Тема: Как убить вирус. Курс молодого бойца

[οlden]

Иногда на форуме появляются темы типа: "ай нид хелп! Как убить вирус?"
Мне на работе частенько поневоле приходится заниматься и этим родом деятельности.
Поэтому выработаны собственные ИМХО оптимальные методы борьбы.

Итак, для начала - простые правила.

1) Комп без антивируса конечно имеет право на существование, но только если на нем операционная система не Windows
Поэтому антивирус ОБЯЗАТЕЛЕН. Более того, обязателен антивирус с:
- постоянным обновлением баз (установили антивирь ломаный - ищите способ заставить его обновлять антивирусные базы)
- "резидентным монитором" (он же "реал-тайм протешен"/"real-time protection").  Вообще-то сейчас только немногие бесплатные антивирусы идут без такого модуля. У всех остальных он есть и должен быть активирован.  Большинство вирусов сейчас распространяются либо через скрипты с сайтов (особенно варезных и порнушных), либо через почту/аську, либо через флешку.  Резидентный монитор позволяет вовремя обнаружить вирусную активность и пресечь ее.

Итак: скачиваем и устанавливаем себе антивирус
Я пользуюсь бесплатным AVIRA, кто-то Касперским или Dr.Web.
Avast!, AVG и даже NOD32 не рекомендую.  При том, что идеального антивируса не существует, все пропускают вирусы, но эти (по моему опыту и по отзывам) умудряются лажать больше других. Популярность NOD32 вообще может сыграть злую шутку с его пользователем, даруя ложное чувство защищенности.  

На всякий случай упомяну некоторые другие антивири (может кто захочет попробовать): McAffee, Sophos, Panda, Microsoft Security Essentials, Symantec/Norton, BitDefender, Zillya...

[οlden]

2) По возможности, как бы банально это ни звучало, стараемся вовремя апдейтовать Windows.
Таким образом вы вовремя закроете дырки, через которые обязательно попытается проникнуть вирус.
Если Винда нелицензионная, то могут быть проблемы с проверкой подлинности во время обновления, но лекарство против этого есть.
На данный момент момент (4.02.2010 г) таковой таблеткой является Windows Genuine Advantage Validation (WGA) 1.9.40.0 version 4.
Пользование таблеткой и приручение WGA - тема отдельная.

3) Защитимся от проникновения вируса через скрипты посещаемых нами сайтов
Наиболее действенным для меня средством оказалось использование в качестве основного браузера Mozilla Firefox с установленным расширением NoScript.
Это расширение блокирует выполнение JavaScript (любого, хоть вредного, хоть полезного) на всех страницах, для которых пользователь не сделал исключение (временное или постоянное) в настройках расширения.
Это неудобно, это чуть замедляет серфинг по Инету, но это защищает. В том числе и от рекламы, медленных счетчиков посещений и т.п.
Вы будете удивлены со скольких мест порой одна страница тянет скрипты и информацию (все эти пути показывает NoScript, требуя подтверждения разрешения для каждого из них)

[οlden]

4) Защитите вашу флешку. Точнее все ваши флешки. В этом вам поможет небольшой скрипт вакцинации.  Он не позволит вирусу создать на вашей флешке файл автозапуска (autorun.inf).
Максимум что сможет сделать вирус - бросить свое тело например в Корзину флешки.
Но мы с вами ведь не идиоты же, чтобы его из Корзины вручную запускать? Правда?
Скрипт вацинации сам создаст директорию AUTORUN.INF которую возможно удалить только форматированием всей флешки.
Поэтому после каждого форматирования вам придется заново вакцинировать флешку.

