Рубрики
kali \ virus \ rootkit \ вирусы \ защита

Вирусня Лечим

Ссылки:

http://www.cyberforum.ru/windows/thread441603.html
http://safezone.cc/forum/krfilesmanager.php
http://www.antiwinlocker.ru/AntiWinLockerLiveCD_features.html
http://sergeytroshin.ru/articles/blockers/
https://4gameforum.ru/showthread.php?t=504225
http://forum.oszone.net/post-71373-2.html подготовка к лечению
http://forum.oszone.net/announcement-87-182.html лечение
http://safezone.cc/forum/index.php вин локеры
http://sergeytroshin.ru/articles/ie-adware-removal/ ie
http://forum.drweb.com/index.php?showtopic=293348 еще о винлокерах
http://support.kaspersky.ru/8547?el=88446 борьба с шифровирусней (прога для расшифровки файлов)

Сразу проверяем значения

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit -> должно быть значение userinit.exe,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell -> должно быть значение cmd.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot -> должно быть значение cmd.exe
в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options -> НЕ должно быть параметров explorer.exe и/или taskmgr.exe - УДАЛИТЬ!
в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system -> НЕ должно быть параметра DisableTaskMgr - УДАЛИТЬ! -> после исправлений - перезагрузка.
+ смотрим подозрительные файлы в папке автозагрузки и в ключах реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-> для Windows XP восстановление системы  %systemroot%\system32\restore\rstrui.exe 
-> Для восcтановление системы 7 и Vista вводим %systemroot%\system32\rstrui.exe
-> если восстановление не удалось, можно пробовать запустить Проводник %SystemRoot%\explorer.exe или C:\WINDOWS\explorer.exe)
-> Редактор реестра (в консоли - %SystemRoot%\regedit.exe или C:\WINDOWS\regedit.exe)

Что смотреть еще?

1. Изменение значения параметров (автозагрузка)
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
в разделе
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
или
HKEY_CURRENT_USER\ Software\ Microsoft\ WindowsNT\ CurrentVersion\ Winlogon
Изменение значения параметра "AppInit_DLLs"="" в разделе
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows
И, разумеется, параметры в стандартных разделах автозапуска в реестре:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
проверить файлы WIN.INI, AUTOEXEC.BAT, WINSTART.BAT

2. проблемы с IE
сначала реестор
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer
"SearchURL"=
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
"Default_Search_URL"=
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"=
"SearchURL"=
"Window Title"=
"Window_Placement"=
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Search
"SearchAssistant"=
HKEY_CURRENT_USER\ Software\ Micrsoft\ Internet Explorer\ Toolbar\W ebBrowser
"ITBarLayout"=
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ Search
"SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm"
"CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm"
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ AboutURLs
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdoclc.dll/navcancl.htm"
"OfflineInformation"="res://shdoclc.dll/offcancl.htm"
"blank"="res://mshtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"
"mozilla"="res://mshtml.dll/about.moz"
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ Main
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"=
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
"CompanyName"="Microsoft Corporation"
"Window Title"=
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ URL\ DefaultPrefix
@="http://"
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ URL\ Prefixes
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"
HKEY_USERS\ .Default\ Software\ Microsoft\ Internet Explorer
"SearchURL"=
HKEY_USERS\ .Default\ Software\ Microsoft\ Internet Explorer\ Main
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Search_URL"=
"Search Bar"=
"Local Page"=
"Start Page"=
HKEY_USERS\ .Default\ Software\ Microsoft\ Internet Explorer\ Search
"SearchAssistant"=

Файлы
(Temporary Internet Files), (History),
C:\WINDOWS\COOKIES 
C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS
C:\WINNT\SYSTEM32\DRIVERS\ETC

