Low-format.ru - Компьютеры, сети, технологии  

Вернуться   Low-format.ru - Компьютеры, сети, технологии > Программное обеспечение > Обзор и обсуждение программного обеспечения > Вирусы - обзор, устранение, помощь
Войти через OpenID


Вирусы - обзор, устранение, помощь Раздел о компьютерных вирусах - какие бывают, как с ними бороться, ваши проблемы с вирусами

Ответ
 
LinkBack Опции темы Опции просмотра
Старый 30.06.2011, 01:26   #1 (permalink)
GOD
Очки: 11,655, Уровень: 74 Очки: 11,655, Уровень: 74 Очки: 11,655, Уровень: 74
Активность: 99% Активность: 99% Активность: 99%
 
Аватар для admin
 
Регистрация: 26.06.2010
Адрес: Минск
Сообщений: 208
Вы сказали Спасибо: 4
Поблагодарили 14 раз(а) в 13 сообщениях
admin will become famous soon enough
Отправить сообщение для admin с помощью Skype™
Мой конфиг: Intel Xeon E3-1230 3300ГГц 16384Мб DDR3-1600 GeForce GT 710 3TB hard space
По умолчанию как вылечить компьютер от вирусов

Время от времени у каждого системного администратора возникает необходимость проверить «подозрительный» компьютер на предмет вредоносного ПО. Или странный трафик с него идет, или странные окошки вылезают, или того хуже какой-нибудь WinLock словили. Я расскажу о простой, почти пошаговой экспресс-методике, которую мы предлагаем нашим саппортерам-новичкам. Кому-то, возможно, она покажется неполной или слишком простой, тем не менее многие проблемы с ее помощью определить можно. А понять проблему — уже половина решения. В любом случае, буду рад прочитать в комментариях ваши дополнения и полезные советы по этому вопросу.


Вообще, исследовать компьютер на предмет «поиска заразы», это занятие увлекательное, но неблагодарное. Часто время, которое вы потратили на поиски и лечение, значительно больше того времени, которое вы потратили бы на полную переустановку компьютера с сохранением данных.
Пристально исследовать компьютер, можно только ради собственного образования\удовольствия, или в ситуации, когда на нем стоит непереносимое ПО (ПО, настройки которого никто не знает как перенести на новый компьютер, или это очень затратно по времени\ресурсам). Учитывая это, мы постарались чтобы методика проверки была максимально быстрой и малозатратной. Если по ней понять проблему не получается, то компьютер чаще всего переустановливается, либо в особо важных случаях, отдается старшим админам на более пристальное изучение.

Еще один важный момент: чтобы малоопытный саппортер мог корректно «проверять» зараженный компьютер, нужно в первую очередь обучить его понимать что в нем «нормально» а что нет, для этих целей мы в начале даем им свежеустановленный, чистый компьютер с примерным набором нашего внутреннего ПО, и они на нем тренируются. Тупо прогоняют все тесты, и смотрят что получается. Нарабатывают т.н. «шаблон чистого компьютера». Своими глазами видят срабатывания проверочных утилит на рядовые вещи, которые присутствуют даже на заведомо чистых компьютерах (например AVZ жутко ругается, если на компьютере стоит Symantec Endpoint Protection, и т.д.). В дальнейшем при проверках уже в реальных условиях настоящие «отклонения» довольно легко замечаются.
  1. Запустить на машине AVZ со свежими базами. В параметрах поставить: Эвристика — макс, Расширенный анализ, Блокировка пользовательских руткитов — в зависимости от важности машины. Вообще, лучше для начала просто запустить проверку и посмотреть на результат, ничего не блокируя. Проверить настройку SPI, открытые порты TCP\UDP с помощью того-же AVZ. Изучить результат, навскидку сравнить с выводом с чистой машины, отсеять известные программы дающие эффект срабатывания (антивирусы, перехватчики а-ля PuntoSwitcher и т. п.). Проанализировать разницу, если она есть.
  2. «Для фанатов» можно пройтись по пунктам меню СЕРВИС в AVZ. Поискать серые (неопознанные) строки по Program Files, Documents And Settings, Windows. Попытаться понять что это и для чего. На важных компьютерах лучше смотреть ВСЕ пункты (Менеджеры…, диспетчеры… и т.д.) меню СЕРВИС.
  3. Запустить Autoruns от Sysinternals. Включить в опциях параметр Verify Code Signature. Проанализировать результат на предмет «странности», обращать внимание на пути, названия, описания в столбцах Publisher и Description.
  4. Проверить уже исполняемые задания, с помощью Process Explorer от Sysinternals. Обращать внимание на путь к запускаемой программе (нужно включить дополнительно в меню View — Select Columns