Как делается вакцинация.
Создадим один раз коммандный файл-вакцинатор, сохраним его на диск и будем пользоваться им когда нужно.
Для этого:
- запускаем стандартный виндосовский Блокнот (Notepad)
- вставляем в него этот текст

Код: [Выделить]

set drive=%1
Attrib -s -h -r -a %drive%:\Autorun.inf
If exist %drive%:\Autorun.* Del \\?\%drive%:\Autorun.* /f /a /q
If exist %drive%:\Autorun.inf Rmdir \\?\%drive%:\Autorun.inf /s /q
Mkdir \\?\%drive%:\Autorun.inf
Echo > \\?\%drive%:\Autorun.inf\NUL.stop_flash_infect.1
Echo > \\?\%drive%:\Autorun.inf\prn
Attrib +s +h +r +a %drive%:\Autorun.inf
Сохраняем файл например на диск C:, выбрав в окне сохранения тип "Все файлы" и название файла что-нибудь типа "no_flash_virus.bat". Расширение BAT - обязательно.
Теперь у нас есть командный файл-вакцинатор.
- подключаем флешку и смотрим с каким именем диска она подключилась. Например флешка у нас подключилась как диск F
- на панели задач Windows Жмем кнопку ПУСК (START) и в появившемся основном меню выбираем Выполнить (Run).
В появившемся окне набираем команду cmd и жмем кнопку OK. Это запустит черное окно коммандной строки (эмулятора DOS).
Набираем в нем команду "C:\no_flash_virus.bat F" (у вас может быть другое имя файла вакцинатора и другое имя диска флешки) и жмем клавишу ENTER.
Все! На флешке должна появиться неудаляемая папка  AUTORUN.INF.  Отныне до очередного форматирования можете смело и безбоязненно втыкать свою флешку в любые зараженные и незараженные компы.

5) Правила для офисной сети.
- никогда не держите на компах папки расшаренные на запись. Лучше пользуйтесь FTP-протоколом для обмена файлами.
- никогда не ходите с пользовательских (а особенно зараженных) машин по сети с администраторским аккаунтом на важные компы (особенно сервера).
Имеется в виду не подключайтесь к их расшаренным админресурсам типа C$, D$ и пр.  Если сильно кортыть, то лучше выполните обратное подключение - зайдите на сервер с помощью RemoteDesktop и уже с него коннектитесь к ресурсам своей машины. Так безопаснее.

[οlden]

ЕСЛИ КОМП УЖЕ ЗАРАЖЕН.

В чем состоит метод.  Чтобы вирусы не активизировались при запуске системы и их можно было бы безболезненно удалить, для этого нужно запустить комп под другой, чистой системой (Safe Mode основной системы далеко не всегда для этого подходит, не тратьте на него время), распознать удалить файлы вируса, потереть в реестре основной системы ссылки на нерспознанные части вируса, восстановить в реестре все что изменил вирус (он мог запретить  SafeMode, вместо запуска Рабочего Стола подсунуть свое окно с требованием СМС-нуть, запретить TaskManager, запретить запуск или удаление определенных папок и файлов ).

1) Нам понадобятся:
- LiveCD Hirens, записанный на CD или DVD болванку. Нас интересует версия от 10.1. В ней обязательно должна быть облегченная Live (PE) версия Windows XP. Найти ISO-образ диска можно здесь http://www.ex.ua/search?s=hirens.  
- бесплатная чистящая утилита CureIt. Она постоянно обновляется. Самая свежая версия всегда скачивается отсюда http://www.freedrweb.com/
- бесплатная чистящая утилита Kaspersky Virus Removal Tool. Самая свежая версия всегда скачивается отсюда http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/


Скачайте и запишите исошку Hirens на болванку с помощью NERO либо другой программы записи дисков.
чистящие утилиты нужно скачать и положить на вакцинированную флешку.
Все эти операции проделать на другом, незараженном компе.

2) Вставляем HirensCD в CD-привод зараженной машины. Выключаем комп. Включаем и в начале загрузки входим в настройки BIOS. BIOS должен быть настроен так, чтобы комп вначале пытался загрузиться с CD а уж потом с жесткого диска.
Если настроено не так, меняем настройку на нужную нам. Выходим из BIOS с сохранением изменений (F10). Комп начинает перегружаться, предлагает нажать любую клавишу чтобы загрузиться с CD.
Жмем пробел. Появляется меню диска HIRENS. В нем клавишами вверх/вниз выбираем пункт WindowsXP MINI. Жмем ENTER. Ждем загрузки Windows XP с CD.

