Ссылки:
http://www.cyberforum.ru/windows/thread441603.html http://safezone.cc/forum/krfilesmanager.php http://www.antiwinlocker.ru/AntiWinLockerLiveCD_features.html http://sergeytroshin.ru/articles/blockers/ https://4gameforum.ru/showthread.php?t=504225 http://forum.oszone.net/post-71373-2.html подготовка к лечению http://forum.oszone.net/announcement-87-182.html лечение http://safezone.cc/forum/index.php вин локеры http://sergeytroshin.ru/articles/ie-adware-removal/ ie http://forum.drweb.com/index.php?showtopic=293348 еще о винлокерах http://support.kaspersky.ru/8547?el=88446 борьба с шифровирусней (прога для расшифровки файлов)
Сразу проверяем значения
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit -> должно быть значение userinit.exe, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell -> должно быть значение cmd.exe HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot -> должно быть значение cmd.exe в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options -> НЕ должно быть параметров explorer.exe и/или taskmgr.exe - УДАЛИТЬ! в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system -> НЕ должно быть параметра DisableTaskMgr - УДАЛИТЬ! -> после исправлений - перезагрузка. + смотрим подозрительные файлы в папке автозагрузки и в ключах реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run -> для Windows XP восстановление системы %systemroot%\system32\restore\rstrui.exe -> Для восcтановление системы 7 и Vista вводим %systemroot%\system32\rstrui.exe -> если восстановление не удалось, можно пробовать запустить Проводник %SystemRoot%\explorer.exe или C:\WINDOWS\explorer.exe) -> Редактор реестра (в консоли - %SystemRoot%\regedit.exe или C:\WINDOWS\regedit.exe)
Что смотреть еще?
1. Изменение значения параметров (автозагрузка)
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
в разделе
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
или
HKEY_CURRENT_USER\ Software\ Microsoft\ WindowsNT\ CurrentVersion\ Winlogon
Изменение значения параметра "AppInit_DLLs"="" в разделе
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows
И, разумеется, параметры в стандартных разделах автозапуска в реестре:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
проверить файлы WIN.INI, AUTOEXEC.BAT, WINSTART.BAT
2. проблемы с IE
сначала реестор
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer
"SearchURL"=
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
"Default_Search_URL"=
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"=
"SearchURL"=
"Window Title"=
"Window_Placement"=
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Search
"SearchAssistant"=
HKEY_CURRENT_USER\ Software\ Micrsoft\ Internet Explorer\ Toolbar\W ebBrowser
"ITBarLayout"=
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ Search
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ AboutURLs
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdoclc.dll/navcancl.htm"
"OfflineInformation"="res://shdoclc.dll/offcancl.htm"
"blank"="res://mshtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"
"mozilla"="res://mshtml.dll/about.moz"
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ Main
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"=
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
"CompanyName"="Microsoft Corporation"
"Window Title"=
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ URL\ DefaultPrefix
@="http://"
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ URL\ Prefixes
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"
HKEY_USERS\ .Default\ Software\ Microsoft\ Internet Explorer
"SearchURL"=
HKEY_USERS\ .Default\ Software\ Microsoft\ Internet Explorer\ Main
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Search_URL"=
"Search Bar"=
"Local Page"=
"Start Page"=
HKEY_USERS\ .Default\ Software\ Microsoft\ Internet Explorer\ Search
"SearchAssistant"=
Файлы
(Temporary Internet Files), (History),
C:\WINDOWS\COOKIES
C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS
C:\WINNT\SYSTEM32\DRIVERS\ETC
ВНО
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ explorer\ Browser Helper Objects
Подозрительные BHO можно попробовать удалить из списка (предварительно сделав резервную копию реестра) — это их полностью дезактивирует.
Однако, как выяснить — подозрительные они или нет, если в вышеупомянутом разделе только ничего не говорящие длиннющие номера?
Технология в данном случае такова.
Например, если в этом разделе вы обнаружите подраздел
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ explorer\ Browser Helper Objects\ {A5366673-E8CA-11D3-9CD9-0090271D075B},
то произведите поиск во всем реестре найденного идентификатора BHO — {A5366673-E8CA-11D3-9CD9-0090271D075B}
— обнаружите его упоминание также и в разделе HKEY_CLASSES_ROOT\ CLSID\ {A5366673-E8CA-11D3-9CD9-0090271D075B}.
Просмотрите всё содержимое найденного раздела, чтобы определить,
к какой программе относится этот BHO — в данном случае вы обнаружите такую запись:
HKEY_CLASSES_ROOT\ CLSID\ {A5366673-E8CA-11D3-9CD9-0090271D075B}\ InprocServer32
@="C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL"
из которой можно сделать вывод, что обнаруженный BHO создан программой FlashGet и никакой угрозы не представляет
Вредонос может изменить расположение файла hosts - проверьте ключ реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath
ДОЛЖНО быть значение %SystemRoot%\System32\drivers\etc
Удалить все статические маршруты - команда в консоли route -f
Лечение вируса который скрывает файлы на флеш
лечим пк 1. грузимся с диска (например с somya PE) 2. запускаем autorans убиваем гада и запоминаем пути и размер 3. открываем totolcommander ищем файл по размеру и убиваем батник который это лечит 1. создаем батник rem Нажмите любую клавишу для снятия атрибутов. pause attrib -S -H /D /S rem Бат файл закончил работу, нажмите любую клавишу для выхода. pause 2.кидаем в корень флешки 3. запускаем cmd от админа идем в корень флешки e: и запускаем батник
Если доступна консоль в безопасном режиме
пишем руками либо создаем cmd файлик потом суем в систему. REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe, /f REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies /f REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 145 /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /f REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe" /f REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f
Писк моды шифрование диска
ftp://ftp.drweb.com/pub/drweb/tools/ тулсы доктор веба (dkripter) http://forum.drweb.com/index.php?showtopic=304766 Поймал заразу на комп. Вместо фона рабочего стола картинка "Привет! сегодня тебе не повезло! твои файлы заблокированы..." Вирус благополучно удалили, но вот засада....он гад зашифровал все файлы word, exel, картинки...
Запрос на лечение
https://vms.drweb.com/sendvirus/ запрос на лечение лечилка \te157decrypt.exe -e .ENC -P путь\ps.ce путь к файлам" Попробуйте запустить так te157decrypt.exe -p ключ Где ключ - ключ из файла HOW TO DECRYPT FILES.txt
Запрос на лечение
https://vms.drweb.com/sendvirus/ запрос на лечение Значит, не было письма. Запустите ftp://ftp.drweb.com/pub/drweb/tools/te102decrypt.exe с параметрами командной строки -k h15 -e .mboaue@aol.com_104 может что и восстановит.
Вирус зашифровали файлы EnCiPhErEd
Клиент словил шифровальщик от этого же мошенника. Помог расшифровальщик от доктора веба ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe Запускать надо с ключом -k 326 Надеюсь кому нить это поможет. https://vms.drweb.com/sendvirus/ запрос на лечение
HijackThis помощь в анализе системы
http://wiki.drweb.com/index.php/HijackThis
Восстановление файлов после вирусов шифровальщиков
http://safezone.cc/forum/showthread.php?t=17677 http://support.kaspersky.ru/virlab/helpdesk.html https://www.nomoreransom.org
Обновление базы данных сигнатур вирусов завершено с ошибкой
eset nod32 Обновление базы данных сигнатур вирусов завершено с ошибкой
вариант 1 нод > Настройка > Перейти к дополнительным параметрам > Обновления > Общие >Очистить кэш обнавлений {Очистить}
вариант 2 Удалить нод. скачать свежию версию. установить.