Борьба с вирусом.
drnight
Давненько не брал я в руки шашек !

Сегодня закончился второй вечер борьбы с вирусом на домашнем компе одного моего знакомого.
Началось всё банально - с SMS-вируса, который не даёт работать. Причем этот вирус только первый раз удалось удалить из Safe Mode, второй раз уже и в Safe Mode он прописался.
Самым надежным выходом оказалось использование старого доброго ERD Commander и вычистки реестра зараженой машины, точнее, параметра Userinit. но об этом ниже.

Итак, новые вирусы используют новые методы борьбы с пользователями, всё что нашел, перечислю здесь.

1. Ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit должен иметь значение "C:\Windows\system32\userinit.exe," Версия вымогателя SMS, с которым я столкнулся, дописывала в конце адрес своего модуля.

2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell должен иметь значение "explorer.exe"

3.1. Прошли те времена, когда вирусы писали адреса антивирусных сайтов в C:\Windows\System32\drivers\etc\HOSTS (хотя туда заглянуть не мешает). Современные вирусы  добавляют в таблицу маршрутизации неправильные маршруты на подсети, содержащие IP адреса серверов антивирусов.
 
Заметить это легко по огромному выводу команды route print.
Там будет несколько десятков постоянных маршрутов вида
 

81.177.31.0  255.255.255.0      192.168.0.1       1

Лечится элементарно:
выполнить route -f и восстановить стандартные маршруты. Т.е., реконнектнуть VPN до провайдера, если есть, и кликнуть "исправить" на сетевом соединении.

3.2.И один замечтальный способ нагадить в HOSTS нашел на просторах Интернета. Вирус не пишет в HOSTS, он меняет путь, по которому система ищет HOSTS. Это ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath и его значение по умолчанию - %SystemRoot%\System32\drivers\etc

4. Модификация вируса, которая мне встретилась, имела одну интересную особенность, по которой легко находилась в System32. Каждое тело вируса было EXE-программой и имела уникальную иконку. Серобуромалиновый в крапинку квадратик из случайных пикселей. Это не давало никакой информации антивирусной программе, но невооруженным глазом вирусы элементарно находились. Особенно, если отсортировать файлы по типу файла.
К сожалению, скриншот не сохранился ((

Пока всё, что удалось нарыть.
На зараженых машинах, естественно не тосли обновления,  не было "восстановления системы", антивирь был нерабочим. Классика :)


 



?

Log in

No account? Create an account