Загружается специализированная XP.

Теперь первое что нам надо сделать - удалить все содержимое c:\WinNT\TEMP (c:\Windows\TEMP), C:\Recycler (Корзина) и папок TEMP и "Temporary Internet Files" во всех профилях пользователя (например у меня для пользователя olden они находятся в "C:\Documents and Settings\olden\Local Settings\" а для всех остальных - в остальных аналогичных папках типа "C:\Documents and Settings\[ЛЮБОЙЮЗЕР]\Local Settings\").
Возможно еще придется удалить все точки восстановления (папки) из "C:\System Volume Information"
Таким образом мы с большой долей вероятности уничтожаем тело и вспомогательные файлы вируса и облегчаем/ускоряем работу антивир-сканеров.
Также ищем и если найдем то удаляем все файлы autorun.inf (могут быть скрытыми) на всех логических дисках компа (C. D, E,...) в их корневых каталогах

Следующий этап - подключам флешку и запускаем с нее сначала CureIt а потом по окончании его работы - Kaspersky. С тем, как они работают, надеюсь, разберетесь. Соглашаемся со всем что они предложат удалить/вычистить

После всего этого можно быть более-менее уверенным, что файлы вируса вычищены. НО! Теперь нам предстоит задача убрать из реестра автозагрузки вируса и прочие следы его деструктивной деятельности.
В этом нам поможет программа редактирования локального реестра "Registry Editor PE". В основном меню нашего лечащего Windows самая верхняя команда запускает окно каталога утилит. Выбираем в нем меню МЕНЮ и в нем подменю "Registry Tools" а в нем программу "Registry Editor PE".  
Запустится программа, которая сама предложит вам импортировать ветки реестра из основной системы, которые вы затем сможете отредактировать (инструкции по работе - на http://regeditpe.sourceforge.net/).

Пока считаем, что вы в курсе что и где в реестре изменить, и поэтому изменили, вышли из программы, перегрузили комп, убрали изменения в BIOS и успешно загрузили основную систему.


Остается нераскрытым главный вопрос: что, как и где в реестре обычно портят вируса/трояны и как все это вернуть к нормальному состоянию.
Подробно об этом - позже.

[SeaLion]

οlden СПАСИБО!!!!

[SVS]

Силен, брат. Спасибо.

[οlden]

Про реестр:

Прежде чем править реестр, зайдем из-под LiveCd Windows в папку
c:\windows\system32\config\ (c:\winnt\system32\config\)
и скопируем оттуда в любое временное место следующие файлы:
system
software
sam
security
default
Если при правке что-то повредится, то мы сможем вернув их назад восстановить состояние реестра.

Первое, что делают вирусы, это запись своего запуска в ветки автозапуска в реестре.
Иногда они даже контролируют (находясь в памяти зараженной машины) наличие этих записей. И если удалить запись, то они тут же ее восстановят.  Это еще один довод в пользу чистки системы только после старта машины с LiveCD а не с харда.

Наболее известные места в реестре, отвечающие за автозапуск:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce

HKCU/Software/Microsoft/Windows/CurrentVersion/Run
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKCU/Software/Microsoft/Windows/CurrentVersion/RunServices
HKCU/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce

Не забываем про то, что HKCU это когда грузишься с основной системы. Если из-под Live CD, то в редактор реестра LiveCD Windows нужно импортировать и проверять ветки для всех пользователей основной системы.
Например на домашней машине два пользователя: olden и Fishka.  Следовательно в c:\Documents and Settings будут папки профилей этих пользователей с теми же именами и с собственными файлами реестра (ntuser.dat). Следовательно загрузившись из-под LiveCD надо проверять для обоих пользователей основной системы те же пути что и в ключе HKCU при загрузке из-под основной системы.

