Борьба с авторановыми вирусами (попытка обобщения опыта)
ВНИМАНИЕ!!! ПРИБИВАТЬ ЭТУ ЗАРАЗУ НУЖНО НА ВСЕХ ДИСКАХ/ДИСКЕТАХ, ФЛЭШКАХ, ФОТОАППАРАТАХ И МОБИЛАХ, которые Вы подключали к компу, иначе лечение впрок не пойдёт.
Невозможность включения в проводнике Windows отображения скрытых или системных файлов является одним из признаков/последствий заражения ПК авторановым (и не только) вирусом, т.к вирус правит реестр, делая невозможным отображение скрытых файлов.
При этом он не просто изменяет с 1 на 0 или 2 значения ключей
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"Hidden"=dword:00000001
и
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
но меняет и тип ключа с "Параметр DWORD" на "Строковый параметр"
делая невозможным его редактирование стандартными средствами и блокируя изменения через "Сервис - Свойства папки - Вид".
Лечение:
1. Через Total Commander, Far, NC, VC или DN, включив в них отображение скрытых и системных файлов, смотрим в корне диска С: или D: наличие файла autorun.inf и его содержимое, а конкретно, что написано в строчке после open= - это и есть имя заразы и путь откуда она запускается. Так же смотрим на наличие в корнях дисков какой-либо .dll или .vbs Записываем их имена куда-нибудь в блокнотовский файл, чтобы потом знать, что искать.
Также смотрим в корне наличие файла autorun.reg, и, открыв его в блокноте, копируем в наш "блокнотовский файл" его содержимое - это изменения, которые вирус внёс в реестр - их надо записать до уничтожения файлов вируса, чтобы знать, что и где лечить.
2. Известная утилитка anti_autorun.exe с
http://www.bombina.com/ru_soft.htm против современных авторановых вирусов безнадёжно устарела и поэтому качать и применять её нет никакого смысла, хотя, конечно никто вам не запретит попробовать.
3. Запускаем её, если она отрапортовала, что узнала и уничтожила заразу, она перезагрузит комп, и если, после после перезагрузки вы не увидите в корнях дисков файлов с autorun... в имени, то ..... можете попробовать порадоваться жизни, что легко отделались.
Обычно современные версии авторановых вирусов так легко без боя НЕ СДАЮТСЯ,
тогда:
4. Отключаем автозапуск для прекращения перезаражения компа:
Наиболее просто отключить автозапуск со всех носителей можно с помощью AVZ, запустив "Мастера поиска и устранения проблем", через меню Файл.
Любители лично ковырять реестр для отключения автозапуска могут создать в блокноте файл траляля.reg, следующего содержания:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun]
"NoDriveTypeAutoRun"=dword:000000FF
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF
затем, сохранив его, поменять расширение с .txt на .reg и запустить его.
Отключаем всё лишнее в Автозагрузке (Пуск - выполнить - msconfig - автозагрузка - поубирать все галочки, либо с помощью CCleaner. Более полно просмотреть и выкинуть заразу из автозапуска можно с помощью того же AVZ (Сервис - Менеджер автозапуска) или проги autoruns господина Руссиновича - только в них смотреть внимательно! можно что-нить нужное виндовое прибить ненароком!)
6. Перезагружаем комп и в самом начале загрузки жмём F8 и выбираем "Безопасный режим".
Запускаем AVZ в режиме сканирования, слева в основном окне указав для проверки ВСЕ диски, а справа удалять все вирусы трояны и т.п. Может случиться так, что понадобится перезагрузка и повторный прогон AVZ и не только в безопасном режиме.
6. Далее через Total Commander, Far, VC или DN, включив в них отображение скрытых и системных файлов, проверяем и прибиваем, если остались, в папке WINDOWS и корнях ВСЕХ логических дисков ВСЕ файлы с именем
autorun..., типа:
AUTORUN.FCB
Autorun.ico
Autorun.~ex
autorun.txt
autorun.reg
Autorun.ini
autorun.wsh
autorun.bin
autorun.srm
Autorun.exe
а также файлы, имена которых мы предварительно записали в Блокноте.
Если что-то не даёт удалять, то используем unlocker
Сразу после этого стоит в корнях всех дисков, что у Вас есть, рекомендуется создать папочки autorun.inf, придав ей атрибуты "системный" и "только для чтения" - это не даст вирусу создавать там одноимённые файлы.
7. В реестре Windows ищем и удаляем ссылки на файлы, имена которых записали.
(Пуск - выполнить - regedit - Правка - найти - вбиваем имя файла). Если не даёт удалить,
то правой кнопкой по этому ключу реестра - Разрешения - Даём себе все разрешения.
В первую очередь смотрим те разделы, которые были упомянуты в autorun.reg.