Выполнение описанных процедур и внимательный анализ полученных результатов позволяет принять решение о том что делать дальше: чистить компьютер или пускать на переустановку. Процесс очистки системы почти всегда нешаблонный, творческий. Иные заразы довольно сложно вывести, они глубоко прописываются в службах, следят за удалением себя из авторан-путей, заменяют шелл и т.д. В конце концов существуют руткиты. Будьте готовы к тому, что окончательный путь очистки скорее всего придется хорошенько поискать, самый простой способ, скорее всего, будет неполным. Если все же решились, то чистить систему можно, например, так:
  1. Отключите службу Восстановления системы. проверьте, что все точки восстановления очистились. Традиционно это любимое «бомбоубежище» для разного рода заразы.
  2. Очистите все возможное с помощью AVZ (обязательно включите режим AVZ-Guard (в нем AVZ блокирует запуск стороннего софта и позволяет запускать ПО только из его интерфейса), запускать все что нужно из AVZ, мастер поиска и устранения проблем-чистка системы, отложенное удаление файлов, блокировка руткитов и т.д.)
  3. После (!) блокировки руткитов с помощью AVZ, в режиме AVZ-Guard запустите и внимательно изучите вывод утилиты Autoruns от Sysinternals. Зловреды обычно либо пишутся в «запускаемые ветки реестра», либо подменяют собой shell. Тут поможет опыт, зоркий глаз и «шаблон чистой машины»
  4. Очистите вручную в профиле зараженного пользователя:
    • Временные папки (%User%\Local Settings\Temp)
    • Кэш браузера (%User%\ Local Settings \Temporary Internet Files\Content.IE5)
    • Историю браузера (%User%\Local Settings\History\History.IE5)
    • Сбросьте настройки internet explorer на дефолтные (сервис-свойства обозревателя-дополнительно-сброс)
    • В Internet Explorer проверьте надстройки (сервис-свойства обозревателя-программы-надстройки). Лишнее отключить\удалить.
    • (Учтите, что после этих действий у текущего пользователя пропадет история посещений, сохраненные пароли, куки и т.п.)
    • аналогично прошерстите профили сторонних браузеров, если пользователь их использует
  5. Проверьте системные переменные (в командной строке наберите SET), особенно обратите внимание на PATH, при необходимости почистите, но будьте аккуратны, не удалите нужное. Здесь поможет тренировочный «шаблон чистой системы».
  6. Проверить SYSTEM-LOG от последней загрузки (журнал системы от события 6009-6005). Обращать внимание на ошибки при старте служб и запуске драйверов.
  7. Можно запустить портативные версии популярных антивирусов, например DrWeb Cure IT (он бесплатен только для личного использования, помните это) или версию от Лаборатории Касперского. Такие антивирусные утилиты обновляются регулярно, и каждый раз скорее всего придется качать их заново со свежими базами. Проверять ими можно не все, а только папки Documents And Settings, Program Files, Windows
  8. Если результат неудовлетворительный, загрузитесь с любого live-CD (Bart-pe, Alkid-LiveCD, Hiren BootCD и т.п.), и проверьте теми же антивирусными утилитами.
  9. Проверьте файлы в папках Windows и Windows\System32 на предмет их дат. Особое внимание обратите на файлы, которые изменены в день или за день до заражения. Если они имеют правильные названия, и на первый взгляд, нужны для работы системы — замените их аналогичными с соседней системы (учтите только что делать это можно с одинаковыми системами, которые хотя бы примерно похожи. Нельзя менять файл userinit.exe от WinXPSp2 на такой же файл от WinXPSP3 и т.д.


Если все равно не удалось вылечить машину, попробуйте обратиться в профильные ветки форумов, например Virusinfo, а если и там не помогли — серьезно подумайте о переустановке системы, т.к. троян вы может быть и вылечите, но время потратите очень много, и гарантий на полное излечение скорее всего не будет. А потраченное на это занятие время, вы могли бы потратить с гораздо большей пользой.

Upd: Для большей ясности дополню: машины которые исследуют таким образом УЖЕ отключены от сети, с них забрали данные (если их можно забрать). Эта экспресс-методика была написана для обучения личного состава, чтобы быстро и минимальными усилиями, неопытным саппортерам принимать решение: стоит ли лечить комп или пускать его на переустановку.
__________________
создание сайтов
admin вне форума   Ответить с цитированием
Этот пользователь сказал Спасибо admin за это полезное сообщение:
STALKER20UA (18.05.2013)
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
вход на удалённый компьютер сети wincc Сети, все для системного администратора 3 26.03.2011 20:18
Компьютер включается и работает, но черный экран Амаду Кергилов Все о Hardware (железе) 4 07.02.2011 20:10
как выбрать компьютер – руководство по оптимальной конфигурации admin Все о Hardware (железе) 0 05.12.2010 00:28


Текущее время: 08:03. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.10 Beta 1
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot
Яндекс.Метрика