Восстановление работы ОС В

В данной теме освещаю вопросы борьбы с заразой и восстановления работоспособности ОС БЕЗ переустановки таковой.
Приборы и материалы:
1. Флэшноситель с записаной на него Антивирусной утилитой Зайцева
2. Компакт диск или загрузочный флэшноситель с portable ОС Windows PE.
3. SAS, будь то Free Edition или Portable.
Показания к применению:
Всевозможные "глюки": зависания, перезагрузки, неконтролируемый сетевой трафик, всплывающие сообщения, не понятно откуда взявшиеся программы, файлы, ярлыки.
Последовательность действий:
1. Поиск и удаление инфекции;

Если у Вас есть подозрение, что ПК инфицирован, ОТКЛЮЧАЕМ службу восстановления системы и запускаем АВЗ.
(для отключения СВС правыйклик по значку Мой Компьютер - Управление; Службы и приложения - Службы; Служба восстановления системы - даблклик; Тип запуска - Отключено; Кнопка Стоп; ОК)
В АВЗ
Файл - Исследование системы. (Для выкладывания отчета в этом посте ставим птичку "создать zip-архив...") Нажимаем ПУСК, выбираем, куда сохранить файл отчета.
Для самостоятельного просмотра отчета открываем созданный программой avz_sysinfo.htm при помощи Internet Explorer (это единственное, для чего годиться этот браузер).
Правой кнопкой мыши по avz_sysinfo.htm, "открыть с помощью - Internet Explorer".
Разрешаем заблокированное содержимое.
Анализируем файл отчета.
Вас интересуют пункты, выделенные желтым, но это не значит, что эти файлы вредоносные, они просто не содержатся в базе данных АВЗ, как "чистые", или их параметры не совпадают с параметрами таких файлов в базе АВЗ.
Нажатие на ссылку УДАЛИТЬ, в соответствующем пункте составляет команды скрипта, которые формируются в конце отчета. Найдя зловред, сформируйте команду скрипта на его удаление.
Удаление ч-з BC (BootCleaner) - Удаление файлов на раннем этапе загрузки ОС (для неубиваемых)
Добавляем команды из заготовок:
Нейтрализация перехватов функций при помощи антируткита
Включить AVZGuard
Управление AVZPM (true-включить,false-отключить)
BootCleaner - импорт списка удаленных файлов
Чистка реестра после удаления файлов
BootCleaner - активация
При использовании ВС еще и заготовку на перезагрузку.
Сформировав скрипт, его можно скопировать в буфер обмена.
Можете прикрепить zip-архив в этой теме, я его посмотрю и порекомендую скрипт.
В основном окне АВЗ. Файл - Выполнить скрипт.
Вставляем текст нашего скрипта в окно и запускаем.

2. Очистка временных папок.
Файл - мастер поиска и устранения проблем. Категория проблемы - чистка системы - Пуск. Отмечаем все пункты. Исправить отмеченные проблемы.
3. Перезагрузка.
Возвращаемся к окну отчета, выбираем заготовку Перезагрузка, добавляем ее в наш скрипт. Снова копируем скрипт в окно запуска скриптов и запускаем.

4. Устранение последствий вмешательства вирусов в систему.
В основном окне АВЗ
Файл - Восстановление системы.
Думаю все ясно...

При загрузке на этапе ЛогОн матерится на отсутствие файла.
Пуск+R - regedit - OK
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
В параметре Userinit должно быть C:\WINDOWS\system32\userinit.exe,
Все остальное, что после запятой - нах
Ну и поиском: Ctrl+F "имя файла или шаблон" F3

Отключаем ДЫРЫ для бацил:
В основном окне АВЗ
Файл - Мастер поиска и устранения проблем
Системные проблемы - Пуск.
Смело отмечаем все. - Исправить отмеченные проблемы.

5. Повторное исследование.
Повторяем первый пункт, убеждаемся, что цель достигнута.

6. Тяжелые случаи.
Не запускается АВЗ.
Делаем несколько копий файла avz.exe, переименовываем их, задавая произвольные имена и следующие расширения: 51763.exe ybfiuy.com wioeyf.bat diep86716.cmd 671dfovu.pif
Пробуем запустить их.

