Шалом, Andrew!


06 Ноя 08, Andrew Salenko wrote to All:

AS> В систему попал вирус по вебу win32.sector.5
AS> Но вылечить его невозможно, так как запуск ни Др Веба ,
AS> ни CureIt! не возможен - вирус прибивает любую попытку
AS> запуска

вынимать винт и лечить на другом компе

Юрий

... 31002. Для удовольствия веселись

Hello Andrew!

06 ноя 08 19:27, you wrote to All:

AS> У меня такая проблема
AS> В систему попал вирус по вебу win32.sector.5
AS> Hо вылечить его невозможно, так как запуск ни Др Веба ,
AS> ни CureIt! не возможен - вирус прибивает любую попытку
AS> запуска
AS> В безопасный режим комп не входит - синий экран 0x000007B
AS> Манипуляции с AVZ для излечения ощибки блокировки безопасного
AS> режима _на данном компьютере_ результатов не дают!
AS>
AS> Чем еще можно его побороть без переустановки операционной системы?
AS> Кратко о компе - ноут Асер, проц Интел 1.7, озу 512, вин ХР про
AS> сп2
Если можешь загрузиться с LiveCD, то это самый простой вариант. Хотя не факт,
что стопроцентно убьет, т.к. оно и в реестре живет тоже. Т.е. может ожить.
Во-вторых, консольным можно, и хотя его тоже убьют несколько раз, но с
какой-то попытки он всё-таки добьет гада.
В-третьих, есть утиль у тренда, тоже может не лишней оказаться в этом тяжелом
деле.
Почитай вот это, мне понравилось. О том, как админ локалки убивал это счастье.
http://aborche.livejournal.com/1300.html
===========================================================================
Вирус убивает возможность загрузки в safemode, поэтому выполните скрипты для
восстановления реестра с сайта трендмикро.
При лечении машины нужно иметь под рукой дистр far(readonly), трендмикро
консольный тулкит(readonly), cureit(readonly) и хорошую реакцию(лучше всего для
readonly использовать http и ftp сервер локальный в сетке)

Итак. Самое главное !!!
HЕ ЗАХОДИТЬ HА МАШИHУ ПОД ПРАВАМИ ДОМЕHHОГО АДМИHА !!! ТОЛЬКО ЛОКАЛЬHОГО !!!
Все операции с проверкой результатов делать только с чистой установки
приложений(одноразовой) !!!

Запускаем FAR и идём в список процессов.
Если у процесса имя и расширение в нормальном виде (lower case) значит процесс
поднимался ядром системы.
Если расширение написано большими буквами значит процесс поднимался из сервиса.
Если имя и расширение написано большими буквами значит процесс поднимался
из-под какого-то ранее запущенного процесса.
Это основная палочка выручалочка для нас.

Да ! забыл. Перед этим всем лучше выключить system restore и перегрузить
машину, это избавит от двойных действий. Я лечил машины удалённо по RDP, без
использования safemode, поэтому буду описывать данную методу.

Заходим под локальным админом.
жмём Win+E, http://server/farmanager170.exe
ставим оттудаже сразу без сохранения и запускаем. Explorer заражается в
последнюю очередь поэтому лучше делать всё в его рамках.
F11 -> Process List
сразу убиваем explorer.exe из процессов и переименовываем logon.scr в system32
и dllcache во чтонить другое, вас спросят о изменении файлов, скажите "отмена"
потом "да".

Смотрим процессы написанные БОЛЬШИМИ БУКВАМИ и убиваем не задумываясь.
Смотрим процессы начинающиеся с win(трояны) и убиваем всё кроме winlogon.
Если процесс системный, сначала переименовываем файл процесса в dllcache, потом
system32 и по сети или с CD в dllcache и system32 заливаем с чистой машины
нужный файлик. Если процесс невыгружаемый(аля каспрский) тупо переименовываем
его exe файл в любое имя и оставляем его в покое(KAV,EXE,KAVSVC.EXE,KLSWD.EXE)
Берем regedit или reg plugin для far и идём в
HKLM\system\currentcontrolset\services\
грохаем оттуда всю ветку IpFilterDriver. Теперь идём
HKCU\Software\Administrator914(работаем под локальным админом, не забыли ?)
выбираем понравившиеся номерочки(штуки 3-4) и забиваем вместо Dword значений в
них мусор типа 1111,1234 и т.д.
Если поменять значения в ключах без убиения IpFilterdriver это ни к чему не
приведет.
Идем в нижестоящий блок ключей и в последовательности длинных ключей меняем
чтонить в конце(длина должна остаться прежней!!!)
Идем в c:\windows\system.ini и выносим строки которые были описаны выше.

