Лечение компьютерных вирусов и троянов в примерах
Самостоятельное лечение компьютера с помощью спец утилит (AVZ,
UVS...)
Примеры лечения вирусов/троянов
Дата публикации: 13.09.2012.
Подопытный: ASD.Prevention /
Backdoor.Win32.ZAccess!A2 / Backdoor.Win32.ZAccess.yio
Анализ Virus Total:
смотреть
(на дату публикации)
Зловред использует ряд приемов для усложнения его удаления, поэтому лечить его не очень просто.
- Обнаружение и удаление зловреда с помощью Universal Virus Sniffer -
Для нейтрализации вируса лучше запускать файл startf.exe, а не start.exe. UVS легко его идентифицирует и сразу выделяет во вкладку "Подозрительные и вирусы".
Суммировав три подозрительные записи UVS обобщаем информацию:
Полное имена:
C:\ RECYCLER\ S-1-5-21-299502267-2111687655-1957994488-500\ $26BD413E68E23DDC3FF813094BC72EA1\NC:\ RECYCLER\ S-1-5-18\ $26BD413E68E23DDC3FF813094BC72EA1\N
Имя файлаN
Статус
АКТИВНЫЙ ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ DLLПОДОЗРИТЕЛЬНЫЙ в автозапускеФайл НЕ НАЙДЕН, но был успешно открыт по указанному пути.
Размер47104 байт
СтатусПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]
Путь до файла Типичен для вирусов и троянов
Процессы на момент обновления списка
Процесс C:\WINDOWS\EXPLORER.EXEПроцесс C:\WINDOWS\SYSTEM32\SERVICES.EXE
Ссылки на объект
Ссылка HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad\ CDBurnСсылка HKEY_USERS\ S-1-5-21-299502267-2111687655-1957994488-500_Classes\ CLSID\ {fbeb8a05-beee-4442-804e-409d6c4515e9}\ InprocServer32\
Данная информация позволяет определить место расположения тела зловреда и приступить к его нейтрализации. Найти зловредный файл можно легко также во вкладках "Модули в памяти", "Основной автозапуск", "Неиз. модули в изв. процессах", "Потоки на базе DLL в изв. проц.".
Снимает сигнатуру с первой подозрительной записи согласно Краткой инструкции по использованию утилиты Universal Virus Sniffer. После нажатия кнопки "Проверить список" вторая запись тоже будет выделена красным цветом, т.к. файл зловреда один. Но третья не будет выделена и так же снять сигнатуру с ее не получится. Нажимаем "Убить все вирусы", перезагружаем компьютер.
Снова запускаем UVS через startf.exe. Теперь утилита обнаруживает только одну подозрительную запись вируса и сообщает, что файл не найден.
Выбираем "Дополнительно" -> "Выгрузить ВСЕ процессы кроме системных, блокировать запуск оболочки и служб".
Затем "Дополнительно" -> "Очистить корзину, удалить временный файлы, затем удалить ссылки на отсутствующие" и перезагрузка, согласно разделу "После удаления вируса/трояна" Краткой инструкции.
После загрузки Windows убедитесь, что не осталось подозрительных объектов. Затем посмотрите папку c:\RECYCLER - не осталось ли в ней папок, в которые нельзя зайти. Если остались проблемы, то удалите эти папки с помощью утилиты unlocker.
