Полезная информация

Проанализировав последний год работы нашей организации, мы, с удивлением, пришли в к выводу, что больше половины проблем, с которыми к нам обращаются, это неполадки, вызванные действиями вирусов. Мы не стали вдаваться в подробности того, откуда они берутся, т.к. считаем невозможным проконтролировать работу нескольких тысяч сотрудников, но написать поверхностную инструкцию по удалению последствий мы все-таки сочли необходимым. Как писать, точно не знаем, но выложить сюда последовательность наших действий мы можем.

И так. Вы стали счастливым обладателем вируса. Первый вопрос: как вы это поняли? Если у вас стал резко «тормозить» компьютер, выскакиваю лишние окна, вы видите лишние процессы в диспетчере задач, то, скорее всего, у вас в системе выполняется какая-то задача, о которой вы не знаете. Невооруженным взглядом это обнаружить довольно сложно, но заскочить в диспетчер задач будет хорошим тоном: правой кнопкой по панели задач, пункт Запустить диспетчер задач. На вкладке процессы вы видите все, что выполняется на этом компьютере (не забудьте установиться галочку «отображать процессы всех пользователей», чтобы видеть все). Думаю, что вы не сможете найти там лишний процесс, но если выстроить список, мере загруженности ЦП (нажать на поле ЦП), то в первых строках мы увидим те программы, которые больше всего грузят наш процессор. Если там будет какая-то программа, которой вы не видите в живую, а она ест львиную долю ресурсов, то, скорее всего, что-то тут не так. Но не стоит сразу радоваться, много программ, которые в фоновом режиме выполняют всякие обновления и сканирования, например антивирусы.

Мы рассмотрим ситуацию, когда вы уже воспользовались антивирусными программами и это не принеслож желаемого результата.

Откат системы:
Если есть возможность сделать откат системы, то можно попробовать: выполняем команду msconfig. На первой же вкладке есть кнопка «Запустить восстановление системы». При нажатии на эту кнопку, если у вас включено в настройках самой операционной системы сохранение параметров системы, запустится программа по откату системы до выбранной вами точки восстановления. Выбирается эта точка просто календариком. Программа восстановит все значения реестра и многие системные файлы и драйвера, которые были сохранены при выходе из системы в тот день, который вы выбрали. Лучше брать за несколько дней, до возникновения проблем. Редко, но могут порушиться некоторые программы, которые потом придется переустановить.

Откат сделать невозможно: не включен или вирус почистил папку «System Volume Information».

Возможные места автозагрузки вирусов:
Вне зависимости от того, нашли мы там что-то или нет, проделываем и другой ряд процедур. Дело в том, что вирусу, чтобы начать работать, нужна команда, которая его запустит. Есть несколько мест в системе, которые отвечают за автоматическую загрузку программа (а вирус – это программа):

• Системный реестр
• Папка автозагрузки
• Планировщик задач
• Менеджер системных служб

Системный реестр.

Системный реестр – это список конфигурационных файлов, точнее база данных, которая служит для хранения конфигурации операционной системы. Для его редактирования мы будем использовать программу «regedit.exe» ( Пуск-Выполнить-regedit.exe ). Когда мы ее запустили, то слева видно древовидную структуру вашего реестра, а справа значения разделов. С помощью плюсиков можно раскрывать ветки вашего дерева слева, добираясь до значений справа. Самым официальным местом автозагрузки для всех пользователей в реестре является раздел:

HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run

Только зная, что оттуда должно загружаться, можно определить, что в этом разделе лишнего. К сожалению, точного списка программ по этому разделу создать невозможно, поэтому могу сказать только то, что могут вызывать сомнения программы, которые запускаются из непонятных папок с непонятными названиями, а так же программы, которые запускаются из папки WINDOWS\SYSTEM32\ , и из локальной папки пользователя. Но для этого раздела есть одно правило – он слишком очевидный и поэтому новые вирусы там прописываются довольно редко.

Второй раздел реестра, на который я обращаю внимание:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows NT\CurrentVersion\Winlogon

Этот раздел очень удобен для вирусов тем, что через него можно запустить программы, которые не будут отображаться в меню автозагрузки программы msconfig. В этом пункте следует обратить внимание на параметры:

«Userinit» — определяет список программ, запускаемых процессом WinLogon при регистрации пользователя в системе. Должна быть «USERINIT.EXE» для Windows 2000/XP.