8. Если Вы знаете, что заражение произошло недавно, и есть незаражённая "точка восстановления", то запускаем Службу восстановления системы и пробуем откатиться к этой точке. Если неуверены и есть вероятность, что в точки восстановления попали заражённые файлы, то наоборот, отключаем восстановление системы (Мой комп - правый клик - Св-ва - восст-е системы - поставить галку "отключить".
9. Перезагружаемся. Если помогло - снова радуемся жизни и, что легко отделались.
10. Если не помогло, пора готовиться к длительной осаде и пускать в ход тяжёлую артиллерию - качаем cureilt с сайта Drweb и прогоняем проверку с помощью него.
11. Перезагружаемся - проверяем - если помогло - через msconfig возвращаем на место нужные галочки в автозапуске. Включаем обратно восстановление системы.
12. Ежели не помогло - грузимся с незаражённого носителя, способного видеть вашу файловую
систему, и повторяем п.10. Если снова непомогло - подцепляем винт к незаражённой системе, в которой отключен автозапуск, и стоит хороший антивир со свежими базами, например, каспер.
Производим проверку с помощью имеющегося антивируса.
13. Ставим свой винт на место и проверяем - если снова не помогло - "вчистую" переставляем систему или подымаем её из образа.
14. Чтобы раз и навсегда избавиться от "авторановой проблемы" кроме отключения автозапуска стоит отключить службу "Определение оборудования оболочки" (Панель управления - Администрирование - Службы - находим, отключаем, в "Тип запуска" выбираем "Отключено" - давим ОК - перезагружаем комп).
В результате все диски и флэшки придётся открывать вручную, но Ваш комп перестанет боятся авторановых вирусов.
15. После убивания заразы на компе и отключения автозапуска, поочереди подключаем все съёмные носители и Через Total Commander, Far, NC, VC или DN, включив в них отображение скрытых и системных файлов, прибиваем заразу на них.
16. Далее в корнях всех съёмных дисков, что у Вас есть, также рекомендуется создать папочку autorun.inf, придав ей атрибуты "системный" и "только для чтения" - это немного обезопасит Ваши съемные носители от заражения в других компах.
18. ! ТОЛЬКО ПОСЛЕ ! удаления вирусов восстанавливаем значения "покалеченных" ключей реестра, не дающих отображать скрытые и системные файлы (раньше вирус может и не дать):
Пуск - Выполнить - regedit, в ветвях реестра
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
задаём "Hidden"=dword:00000001 или удаляем неправильные ключи типа "Строковый параметр" "Hidden"=0 и и создаём новые типа "Параметр DWORD" - "Hidden"=dword:00000001
и для
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
аналогично, вместо "CheckedValue"=0" - делаем CheckedValue"=dword:00000001
Кроме того, следует проверить, значения нижеперечисленных ключей (они должны быть такими как приведено ниже:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit"="userinit.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced
"ShowSuperHidden"=dword:00000001
В серверных версиях Windows необходимо проверить следующие ветви реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Explorer\Advanced\Folder\SuperHidden
"ValueName"="ShowSuperHidden"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer
\Advanced\Folder\SuperHidden\Policy\DontShowSuperH idden
@=""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
"ShowSuperHidden"=dword:00000001
HKEY_USERS\S-1-5-21-1718174493-3167834097-4179402766-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"ShowSuperHidden"=dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{41a44c3f-ccb0-11db-a16f-00112f178ee0}\Shell\open\Command
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Explorer\MountPoints2\{39f78d75-f271-11db-835a-00112f178ee0}\Shell\open\Command
Теперь открываем Проводник, далее меню Сервис - Свойства папки - Вид и устанавливаем флажок "Показывать скрытые файлы и папки".
Ещё один очень жесткий способ защиты от вирей - путём "смены умолчального принципа наследования прав доступа дочерним разделом реестра от родительского" и защиты "авторановых"
ветвей реестра от изменений и в т.ч. вирусами.
Рекомендуется ТОЛЬКО для уже полностью настроенного компа и профессионалам!!!
- Прав. кнопкой по необходимому ключу реестра > Разрешения > Дополнительно > снять флажок "Наследовать от..." > Окно "Безопасность" > Копировать > Окно "Безопасность" > Добавить >
Дополнительно > Поиск > выбрать группу "Все" > Ok > установить флажок "Полный доступ" > Ok >
оставить только пользователя "Все", остальных удалить > установить флажок "Заменить разрешения..." > Применить.
Останется только пользователь "Все" > установить для него желаемые разрешения. Для "авторановых" ветвей реестра рекомендуется оставить только "Чтение". И теперь никто, включая
систему и администратора, и, соответственно, вирусы, не смогут занести себя в эти ветви.
В минусе
1) Нужно знать все "авторановые" ветки реестра
2) самостоятельно через реестр в автозапуск не сможет попасть ничто, в.ч. сама ОС или какая-нибудь полезная и нужная прога, как, например, chkdisk.
Поправки, дополнения и благодарности приветствуются...
_________________
Глупый пингвин робко прячет, умный - смело достаёт...