Перегружаем машину. Hа этапе применения юзерских настроек машина задумается на
30-60 секунд.
Как залогонимся опять http://server/farmanager170.exe и новую установку поверх
имеющегося far.
из FAR смотрим опять в процессы и пристреливаем все какие с большими буквами.
по ftp сливаем или запускаем M2 от трендмикро на scan и смотрим за списком
процессов. при подгрузке вирусных баз трендмикро может вывести сообщение об
ошибке "диск недоступен" - это защита вируса от проверок. пропускаем все эти
ошибки(до 15 штук) и переключаемся в far.
трендмикро все найденные процессы будет переносить к себе в бекапную папку
автоматически, поэтому нам нужно следить чтобы вирус не пристрелил нашего
лекаря. Как только вы увидите появление процесса большими буквами, сразу
смотрите кто parent и стреляйте обоих немедленно. Если парентом выступает сам
FAR откройте из него же самого вторую копию, а лучше открывайте сразу две копии
при старте системы. Если пропустить момент инициализации троянца, то он
пристрелит трендмикро быстрее чем вы успеете моргнуть, помимо этого он лекаря
заразит и сделает разносчиком.

Да! забыл еще. оставьте в firewall только порты 53, 80 и 443 наружу в интернет.
остальное должно быть закрыто на замок и tcp и udp.
Дождитесь когда трендмикро закончит свою работу(3 этапа) и надёргает Вам
файликов(не отходите от компа, иначе придется начинать сначала)
Когда трендмикро закончит, проверьте отсутствие ipfilterdriver и наличие
сделанных вами изменений в administrator914 и перегружайтесь.
если изменения пропали - повторите действия.

после перезагруза опять ставите чистый far, потом M2 запускаете на проверку. В
тех местах где M2 ругался теперь ругани быть не должно.
Дождитесь окончания проверки и запустите с сети cureit на проверку всего диска.

Если все пройдёт успешно, то поздравляю, Вы победили. Осталось взять sfc и
залить из дистрибутива чистые файлы в system32(ибо некоторые из них были
удалены)
=============================================================================

AS> И еще
AS> Hа другом компе с инетом по модему попал троян, АВЗ дает сообщение,
AS> что есть исполняемый файл в потоке HТФС, но выковырять оттуда не
AS> может. Как его победить без переустановки ОС?
Это убивал так: сначала ищем его ключ в реестре (по полному имени), на вкладке
безопасности запрещаем доступ к нему для всех, перезагружаемся, и оно доступно.
Дальше можно, к примеру, этим:
Ads Spy (http://www.spywareinfo.com/~merijn/files/adsspy.zip)
Ads Spy is a tool used to list, view or delete Alternate Data Streams (ADS) on
Windows 2000/XP with NTFS file systems. This tool can not only detect the ADS
but also remove them with the click of a button

Привет, Andrew!

Четверг 06 Ноября 2008 19:27:16, Andrew Salenko писал(а) к All:

AS> У меня такая проблема
AS> В систему попал вирус по вебу win32.sector.5
AS> Но вылечить его невозможно, так как запуск ни Др Веба ,
AS> ни CureIt! не возможен - вирус прибивает любую попытку
AS> запуска
AS> В безопасный режим комп не входит - синий экран 0x000007B
AS> Манипуляции с AVZ для излечения ощибки блокировки безопасного
AS> режима _на данном компьютере_ результатов не дают!

AS> Чем еще можно его побороть без переустановки операционной системы?

Загрузиться с каким-нибудь BartPE, LiveCD *nix, наконец DOS и пролечить оттуда.

AS> Кратко о компе - ноут Асер, проц Интел 1.7, озу 512, вин ХР про сп2

Файловая система какая?

AS> И еще
AS> На другом компе с инетом по модему попал троян, АВЗ дает
AS> сообщение,
AS> что есть исполняемый файл в потоке НТФС, но выковырять оттуда не
AS> может. Как его победить без переустановки ОС?

Аналогично. Собственно элементарщина из древних времён - загрузиться с
незаражённой, защищённой от записи дискеты и пролечить антивирусом с неё.
Сейчас изменился только тип носителя, не более того.


С уважением, Денис Николаевич Мусиенко.

... Вялотекущая настройка...