Технический форум - Показать сообщение отдельно

~NeoMaster~ · 21.01.2011, 13:02

Про баннеры можно писать много и долго, но есть примерные алгоритмы действий при появлении оных на мониторах

вашего пк.
(Советы описанные ниже применительны для Windows XP, но другие актуальные операционки (Vista, Windows7) примерно

аналогичны

Попадает к вам на пк файл вируса, прописываетсяв автозагрузку и творит своё чёрное дело.
Решение обычно: выявление этого файла(группы файлов), полное удаление их с пк.
Как вычислить?
Баннер - это файл (группа файлов), который находится физически у вас на пк и соответственно подвязывается в

автозагрузку.
Самые излюблинные места таких файлов: папки Temp, Windows, System32, Temporary Internet Files, Application Data,

Program Files.....могут конечно быть и другие!

Большинство баннеров можно вычислить сразу, заглянув в реестр (regedit.exe), в ветки:
1) HKEY_CURRENT_USER\Software\Microsoft\Windows\Curen tVersion\Run
2) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cure ntVersion\Run
3) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurentVersion\Winlogon
....в большинстве случаев этих веток хватает!

В этих ветках находятся ключи автозагрузки различных программ (ключей запуска программ там может и не быть....у

кого как!!!).
Файл вируса может запускаться отдельным ключом, либо прописаться в уже созданный ключ обычной программы после

запятой (в таком случае стартуют обе программы!!!)
От вас требуется провести тщательный "аудит" содержащихся там ключей (если сами сомневаетесь в том, что вам

хватит опыта не убить реестр и систему, то лучше попросить того кто ЗНАЕТ КАК ОБРАЩАТЬСЯ С РЕЕСТРОМ!!!! Автор

ответственности не несёт за ваши действия!!!)

Последняя ветка ( 3) ) самая интересная т.к. в ней содержатся ключи запуска графического интерфейса -

explorer.exe (вирусы очень любят подменять его названием своего файла), загрузчик Windows (logonui.exe) и

userinit.exe (бывали случаи, когда вместо userinit.exe было написано userini.exe, а это уже совсем другой

файл!). Часто вирусы прописываются к этим ключам, либо вместо них!!!
Так же стоит отметить, что имя вируса может быть схоже с названием системного процесса и второпях можно упустить

столь важный момент!

Если вы обнаружили в этих ветках прописанный вирус, то удаляйте этот ключ либо правьте его (стирая запиь запуска

ненужной программы). Обычно после удаления ключа запуска вируса, требуется перезагрузка пк (т.к. вирус в памяти

уже загружен и правка реестра повлияет на запуск программы только после рестарта системы)

Затем необходимо зайти в директорию на которую ссылалась запись реестра, найти файл вируса и удалить его

(желательно не в корзину....shift+del). Ну и естесственно открывать файл перед удалением не стоит

После всего этого (если вирус удалось побороть), необходимо провести полное антивирусное сканирование

(желательно несколькими антивирусами....последовательно!)

До сих пор вроде всё просто! Самое сложное в ситуации с баннером это то, что зачастую отсутствует возможность

пользоваться диспетчером задач, редактором реестра и т.д.
В зависимости от типа и версии вируса решения данных проблем разные, но зачастую помогает запуск пк в

альтернативной системе(Life CD). Желательно, чтобы эта система имела возможность импортировать файлы реестра

вашей основной операционной системы (для анализа на наличие прописанных вирусов и соответственно правки, ежели

таковые выявились).
Есть также вариант зайти в систему в безопасном режиме с поддержкой командной строки (для тех кто умеет

пользоваться командной строкой!!). Для этого обычно необходимо при запуске пк нажать клавишу F8 и из

предложенных вариантов загрузки пк выбрать "безопасный режим с поддержкой командной строки".

Идём дальше.
Что можно попытаться предпринять в загруженной заражённой системе? Тут всё не однозначно и напрямую зависит от

уровня доступа учётной записи, под которой вы загружены (админские права или пользовательские). Если вы админ,

то всё равно случается так, что taskmgr.exe (в простонародье "диспетчер задач") и regedit.exe (редактор реестра)

недоступны. Тут можно попытаться воспользоваться альтернативами данных программ (process explorer например,

заменит диспетчер задач). либо пуск - выполнить - gpedit.msc - ENTER. Откроется окно, где можно попытаться

восстановить запуск диспетчера задач(вирус не всегда позволяет запустить редактор групповых политик и даже если

функция запуска восстановится, не факт, что будет работать долго. Бывали случаи, что окно открывается и

самопроизвольно выключается).
Вариант, почистить папки "Temp" (C:\Documents and Settings\имя пользователя\Local Settings\Temp) и "Temporary

internet files" (C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files).

На самом деле все случаи индивидуальны, размещение и названия файлов разные. Методы устранения угрозы

варьируются, но принцип практически всегда один и тот же.
Кому надо, пишите, постараюсь помочь....