«Shell» — задаёт оболочку. Должна быть «EXPLORER.EXE» для Windows 2000, XP).

«System» — определяет список программ, запускаемых процессом WinLogon во время её инициализации. Должна быть — «LSASS.EXE, SPOOLSS.EXE» для Windows NT, и пустая строка либо «LSASS.EXE» для Windows 2000/XP.

«VmApplet» — определяет список программ или программу, запускаемую процессом WinLogon для оперативной настройки параметров виртуальной памяти — должно быть «rundll32 shell32, Control_RunDLL "sysdm.cpl"».

Так же обязательно стоит заглянуть в раздел:

HKEY_LOCAL_MACHINE\Software\Microsoft \WindowsNT\CurrentVersion\AppInit_DLLs

Из него могут подгружаться DLL файлы, который могут быть исполнительными и при этом не отображаться в процессах диспетчера задач.

На этом месте я остановлюсь в копании реестра, т.к. дальше становится все намного сложнее. Если наши инженеры понимают, что вирус все еще оставил свои следы или подгружается при запуске системы, то чаще мы перестаем искать и начинаем переустанавливать систему. На практике это оказывается быстрее и полезнее. Но часто и на этом месте мы еще не складываем руки и смотрим еще некоторые очевидные параметры.

Службы:

В том же самом msconfig есть закладка «службы». Иногда вирус умудряется зарегистрировать себя в качестве службы и тогда заметить его становится еще сложнее. В этом пункте надо искать в первую очередь службы с непонятными и длинными названиями. И главное посмотреть, кто изготовитель (подпись). Дело в том, что подпись – это лишний вес для вируса и ее часто не ставят, чтоб облегчить распространение. Так что особое внимание стоит уделить подписи. Если видим явно левый объект, отключаем эту службу.

Плагины:

Зачастую вирус себя проявляет только в Internet Explorer .

Запускаются они скорее всего вместе с плагинами IE, (Меню: Свойства - программы – надстройки). Опять же, в этом меню стоит обратить внимание на странные названия и неподписанные плагины, а лучше все отключить и посмотреть на изменения. Если проблема исчезнет то, скорее всего, дело именно в надстройках. Остается только включать их по одной обратно, начиная с самых очевидных, и заканчивая самыми подозрительными, перезагружая IE между.

Не открываются многие сайты:

Для начала, если у вас не открываются только сайты антивирусных программ, то есть вариант, что это делает и сам вирус. На моей практике его могла убить только программа CureIT, которая бесплатно доступна для домашнего использования на сайте drweb.com. Сканируйте сразу папки c:\windows\system32\, c:\windows\system\ . Чаще всего вирусы лежат именно в них. Ну и локальный профиль пользователя. Но это уже потом.

Заблокировать доступ к ресурсам так же можно прописав их в файле:

C:\WINDOWS\system32\drivers\etc\hosts

Единственное, что там должно быть:

127.0.0.1 localhost

Все остальное удаляем.

Ну и не мешает взглянуть на ветку реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

Удаляем все и оттуда

И самое веселое - у нас не запускается regedit, msconfig и даже диспетчер задач или висит порнобаннер :

Лечение порнобаннера можно попробовать и через сервис на сайте лаборатории Касперского, но зачастую он не помогает. Тогда нам придется воспользоваться LIVE CD, для того, что бы начать редактировать подключенный реестр уже с чистой операционной системы. Но об этом в следующих редакциях нашей статьи.

Кратенькая инструкция: Hiren’s BOOT CD есть замечательные программы, которые могут подключать ветки реестра, находящиеся на другом диске (в нашем случае мы загружаемся с CD и загружаем реестр, находящийся на диске c:\)

Сами файлы реестра находятся в папке c:\windows\system32\config\

Software, SAM, Security, System – это файлы четырех веток реестра. Их можно редактировать. Только будьте аккуратны. Неудачное редактирование, скорее всего, приведет к неработоспособной системе.

ЗЫ: сохраненные копии этих файлов, по дням (нужно смотреть дату создания конкретной папки), находятся в системной скрытой папке System Volume Information.