Неубиваемый вирус.
Загружаемся с флешки или СД ВинПЕ. В При помощи ТоталКоммандера, который содержится в сборке удаляем файл вручную.
Заодно
Чистим папки:
C:\Documents and Settings\ИМЯ\Local Settings\Temp
C:\Documents and Settings\ИМЯ\Local Settings\Temporary Internet Files
C:\WINDOWS\Temp
C:\System Volume Information (прощаемся со всеми точками восстановления, зато получаем управляемую машину)
Если жалко РесторПоинтов, значит убиваем последние. Там точно ваши бацилы, как зайчики в трамвайчике, катаються.
В корнях дисков убиваем autorun.inf и скрытые exe-шники
В C:\WINDOWS\system32 , C:\WINDOWS , C:\WINDOWS\system32\drivers и C:\WINDOWS\system32\dllcache
убиваем файлы типов exe sys dll с датой создания сегодня-вчера-когда_начались_проблемы.
Закрываем ТС, очищаем корзину ч-з ПЕ-шный проводник.
Перезагрузка.

7. SAS
Устанавливаем, запускаем, или просто запускаем, если используем Portable, утилиту SAS. Обновляем ее и делаем быстрое сканирование системного диска. Удаляем оставшихся неактивных паразитов, исправляем ошибки в реестре.

Скриншоты делать не буду. Читайте и упражняйтесь. На сайте разработчика масса информации и хелп-форум.
Я не буду в этой теме обсуждать достоинства и недостатки различного ПО.
Знаю, что от зловредов страдают все пользователи ОС Вин, знаю, что 99% пользователей не подозревают, что их ПК заражен. Просто хочу поделиться с коллегами своим опытом борьбы с инфекцией при помощи замечательной утилиты Зайцева. Благодаря ей я забыл, что такое переустановки, и легко поддерживаю несколько фирм с парком ПК 5-20 машин.

Далее будет в этом посте...

Хорошая приблуда есть у DrWeb. Бесплатный загрузочный диск для борьбы с нечистью и мелкая утилита для востановления в реестре последствий от пакостей. Типа разблокировка диспетчера задач, реестра и т.д.

Дополнено в первом посте.

Аксиомы:
1. НЕТ антивируса, который на 100% гарантирует защиту от инфицирования.
2. НЕТ антивируса, который на 100% автоматически излечит ваш ПК.
3. Лучший антивирус это компетентный пользователь.

Х. Есть еще один способ лечения...

Один из интереснейших боев с бацилой.
Симптомы:
Через минуту после загрузки на  экран выводиться окно с порно и предложением отправить платный СМС. Даже в безопасном режиме. Все антивирусы блокируются.

После трехчасового перебора удалось подсунуть HiJackThis.exe переименованный в произвольное_имя.com в папку C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка, и, перезагрузившись в безопасном режиме, успеть выполнить фастскан и "выцепить" имя подозрительного файла до появления злосчастного окна.
Зловред представлял собой скрытый .dll файл со случайным именем из 5-ти лат. символов.
Далее перезагрузка в ВинПЕ и в ТотКом-ре находим искомый файл. Запишем его размер. Что интересно, дата создания файла совпадает с датой системных файлов. Прекрасная способность к маскировке. Далее удаляем его, его резервную копию в dllcache, его тень в папках temp.
Далее, зная признаки (размер и атрибуты), рубим бацилы еще на 2-х машинах.
Три с половиной часа сплошного кайфа и, как бонус, оплаченный счет.

хоть бы одна зучкаengine, 10 Марта 10, 19:13

Это самообман. Просто у тебя провайдер за своей сетью хорошо следит.