21.01.2011, 13:02	#28 (permalink)
~NeoMaster~ Новичок Регистрация: 20.01.2011 Сообщений: 1 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Про баннеры можно писать много и долго, но есть примерные алгоритмы действий при появлении оных на мониторах вашего пк. (Советы описанные ниже применительны для Windows XP, но другие актуальные операционки (Vista, Windows7) примерно аналогичны Попадает к вам на пк файл вируса, прописываетсяв автозагрузку и творит своё чёрное дело. Решение обычно: выявление этого файла(группы файлов), полное удаление их с пк. Как вычислить? Баннер - это файл (группа файлов), который находится физически у вас на пк и соответственно подвязывается в автозагрузку. Самые излюблинные места таких файлов: папки Temp, Windows, System32, Temporary Internet Files, Application Data, Program Files.....могут конечно быть и другие! Большинство баннеров можно вычислить сразу, заглянув в реестр (regedit.exe), в ветки: 1) HKEY_CURRENT_USER\Software\Microsoft\Windows\Curen tVersion\Run 2) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cure ntVersion\Run 3) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurentVersion\Winlogon ....в большинстве случаев этих веток хватает! В этих ветках находятся ключи автозагрузки различных программ (ключей запуска программ там может и не быть....у кого как!!!). Файл вируса может запускаться отдельным ключом, либо прописаться в уже созданный ключ обычной программы после запятой (в таком случае стартуют обе программы!!!) От вас требуется провести тщательный "аудит" содержащихся там ключей (если сами сомневаетесь в том, что вам хватит опыта не убить реестр и систему, то лучше попросить того кто ЗНАЕТ КАК ОБРАЩАТЬСЯ С РЕЕСТРОМ!!!! Автор ответственности не несёт за ваши действия!!!) Последняя ветка ( 3) ) самая интересная т.к. в ней содержатся ключи запуска графического интерфейса - explorer.exe (вирусы очень любят подменять его названием своего файла), загрузчик Windows (logonui.exe) и userinit.exe (бывали случаи, когда вместо userinit.exe было написано userini.exe, а это уже совсем другой файл!). Часто вирусы прописываются к этим ключам, либо вместо них!!! Так же стоит отметить, что имя вируса может быть схоже с названием системного процесса и второпях можно упустить столь важный момент! Если вы обнаружили в этих ветках прописанный вирус, то удаляйте этот ключ либо правьте его (стирая запиь запуска ненужной программы). Обычно после удаления ключа запуска вируса, требуется перезагрузка пк (т.к. вирус в памяти уже загружен и правка реестра повлияет на запуск программы только после рестарта системы) Затем необходимо зайти в директорию на которую ссылалась запись реестра, найти файл вируса и удалить его (желательно не в корзину....shift+del). Ну и естесственно открывать файл перед удалением не стоит После всего этого (если вирус удалось побороть), необходимо провести полное антивирусное сканирование (желательно несколькими антивирусами....последовательно!) До сих пор вроде всё просто! Самое сложное в ситуации с баннером это то, что зачастую отсутствует возможность пользоваться диспетчером задач, редактором реестра и т.д. В зависимости от типа и версии вируса решения данных проблем разные, но зачастую помогает запуск пк в альтернативной системе(Life CD). Желательно, чтобы эта система имела возможность импортировать файлы реестра вашей основной операционной системы (для анализа на наличие прописанных вирусов и соответственно правки, ежели таковые выявились). Есть также вариант зайти в систему в безопасном режиме с поддержкой командной строки (для тех кто умеет пользоваться командной строкой!!). Для этого обычно необходимо при запуске пк нажать клавишу F8 и из предложенных вариантов загрузки пк выбрать "безопасный режим с поддержкой командной строки". Идём дальше. Что можно попытаться предпринять в загруженной заражённой системе? Тут всё не однозначно и напрямую зависит от уровня доступа учётной записи, под которой вы загружены (админские права или пользовательские). Если вы админ, то всё равно случается так, что taskmgr.exe (в простонародье "диспетчер задач") и regedit.exe (редактор реестра) недоступны. Тут можно попытаться воспользоваться альтернативами данных программ (process explorer например, заменит диспетчер задач). либо пуск - выполнить - gpedit.msc - ENTER. Откроется окно, где можно попытаться восстановить запуск диспетчера задач(вирус не всегда позволяет запустить редактор групповых политик и даже если функция запуска восстановится, не факт, что будет работать долго. Бывали случаи, что окно открывается и самопроизвольно выключается). Вариант, почистить папки "Temp" (C:\Documents and Settings\имя пользователя\Local Settings\Temp) и "Temporary internet files" (C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files). На самом деле все случаи индивидуальны, размещение и названия файлов разные. Методы устранения угрозы варьируются, но принцип практически всегда один и тот же. Кому надо, пишите, постараюсь помочь....

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070