[Лечение компьютера - это просто]
Главная Статьи и методики Софт Форум Гостевая Контакты Ссылки
 
>> Лечение блокираторов-вымогателей с помощью программы Universal Virus Sniffer

Artem http://antivir.host22.com/ Обновлено: 27.10.2012

:: Подготовка

Для лечения необходим любой Live CD, например:

Live CD Reanimator:
- скачать с торрента rutracker.org
- скачать с официального сайта

Или Live CD SV-MicroPE 2k10 Plus Pack: скачать с торрента nnm-club.ru скачать с торрента rutracker.org

Образ LiveCD представляет собой iso файл, который необходимо смонтировать на CD/DVD диск или флэшку.

Совет:
Если на компьютере установлена еще одна Windows, которая незаражена, то можно пролечить больную Windows со здоровой без LiveCD. Также это можно проделать подключив винчестер зараженного компьютера к здоровому. Просто укажите программе Universal Virus Sniffer папку зараженной Windows.

Так же запишите на флэшку программу Universal Virus Sniffer - http://dsrt.dyndns.org/uvs.htm (разархивируйте программу из скаченного архива).

ВНИМАНИЕ:
Если официальный сайт разработчика программы UVS не доступен, то используйте альтернативные ссылки или ищите на Live CD SV-MicroPE (см. выше).

 

Также необходимо скачать по данной ссылке архив "База проверенных файлов", затем в папке программы Universal Virus Sniffer создать папку SHA (возможно, она уже будет создана) и разархивировать в нее данный архив.

Загрузитесь на зараженном компьютере с Live CD. Если не умеете - инструкция.

Вставьте флэшку на которой записана программа Universal Virus Sniffer и запустите ее (файл start.exe).

Появится меню "Режим запуска uVS". Нажать кнопку "Выбрать каталог Windows" и выбрать папку вашей Windows (скорее всего C:\WINDOWS). Далее нажмите кнопку "Запустить под текущим пользователем".

Нажать кнопку "Выбрать каталог Windows"

выбрать папку вашей Windows

нажмите кнопку "Запустить под текущим пользователем"

Загрузится главное окно программы Universal Virus Sniffer.

ЕСЛИ НЕТ LIVE-CD:
Если не получилось загрузиться с LiveCD или его вообще нет, то попробуйте загрузиться в "Безопасном режиме Windows с поддержкой командной строки": включите компьютер и сразу же много раз нажимайте клавишу F8 до появления меню "Дополнительные варианты загрузки". Т.е. нажали клавишу "power" на корпусе компьютера и буквально сразу же начинаете многократные нажатия клавиши F8. Если клавиша F8 не дала нужного результата, то попробуйте повторить, но вместо клавиши F8 жмите F5. Если получится загрузиться в этом режиме, то введите в командной строке Explorer  и нажмите Enter - загрузиться Проводник, далее сможете запустить UVS в зараженной системе. И далее следуйте этой инструкции (выбирать папку Windows не нужно). Если "Безопасный режим Windows с поддержкой командной строки" не работает, то попробуйте режим "Восстановление службы каталогов (только на контроллере домена Windows)".

:: Первая часть

Основная....

В главном окне программы Universal Virus Sniffer у вас отображены подозрительные файлы

 

Нажмите клавишу F4, немного подождите, появится галочка на "Скрыть проверенные". Затем поставьте галочку на "Скрыть известные".

По явно подозрительным файлам щелкайте правой кнопкой мыши, в появившемся меню выбирайте "Добавить сигнатуру файла в вирусную базу".

Появится окошко, где нужно придумать имя вирусу и задать длину сигнатуры. Имя, например, "newvirus1", а длина сигнатуры - "32".

Нажать "ОК".

Проведите это действие со всеми действительно подозрительными файлами.

Далее, нажмите кнопку "Проверить список" или клавишу F7.

Сохраните список обнаруженных вирусов в файл, используя сочетание клавиш [Ctrl] + [S] - он вам потребуется, если вирус поразил системные файлы (потом изучите данный список и восстановите системные файлы, если они были заражены - читать тут).

Нажмите кнопку "Убить все вирусы".

Если список "Подозрительные и вирусы" теперь пуст, то значит блокиратор побежден.

Это победа!

