Лечение компьютерных вирусов и троянов в примерах
Самостоятельное лечение компьютера с помощью спец утилит (AVZ,
UVS...)
Примеры лечения вирусов/троянов
Дата публикации: 22.10.2012.
Подопытный: троян Win32:Susn-AU [Trj] / BackDoor.Bebloh.13
/ Trojan.Win32.Bublik.cxe
Анализ Virus Total:
смотреть (на дату публикации).
Зловред прописывает свое тело в папку C:\WINDOWS\SYSTEM32, причем имя EXE файла может быть разным, в рассмотренном примере: PACKG.EXE.
Ссылка на объект: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Особенностью зловреда является: 1) его автозапуск (отладчик системного процесса); 2) защита зловредного процесса, а также его записи в реестре (параметр Debugger).
- Обнаружение и удаление трояна с помощью Universal Virus Sniffer -
Программа UVS сразу выделяет файл зловреда во вкладку "Подозрительные и вирусы".
Для удаления трояна необходимо использовать функцию UVS "Безопасная виртуализация SYSTEM и SOFTWARE...". Если ее не использовать, то после перезагрузки компьютер не будет загружаться дальше Экрана приветствия Windows, причем это касается всех вариантов Безопасного режима Windows (если вы все таки допустили такую ситуацию, то используйте LiveCD).
Далее добавьте сигнатуру EXE файла трояна в базу UVS и убейте его согласно Краткой инструкции UVS.
Затем выполните раздел "После удаления вируса/трояна" Краткого мануала по UVS. За исключением перезагрузки компьютера!
Нажмите "Актуализировать SYSTEM и SOFTWARE...". Компьютер будет автоматически перезагружен.
- Обнаружение и удаление трояна с помощью AVZ -
Создайте лог AVZ (инструкция). AVZ сразу выделяет файл зловреда в подозрительные:
При создании скрипта лечения необходимо использовать BootCleaner.
Примерный скрипт лечения:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\WINDOWS\system32\wini.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