Это то, что нужно проверять в первую очередь
Но также есть более изощренные места

1) HKLM/Software/Microsoft/Windows NT/CurrentVersion/Windows
здесь есть параметр "AppInit_DLLs" (http://support.microsoft.com/kb/197571). Так вот в идеальном случае он должен быть пустым. Если не пустой - повод поинтересоваться что же именно он запускает.

Прописанная туда программка грузится даже с safe-mode. Даже в safe-mode with command promt, так как в XP оно все равно подгружает все (желающие могут загрузиться в «safe-mode with command promt» и нажать ctrl+alt+del — выскочит оконный интерфейс).
Более того, прописанная туда dll-ка не видна в процессах.

Записанная сюда DLL цепляется почти к каждому запускаемому процессу. У меня на машине там находится почему-то PGP-шная DLL "PGPmapih.dll".  Но я ее отношу к "доверенным" и потому пока не удаляю. А вообще лучше держать этот параметр пустым.

2)  HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
Интересный раздел. Тут желательно контролировать сразу несколько параметров

"Shell" - В нем должна находиться запись только один-в-один "Explorer.exe" и никакая иная.  Трояны "СМС"-ники прописывают сюда свою прогу. Это ту, которая выводит вместо Рабочего стола свое окно с требованием отправить СМС. Или пишутся в таком виде "Explorer.exe csrcs.exe". Это запускает и Explorer и сам вирус.

"Userinit" Тут должно быть нечто типа "C:\WINDOWS\system32\userinit.exe," или "C:\WINNT\system32\userinit.exe," и никаких к нему больше приписок.

"System" Как правило должен либо отсутствовать либо быть пустым. Если есть и не пустой - надо проверить не на вирус ли ссылается.

"Notify" Как правило должен либо отсутствовать либо быть пустым. Если есть и не пустой - надо проверить не на вирус ли ссылается.

"TaskMan" Должен либо отсутствовать либо быть пустым. Иное значение - это либо попытка вируса подсунуть себя вместо стандартного диспетчера задач либо у вас какой-то самосборный Windows в котором вместо стандартного диспетчера задач используется иной, более навороченный.  Первое предположение более вероятно.

3)  HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
Сюда пишутся т.н. отладчики. Надо удалить раздел "Explorer.exe" если есть такой.  
Иначе при запуске Windows будет запускаться программа указанная в строковом параметре Debugger этого раздела.

4) HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
"BootExecute" - сюда может записаться вирусная прога для запуска ее на стадии загрузки Windows (программа должна уметь работать в чистом Dos)

[οlden]

Если вирус заблокировал запуск диспетчера задач и после чистки антивирусом он так и не запускается. Этим, кстати, балуются некоторые "СМС"-трояны

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
удаляем параметр DisableTaskMgr

В ключе HKCU\Software\Microsoft\Windows\CurrentVersion\Policies кстати могут быть и другие нестандартные запреты.
Обычно он пустой, либо с  разделом Explorer в котором установлены правила автозапуска с дисков в параметре "NoDriveTypeAutoRun"

[οlden]

Если вирус/троян запретил Safe Mode режим для вашей Винды и после излечения от вируса безопасный режим все еще недоступен.

В таком случае запустите стандартный текстовый редактор Windows Блокнот (Notepad) и вставьте в него приведенный ниже код. Затем сохраните на диск, выбрав в окне сохранения тип "Все файлы" (All files) и имя например "smrestore.reg" (расширение REG обязательно!).  Затем двойным щелчком мышки по файлу запустите его. Он спросит уверены ли вы что хотите записать ЭТО в реестр. Соглашайтесь   Это поможет.

