Лечение компьютерных вирусов и троянов в примерах
Самостоятельное лечение компьютера с помощью спец утилит (AVZ, UVS...)

Навигация

Главная страница

Инструменты

Примеры лечения вирусов/троянов

Форум

Гостевая книга

Контакты

Ссылки

 

Лечение зловреда своими руками (BackDoor)

Дата публикации: 14.08.2012.
Подопытный: троян "BackDoor.Generic.3162" (Drweb) / "Email-Worm.Win32.Brontok.q" (Kaspersky) / "Win32/Brontok.CM" (ESET-NOD32).
Анализ Virus Total: смотреть (на дату публикации).


Согласно Virus Total, на момент публикации, зловред детектировался 41 антивирусом, например:

  • Avast: TWin32:Brontok-CE [Wrm]
  • AVG: I-Worm/Brontok.X
  • Comodo: Worm.Win32.Brontok.CM
  • DrWeb: BackDoor.Generic.3162
  • ESET-NOD32: Win32/Brontok.CM
  • Kaspersky: Email-Worm.Win32.Brontok.q
     

Зловред имеет иконку стандартной папки Windows, поэтому неопытному пользователю легко спутать EXE-файл вируса с обычной папкой, в которую захочется зайти:

После запуска зловреда, открывается раздел "Мои документы" Проводника, чтобы никто не догадался.

Вирус ведет себя вполне скрытно, поэтому может жить у пользователя вполне долго, пока установленный антивирус не начнет его детектировать.

- Удаление вируса с помощью AVZ -

После сканирования системы с помощью AVZ видны явные признаки заражения:

Из скриншотов выше видно, что AVZ обнаружил тела зловреда сигнатурно, что очень облегчает процесс лечения. Но даже если бы AVZ не знал вирус "в лицо", то его файлы (winlogon.exe, services.exe, lsass.exe) легко обнаружить, т.к. они находятся в подозрительной папке, к тому же, с подозрительными именами.

Чтобы ускорить и автоматизировать процесс лечения через AVZ, лучше воспользоваться скриптовой системой AVZ. Для этого: "Файл" -> "Стандартные скрипты" -> поставить галку на второй скрипт и нажать "Выполнить отмеченные скрипты".

После анализа системы, в папке AVZ ищите папку "LOG", а в ней файл virusinfo_syscheck - это html файл, запустите его, он откроется в браузере.

Теперь необходимо создать скрипт лечения. Этот процесс довольно прост: завершайте подозрительные процессы и удаляйте подозрительные записи:

После создания скрипта лечения, его следует скопировать в буфер, затем в AVZ: "Файл" -> "Выполнить скрипт", вставить из буфера код скрипта и нажать "Запустить".

У вас должен получиться примерно такой скрипт:

begin
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\local settings\application data\winlogon.exe');
TerminateProcessByName('c:\documents and settings\admin\local settings\application data\services.exe');
TerminateProcessByName('c:\documents and settings\admin\local settings\application data\lsass.exe');
DeleteFile('c:\documents and settings\admin\local settings\application data\lsass.exe');
DeleteFile('c:\documents and settings\admin\local settings\application data\services.exe');
DeleteFile('c:\documents and settings\admin\local settings\application data\winlogon.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\br3951on.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus-1464');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Empty.pif');
DeleteFile('C:\WINDOWS\ShellNew\RakyatKelaparan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Bron-Spizaetus');
DeleteFile('Explorer.exe C:\WINDOWS\KesenjanganSosial.exe');
DeleteFile('cmd-brontok.exe');
DeleteFile('C:\Documents and Settings\Admin\Шаблоны\6084-NendangBro.com');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
DeleteFile('C:\WINDOWS\Tasks\At2.job');
DeleteFile('C:\WINDOWS\Tasks\At3.job');
DeleteFile('C:\WINDOWS\Tasks\At4.job');
DeleteFile('C:\WINDOWS\system32\cmd-brontok.exe');
DeleteFile('C:\WINDOWS\kesenjangansosial.exe');
DeleteFile('C:\WINDOWS\shellnew\rakyatkelaparan.exe');
DeleteFile('C:\Documents and Settings\Admin\главное меню\программы\автозагрузка\empty.pif');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

Конечно, по началу, создание скриптов лечения кажется сложным процессом, поэтому тут нужна практика.

- Лечение зловреда с помощью UVS -

По сравнению с AVZ, утилита UVS гораздо проще помогает удалить вирус.

UVS сразу отображает во вкладке "Подозрительные и вирусы" файлы зловреда, поэтому лечение будет быстрым.

Добавляем сигнатуру первого подозрительного файла в вирусную базу (щелчок правой кнопки мыши по записи и выбрать соответствующий пункт в меню) и нажимаем кнопку "Проверить список".

Все тела зловреда станут помечены утилитой, остается нажать кнопку "Убить все вирусы" и перезагрузить компьютер.

назад | наверх

  При использовании материалов с данного сайта, просьба указывать ссылку на www.av-help.narod.ru
Hosted by uCoz