c:\Documents and Settings\Admin\Local Settings\Temp\
c:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\
c:\RECYCLER\
c:\System Volume Information\ — редко там вирь сидит но всеже бывает там доступ закрыт даже админу только ситема
c:\WINDOWS\Temp\
3. Проверяем наличие подозрительных *.exe в корне папок
c:\Documents and Settings\Admin\Application Data\
c:\Documents and Settings\Admin\Local Settings\Application Data\
c:\Documents and Settings\Admin\
c:\
4. в папках c:\WINDOWS\system32\ и c:\WINDOWS\system32\drivers\ сортируем файлы по дате и удалем все что было записанно с момента заражение примерно бывает от 3 дней до недели
первые 5 пунктов выполнять в Тотале ну или кому как удобно :)
далее лезим в реестр и в автозапуск
6. во всех LiveCD которыея видел пользовал есть утилитка Autoruns которая показывает все что запускаеться при запуске системы. Запускаем ее выбираем профил который будем рыть и вперед все что вызывает подозрение и запускаеться не из нужных мест типа c:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ или что то подобное удаляем отключаем кто ках хочет. На крайний случай если нет такой утилиты часто помогает утилита avz там тоже в менюшке Сервис есть Менеджер автозапуска тож самое.
7. Теперь реестр. самое частое эта эта ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
по параметрам
Userinit C:\WINDOWS\system32\Userinit.exe, — с запятой и ничего более
Shell Explorer.exe — но часто сам прописываю полный путь до этого файла
после этих нехитрых на мой взгляд манипуляций :) система хоть как то реагирует на действия пользователя после перезагрузки что позволяет установить антивирус обновить его и произвести полную проверку системы.
кроме 6-го пункта все для того что бы обнаруживать поделки школяров на дельфи , нормальную заразу этим ты не обойдешь , да и 6-й пункт так же выручает не всегда ....
Лично раз тыщу так вылечивал винлокеры и подобные заразы блокирующие доступ в инет. в папке c:\WINDOWS\system32\drivers\ часто лежат доп службы попавшие через авторан в систему которые убиваются просто удалением тут и блокировка реестра таск менеджера и все остальное. если сейчас рассказывать как настоящую заразу искать как тут уже говорилось одной статьи мало будет :)
sdra64.exe как лечить будешь ? находится в system32 , время исправленное , удаляться не хочет , скрытый , а обычном режиме не виден вообще и прочее ....
и это простой формграббер , что же про рутсток говорить ?
трабла в том что и винда его не видит (если он не профиле пользователя , на висте и семерке он в папку винды не попадает) , даже через сторонние файловые менеджеры , приходится извращаться ....
мало того, что начиная с ХП все винды перестали обращать внимание на свои размеры, они еще кроме этого практически все имеют "двойственность" в размере — это я про фактическое дублирование всех системных файлов (а в виста и 7 — вообще всего инсталлятора) так еще и точки восттановления — к которым сводится этот опус — мало чем помогут если вирус хороший.
сейчас основные пути распространения вирей и троянов — всевозможные кейгены и патчи.
и большинство ведется на фразу "перед установкой отключите антиврь" от доброго дяди, который специально или по незнанию прилагает ее к описанию установки.
года два назад собрал HTPC родителям с выходом в интернет в основном для просмотра онлайн-видео. Рассказал, как нужно пользоваться сетью, в особенности онлайном. Что можно делать а чего нельзя. Неделю назад нечаянно узнал, что я и антивирь поставить забыл :-/ Так что если ламер в голове, то ему и ламерово.
ЗЫ: Я антивирь всё же установил, систему на предмет каки проверил. Автозагрузка как и два года назад. Ничего лишнего. Лазием осторожно и читаем что пишет система внимательно (имеются ввиду всплывающие окна) и будет вамсчастье.
это тебе так кажется , а все потому что на деле толковый руткит хуй обнаружишь , рутсток только через 2 года обнаружили , а он не единственный ....
просто мы нах никому не нужны , индустрия ориентирована на пендостан и европу , с них есть что снять , у нас же только вебмани , яд , ну еще и смс , тут профессионализм не нужен ...
Комментарии
Странно, что про него ни слова :))
чего-то не понимаю, видимо? :))
Но вот они, в конце статьи :)))
— Тем, что между ушей.
— Ой, а это какой?!
— Нну, я даже не знаю.. У кого какой..
(самый страшный вирус, кстати, ровно там же)
все зловреды не обсудишь в статейке на ннм
1. загружаемся с LiveCD
2. чистим:
c:\Documents and Settings\Admin\Local Settings\Temp\
c:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\
c:\RECYCLER\
c:\System Volume Information\ — редко там вирь сидит но всеже бывает там доступ закрыт даже админу только ситема
c:\WINDOWS\Temp\
3. Проверяем наличие подозрительных *.exe в корне папок
c:\Documents and Settings\Admin\Application Data\
c:\Documents and Settings\Admin\Local Settings\Application Data\
c:\Documents and Settings\Admin\
c:\
4. в папках c:\WINDOWS\system32\ и c:\WINDOWS\system32\drivers\ сортируем файлы по дате и удалем все что было записанно с момента заражение примерно бывает от 3 дней до недели
5. проверяем c:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
и ни чего более
первые 5 пунктов выполнять в Тотале ну или кому как удобно :)
далее лезим в реестр и в автозапуск
6. во всех LiveCD которыея видел пользовал есть утилитка Autoruns которая показывает все что запускаеться при запуске системы. Запускаем ее выбираем профил который будем рыть и вперед все что вызывает подозрение и запускаеться не из нужных мест типа c:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ или что то подобное удаляем отключаем кто ках хочет. На крайний случай если нет такой утилиты часто помогает утилита avz там тоже в менюшке Сервис есть Менеджер автозапуска тож самое.
7. Теперь реестр. самое частое эта эта ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
по параметрам
Userinit C:\WINDOWS\system32\Userinit.exe, — с запятой и ничего более
Shell Explorer.exe — но часто сам прописываю полный путь до этого файла
после этих нехитрых на мой взгляд манипуляций :) система хоть как то реагирует на действия пользователя после перезагрузки что позволяет установить антивирус обновить его и произвести полную проверку системы.
и это простой формграббер , что же про рутсток говорить ?
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
еще и папка "автозагрузка" ....
но ничего страшного в этом нет, хочу сказать, что все исправить можно. все точка :)
и большинство ведется на фразу "перед установкой отключите антиврь" от доброго дяди, который специально или по незнанию прилагает ее к описанию установки.
года два назад собрал HTPC родителям с выходом в интернет в основном для просмотра онлайн-видео. Рассказал, как нужно пользоваться сетью, в особенности онлайном. Что можно делать а чего нельзя. Неделю назад нечаянно узнал, что я и антивирь поставить забыл :-/ Так что если ламер в голове, то ему и ламерово.
ЗЫ: Я антивирь всё же установил, систему на предмет каки проверил. Автозагрузка как и два года назад. Ничего лишнего. Лазием осторожно и читаем что пишет система внимательно (имеются ввиду всплывающие окна) и будет вамсчастье.
А большинство порнобанеров выносится простой чисткой всех временных каталогов (обычно js).
Эх, разучились вирусы писать... раньше было почти искусство...
просто мы нах никому не нужны , индустрия ориентирована на пендостан и европу , с них есть что снять , у нас же только вебмани , яд , ну еще и смс , тут профессионализм не нужен ...
и точно будет щастье
Толко бэкапы не реже1раза в неделю надо не забывать делать.