Код: [Выделить]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]
@="Net"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]
@="NetClient"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]
@="NetService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]
@="NetTrans"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"


[οlden]

еще я столкнулся с тем, что некоторые вирусы прописывают в реестр запрет на запуск определенных программ

это может быть сделано через параметр "RestrictRun" в разделах
"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer"
или
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer"
Надо просто удалить или сделать пустым параметр "RestrictRun"

Это один метод.  Второй, более изощренный определялся следующим образом.  При попытке запуска одной программы после очистки системы выдавалось сообщение, что установлен системный запрет и мол смотрите "Журнал событий" (System Event Log).  Действительно, в Event Log из Administrative Tools (Start -> Control Panel -> Administrative Tools -> Event Viewer) были записи моих попыток запуска программы и уникальный код запрещающего это делать правила в виде типа "{4D11E97B-E325-11CE-BFC1-08002BE10111}". Я скопировал этот код и сделал его поиск по реестру. Таким образом было найдено соответствующее запрещающее правило. После его удаления из реестра все заработало.

[οlden]

Иногда либо когда заражение только начинается, либо когда вирус простенький, то достаточно просто удалить его файл. Но поскольку сам вирус все еще висит в памяти, то удалить файл он не даст.
В таком случае (да и во многих других, если какие-то файлы блокируются любыми программами) помогает неплохая программка Unlocker http://ccollomb.free.fr/unlocker/.

Рекомендую. Она снимает блокировку с файлов и позволяет их после этого удалить.

[Лёша_ГАЗ]

οlden
 
пасиб

[skuk]

 

[PuNoDe]

Иногда либо когда заражение только начинается, либо когда вирус простенький, то достаточно просто удалить его файл. Но поскольку сам вирус все еще висит в памяти, то удалить файл он не даст.
В таком случае (да и во многих других, если какие-то файлы блокируются любыми программами) помогает неплохая программка Unlocker http://ccollomb.free.fr/unlocker/.

Рекомендую. Она снимает блокировку с файлов и позволяет их после этого удалить.

Спасибо какраз искал такую прогу

[Dr_Zhalnin]

οlden оставил себе на заметку)))СПС

[Dmutruk]

очень полезная инфа. спс

[Homyak]

οlden Спасибо, статейка в заметки..

[SWarlock]

инфа многим полезная, удобно, что уже сгруппирована и не надо искать: если кто не знает что нужно искать, вообще  - идеальный вариант.

по антивирусному ПО, надо бы ставить автору "ИМХО":

Avast!, AVG и даже NOD32 не рекомендую.  При том, что идеального антивируса не существует, все пропускают вирусы, но эти (по моему опыту и по отзывам) умудряются лажать больше других. Популярность NOD32 вообще может сыграть злую шутку с его пользователем, даруя ложное чувство защищенности. 

скажу так, я бы не был таким приверженцем аваст, как и противником нода. но на это все - кто к чему привык, у кого какое вероисповедание, взгляды на жизнь, ресурсы ПК и т.д. можно много и бесполезно об этом говорить, поэтому тему развивать не буду.

кроме того, полезно иметь на компьютере дополнительное (и можно даже бесплатное ПО), а именно:
SpyBot-SD - много чего мониторит и выдает дополнительно запрос на корректность того или иного ПО в плане изменений реестра и т.д., включая сканирование на наличие вредоносного ПО и даже следов в реестре. абсолютно бесплатен, обновление баз...

но и это не панацея. не стОит забывать и о брандмауэрах. тот брандмауэр, который любезно предоставляется виндовс, не выдерживает никакой критики. поэтому очень рекомендую поставить брандмауэр стороннего разработчика. тут тоже есть и платные и бесплатные. аналогично антивирусному ПО есть приверженцы (как и противники) тех или иных продуктов, поэтому советовать здесь я не хочу что лучше, что хуже. в любом случае, брандмауэр (или фаервол, как его еще называют) очень желателен на ПК.