ВНО
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ explorer\ Browser Helper Objects
Подозрительные BHO можно попробовать удалить из списка (предварительно сделав резервную копию реестра) — это их полностью дезактивирует.
Однако, как выяснить — подозрительные они или нет, если в вышеупомянутом разделе только ничего не говорящие длиннющие номера? 
Технология в данном случае такова. 
Например, если в этом разделе вы обнаружите подраздел 
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ explorer\ Browser Helper Objects\ {A5366673-E8CA-11D3-9CD9-0090271D075B}, 
то произведите поиск во всем реестре найденного идентификатора BHO — {A5366673-E8CA-11D3-9CD9-0090271D075B}
 — обнаружите его упоминание также и в разделе HKEY_CLASSES_ROOT\ CLSID\ {A5366673-E8CA-11D3-9CD9-0090271D075B}. 
Просмотрите всё содержимое найденного раздела, чтобы определить,
 к какой программе относится этот BHO — в данном случае вы обнаружите такую запись:
HKEY_CLASSES_ROOT\ CLSID\ {A5366673-E8CA-11D3-9CD9-0090271D075B}\ InprocServer32
@="C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL"
из которой можно сделать вывод, что обнаруженный BHO создан программой FlashGet и никакой угрозы не представляет

Вредонос может изменить расположение файла hosts - проверьте ключ реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath
ДОЛЖНО быть значение %SystemRoot%\System32\drivers\etc

Удалить все статические маршруты - команда в консоли route -f

Лечение вируса который скрывает файлы на флеш

лечим пк 
1. грузимся с диска (например с somya PE)
2. запускаем autorans убиваем гада и запоминаем пути и размер 
3. открываем totolcommander ищем файл по размеру и убиваем

батник который это лечит 
1. создаем батник 
rem Нажмите любую клавишу для снятия атрибутов.
pause
attrib -S -H /D /S
rem Бат файл закончил работу, нажмите любую клавишу для выхода.
pause

2.кидаем в корень флешки
3. запускаем cmd от админа
идем в корень флешки e: и запускаем батник

Если доступна консоль в безопасном режиме

пишем руками либо создаем cmd файлик потом суем в систему.
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe, /f
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies /f
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 145 /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe" /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f

Писк моды шифрование диска

ftp://ftp.drweb.com/pub/drweb/tools/ тулсы доктор веба (dkripter)
http://forum.drweb.com/index.php?showtopic=304766

Поймал заразу на комп. 
Вместо фона рабочего стола картинка "Привет! сегодня тебе не повезло! твои файлы заблокированы..."
Вирус благополучно удалили, но вот засада....он гад зашифровал все файлы word, exel, картинки...

Запрос на лечение

https://vms.drweb.com/sendvirus/ запрос на лечение

лечилка
\te157decrypt.exe -e .ENC -P путь\ps.ce путь к файлам"

Попробуйте запустить так
te157decrypt.exe -p ключ
Где ключ - ключ из файла HOW TO DECRYPT FILES.txt

Запрос на лечение


https://vms.drweb.com/sendvirus/ запрос на лечение
Значит, не было письма.
Запустите ftp://ftp.drweb.com/pub/drweb/tools/te102decrypt.exe с параметрами командной строки -k h15 -e .mboaue@aol.com_104 может что и восстановит.

Вирус зашифровали файлы EnCiPhErEd

Клиент словил шифровальщик от этого же мошенника. Помог расшифровальщик от доктора веба
ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe
Запускать надо с ключом -k 326
Надеюсь кому нить это поможет.

https://vms.drweb.com/sendvirus/ запрос на лечение

HijackThis помощь в анализе системы

http://wiki.drweb.com/index.php/HijackThis

Восстановление файлов после вирусов шифровальщиков

http://safezone.cc/forum/showthread.php?t=17677
http://support.kaspersky.ru/virlab/helpdesk.html
https://www.nomoreransom.org

Обновление базы данных сигнатур вирусов завершено с ошибкой

eset nod32 Обновление базы данных сигнатур вирусов завершено с ошибкой
вариант 1 нод > Настройка > Перейти к дополнительным параметрам > Обновления > Общие >Очистить кэш обнавлений  {Очистить}
вариант 2 Удалить нод. скачать свежию версию. установить.