Через минуту после загрузки на  экран выводиться окно с порно и предложением отправить платный СМС. Даже в безопасном режиме. Все антивирусы блокируются.SpankyHam, 10 Марта 10, 18:25

на данный момент проще всего позвонить другу с интернетом... а там он у себя дома, например на сайте касперского, зайдет на сервис генераторов кодов для этих смс вымогателей: http://support.kaspersky.ru/viruses/deblocker ... ну либо с чего то мобильного зайти... из обратившихся пары десятков человек помог этим всем... но это естественно пока...

engine, Сам уже 8 с лишним лет исключительно Симантековскими корпоративными антивирусами пользуюсь под виндой, которым ни серийников, ни активации не надо. В Убунту без антивиря пока сижу.  А вообще, антивирус не первичен, первичен юзер с его головой - главное не работать под админом без необходимости, не запускать браузер с административными привелегиями, не пользоваться IE, не лазить по порнухе, держать винду пропатченной последними обновлениями по безопасности и не ставить софт со всякими патчами и кейгенами, которые на 90% трояны. Даже если сегодня их антивирус не видит как вирусы, позже с большой вероятностью увидит.

3. Лучший антивирус это компетентный пользователь.SpankyHam, 10 Марта 10, 08:58

нееее..) лучший антивирус " формат цэ"!
а что такое "ОС В"?

не лазить по порнухе,Gagarin, 10 Марта 10, 21:44

как эта????

D1N, Развивай воображение 

Вот вопросик?
На днях мой почтовик на маилтру (аккаунт) был заблокирован...пришлось менять пароль...тогда заработал...ЧТО энто БЫЛО?

Мне известно только одно средство от вирусов-
когда шнур инетовский выдергиваешь из компьютера,
сносишь браузер и живешь офф-лайн

Роман Николаевич , Угнали твой аккаунт, теперь с него спам рассылают
и вирусы.

Угнали твой аккаунт, теперь с него спам рассылаюти вирусы.mjStorm, 10 Марта 10, 22:24

Ё моё, куда заяву бросать!
Насилуют!

На днях мой почтовик на маилтру...Роман Николаевич, 10 Марта 10, 22:20

Роман Николаевич, поменяв пароль, смог залогиниться? Если да, то не паникуй. Вчера mail.ru лежал.
А вот ежели не смог, то попробуй написать на mail.ru в саппорт.
Механизм такой. Троян выцепляет из кэша твоего браузера, или клавиатурный шпион считывает комбинации "логин-пароль", и пересылает тому, кто его запустил.
Проделай описанное в 1-м пункте 1-го поста и прикрепи сюда зип. Я посмотрю, кто в теремочке живет.

engine, старина, давай обсуждать достоинства антивирусов в соответствующей теме. Здесь я пытаюсь, по мере сил, помочь коллегам. Утонем в классическом флуде "...а у меня 32 см, ...а я самый, ...а мне пофиг".

живешь офф-лайнmjStorm, 10 Марта 10, 22:22

Сование флэшки куда ни попадя тоже приводит к печальным последствиям. ЮСБ тоже заклеить?

шнур ... выдергиваешьmjStorm, 11 Марта 10, 02:22

и стекло вадавливаешь.УФФ...ЧИСТО!

Чисто не выйдет. Если выдавлю
стекло, вытечет жидкость и высыпятся кристаллы.

Вот ради интереса запустил на компьютере.
Прикрепляю отчет. SpankyHam посмотришь?

ПС
У меня летом сперли пароль от ящика на мейле с помощью сайта двойника.
Ящик я вернул, но гемороя я себе тогда доставил достаточно!
Вот думаю может у меня ноуте какой-то троян?

Андрей, сидят, родные. spku.sys точно руткит.
1. Позакрывай все.
2. Выполни очистку ч-з Мастер поиска и устр. пр. (Пункт 2, первого поста)
3. Выполни скрипт:

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('spku.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

3. Ноут перегрузится. Сделай снова отчет и выложи.
Ко всем! Делая исследование, закрывайте все программы, браузеры, и т.д.

На записи в Хостс не реагируй. Это так адобовская активация обходится.

На записи в Хостс не реагируй. Это так адобовская активация обходится.
SpankyHam, 16 Марта 10, 09:46

Я знаю, я руками туда хосты вбивал.
Кейгенами не пользуюсь стараюсь найти серийник в инете 

ПС
Это не ноут, это комп на котором винда стоит пол года.
А на ноуте винде года 3 наверное, и что только на нем не запускалось
думаю там полная опа