[οlden]

SWarlock
Не хочу устраивать холивары. Тема создана не для того. Есть соответствующие темы на этом форуме и вообще в Инете.
Что хотел сказать, я сказал. "От первого лица", так сказать.  Т.е. "ИМХО по умолчанию". Хотя в некоторых местах я дополнительно оговариваю:
> "собственные ИМХО оптимальные методы борьбы"
> "Avast!, AVG и даже NOD32 не рекомендую"
> "упомяну некоторые другие антивири (может кто захочет попробовать)"

Я пользуюсь AVIRA + CureIt + AVRT. Это мой выбор. Им я и поделился.
Также вместо Hirens Live CD существует еще множество подобных (например Alkid live cd/usb).  Но если описывать все варианты, информация станет запутанной и малополезной.

По файрволам.  Конечно наличие его - большой плюс в плане безопасности.
Но вот что любопытно: на домашнем компе пользуюсь исключительно встроенным виндовым уже лет 7.  За это время комп торчал жопой в Инете через разных провайдеров: Воля, АйПиНет, Билайн. Ни одного заражения, ни одной успешной сетевой атаки. Возможно помогает соблюдение перечисленных мною выше правил безопасности. Не сомневаюсь, что подыми я сейчас другой, навороченный файрвол - увижу в его логе сразу же кучу "страшных сетевых атак"  И по опыту: действительно хорошие файрволлы исключительно сложны в настройке и на каждый чих просят подтверждение (таковым в свое время был Jetico). А простые в настройке но средненькие в работе лично мне и даром не нужны.

SpyBot действительно хорошая программа.  Я раньше пользовался им и LavaSoft AdAware.  Но в последнее время многое из того, что обнаруживали только они, начали обнаруживать и антивири.  Лично для меня необходимость в подобного рода программах отпала.

Можно конечно упомянуть еще одну программу - AVZ4, весьма полезную для поика уязвимостей и подозрительной активности.

P.S. Вот сел, еще раз перечитал сколько всего по безопасности полезно и необходимо иметь на компе и задумался.  А не проще ли перейти на Linux или Mac? Ведь весь этот разнообразный софт станет ненужным

[Андрюха]

отличная технологическая карта выйдет !

[SWarlock]

οlden
так отож, чем больше наворачиваешь систему безопасности, тем больше смотришь в сторону альтернативных ОС...

[Vittalliy]

Помогите чайнику установил на сервере прогу Advanced System Care я думаю что в ней причина сделал проверку компа все работало до того как только не перезагрузил комп .Загружается комп вижу на екране входим в виндовс потом нажмите "Ctrl-Alt-Del" нажимаю потом логин и пароль тоже все вижу ввожу и синий екран с мышкой которой двигаю по екране но рабочего стола нет ни панели задач ничего  абсолютно. Скажите как исправить проблему.Да explorer.exe  действительно не стартует в диспетчере задач его нет в процессах через диспетчер задач он не вызывается в папке с виндовс он есть он дает себя переименовать хотя так не должно вроде быть.

[οlden]

в смысле "через диспетчер задач он не вызывается"?

Вот не надо всякие левые "чистилки/оптимизаторы" ставить на комп. А уж на сервер - тем более.

[grits]

οlden, ты как практик, думаю подскажешь, что нужно делать при следующих вариантах "заражения":

после посещения некоторых узлов, и перезагрузки системы вылазит окно с приблизительно таким содержанием:
"Вы не оплатили доступ на порносайте ххххххх.com отправьте СМС на номер 4684645 с текстом 6459 для удаления данного сообщения."

при этом блокируется возможность вызова диспетчера задач (альтернативные варианты нормально запускаются), окно находится поверх ВСЕХ абсолютно окон, а сам процесс запускается в системе под названием что-то типа kjskrbg.tmp

Данный вид фишинга лично я ни разу не хватал, придерживаясь элементарных правил безопасности, но родственники есть родственники... Вобщем пару тачек так вот "заразили" и конечно же есть такие ламеры которые начинают отправлять смс-ки стоимостью по 50-100 грн

Объясни с каким процессом эта фишка может стартовать и сам механизм действий при такой фигне...

ps раньше отключал в ИЭ все надстройки - помогало... счас - болт

[Dr_Zhalnin]

grits во-во...таже фигня попалась на комп))) Пришлось винду переставлять(((