 

Теперь добьем зловреда и зачистим следы его жизнедеятельности (выполнять обязательно, даже если нет подозрительных файлов). Кликните мышью по меню "Дополнительно" (вверху). В этом меню выберите пункт "Очистить корзину, удалить временный файлы, затем удалить ссылки на отсутствующие".  Подождите пока программа выполняет чистку.

выберите пункт "Очистить корзину, удалить временный файлы, затем удалить ссылки на отсутствующие"

Затем в меню "Дополнительно"  выберите пункт "Твики...".

Щелкните по следующим твикам:

  • Разблокировать Диспетчер задач
  • Разблокировать Свойства папки
  • Удалить все Persistent routes
  • Разрешить отображение вкладки Экран -> Рабочий стол
  • Полная очистка ключей Safer\CodeIdentifiers\0\Paths
  • Разблокировать Редактор реестра
  • Сброс ключей Winlogon в начальное состояние
  • Очистить HOSTS
  • Снять ограничения на запуск приложений в Explorer -е
  • Восстановить испорченные значения ImagePath
  • Восстановить из копии параметры запуска файлов
  • Очистить ВСЕ каталоги System Volume Information

Если какие-то твики нажать не получится (кнопка твика не активна), то ничего страшного.

твики

Затем "Реестр" -> "Максимально полно очистить ключ Explorer".

Теперь можете загружаться обычным способом. Возможно, вирус побежден.
Если баннер пропал, но система не хочет грузиться, то значит повреждены системные файлы и их следует восстановить - читай выше.


:: Вторая часть

Лирическая...

Если все способы выше не дали результата, то запишите Live CD от Касперского и проверьте компьютер им.

:: Третья часть

Отчаянная...

Если и он не поможет, а баннер так и висит на своем месте, то опять загрузите программу  Universal Virus Sniffer через Live CD (см. выше) и "Файл" -> "Сохранить полный образ автозапуска", полученный файл заархивируйте (если не произойдет автоматическая архивация) и разместите на одном из файлообменников:

Создайте тему с просьбой о помощи на форуме: http://antivir.u.qip.ru/ со ссылкой на файл.

Если форум не доступен, то в гостевой: http://xbase.ru/?antivir


:: Лечение загрузочных (MBR) зловредов-вымогателей

Выше был показан пример удаления файловых зловредов, а еще есть загрузочные - они заражают главную загрузочную запись. Поэтому, баннер появляется до загрузки Windows, т.е. не получится даже загрузить (F8 или F5) меню выборов вариантов загрузки Windows. Логотип Windows не появляется. Баннер появляется буквально сразу после информационного окна Биоса. Баннер, как правило, очень примитивен, и часто визуально демонстрирует себя как текст на черном фоне.

UVS позволяет довольно просто от них избавляться. Выберите "system.ini и Загрузчики".

Нажмите клавишу F4, немного подождите, появится галочка на "Скрыть проверенные". Затем поставьте галочку на "Скрыть известные" (если этого еще не сделали).

Если в главном окне осталась запись имя которой начинается на "MBR#0", то значит у вас действительно MBR баннер. Для его удаления: "Руткиты" -> "Заменить загрузчик MBR/VBR+IPL..." -> поставить курсор на "MBR#0....." -> "Записать".

:: Советы после излечения

Песнь победителя...

Далее советы, которые очень рекомендуется выполнить:

Скачайте следующие файлы:

- запустите их по очереди, если будут обнаружены вирусы - лечите или удаляйте согласно советам этих программ.

Обсудить на форуме >>

Чтобы больше не иметь проблем с вирусами почитайте - http://antivir.host22.com/metodika/0023.html


p.s. UVS - это мощный инструмент против различных зловредов, а лечение баннеров-вымогателей - это самый тривиальный пример ее использования. UVS может прибить многую другую заразу, которую не могут удалить антивирусы. Даже данную инструкцию можно использовать против заразы, которую не могут прибить антивирусные сканеры. Но стоит помнить, что в неумелых руках она принесет больше вреда, чем пользы.


При использовании данного материала, просьба указывать ссылку на http://antivir.host22.com/

назад | наверх


 

 

 
  Разделы
Статьи и методики
Эффективные методы лечения компьютера своими руками
Софт
Программы для защиты и лечения  компьютера
Форум
Действует online помощь посетителям
Гостевая книга

  Статьи

При использовании материалов обязательна ссылка на http://antivir.host22.com 
©
Artem.