи следующих файлов, стартующих вместе с ОС: WINDOWS\winlogon.exe; \WINDOWS\system32\hhxw265.exe; \WINDOWS\System32\ntos.exe; \WINDOWS\System32\PwdServ.exe. Для удаления выделяйте их щелчком правой кнопки мыши (в правой части окна), из контекстного меню выбирайте Delete;

– закройте окно ERD Commander Computer Management;

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (вирус устанавливает значение этого параметра, например, C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System 32\ntos.exe,);

– найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– исправьте значение строкового REG_SZ-параметра Shell на Explorer.exe (вирус устанавливает значение этого параметра, например, Explorer.exe,C:\WINDOWS\winlogon.exe);

– закройте окно ERD Commander Registry Editor;

– нажмите Start –> Log Off –> Restart –> OK;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– загрузите Windows в обычном режиме.

Как правило, попытка заражения этими вирусами происходит при посещении варезных порталов и порносайтов (например, недавно лечил один ПК и проследил пути проникновения заразы: http://www.zvezdi.ru/ и http://maximonline.ru/ ).

Отсюда выводы: предохраняйтесь!!!

Хотя некоторые пользователи умудряются подцепить «цифровой триппер» даже при установленном (и настроенном!) брандмауэре и антивирусе (со свежими базами!)…

Валерий Сидоров


 
Форум » Underground » Статьи » Как устранить последствия некоторых вирусных атак?
Страница 1 из 11
Поиск:


Бесплатный хостинг uCoz