Восстановление работоспособности системы после вирусов.
Просмотров : 1194 10-05-2013, 16:32
Восстановление работоспособности системы после вирусов.
Антивирусные программы, даже при обнаружении и удалении вредоносного программного обеспечения, далеко не всегда восстанавливают полную работоспособность системы. Нередко, после удаления вируса, пользователь компьютера получает пустой рабочий стол, полное отсутствие доступа в Интернет (или блокировку доступа к некоторым сайтам), неработающую мышку и т.п. Вызвано это, как правило, тем, что остались нетронутыми некоторые системные или пользовательские настройки, измененные вредоносной программой под свои нужды.
Восстановление системы, в случае, когда загрузка или вход в систему невозможны.
Самым простым и действенным способом восстановления поврежденной вредоносным программным обеспечением системы является откат на точку восстановления (Restore Point) когда система еще была в работоспособном состоянии. Кстати, этот же прием можно использовать и для нейтрализации вируса. Откат выполняется таким образом, что изменяются только системные файлы Windows и содержимое реестра. Естественно, восстанавливаются и те элементы, которые, после заражения, позволяют вредоносной программе выполнять свой запуск. Другими словами, откат системы на момент до возникновения вирусного заражения дает возможность изолировать исполняемые файлы вируса и даже, если они остаются в системе, их автоматический запуск не производится, и они никоим образом не могут влиять на работу ОС. Откат на точку восстановления выполняется в среде самой Windows XP (Меню Пуск - Программы - Стандартные - Служебные - Восстановление системы )и в случаях, когда вход в систему невозможен, становится также невыполнимым. Однако, существует инструмент под названием ERD Commander (ERDC), позволяющий выполнить восстановление системы, даже в случае невозможности запуска штатных средств. Подробное описание ERD Commander и примеры практической работы с ним найдете в отдельной статье.
А в общих чертах, восстановление выполняется с помощью средства ERDC под названием System Restore Wizard . Сначала выполняется загрузка ERD Commander, который представляет собой усеченный вариант Windows (WinPE - Windows Preinstall Edition) и набор специальных программных инструментов для работы с ОС установленной на жестком диске. Затем запускается инструмент System Restore Wizard, с помощью которого позволяется откат системы на созданную в среде ремонтируемой системы точку восстановления. При наличии кондиционных данных точки восстановления, в подавляющем большинстве случаев, система возвращается к работоспособному состоянию.
Восстановление работоспособности с помощью антивирусной утилиты AVZ.
Это самый простой, не требующий особой квалификации, способ. Антивирусная утилита AVZ Олега Зайцева, кроме основных функций обнаружения и удаления вредоносного ПО, имеет и дополнительную - восстановление работоспособности системы, с помощью специальных подпрограмм, или, по терминологии AVZ - микропрограмм. Утилита AVZ позволяет легко восстановить некоторые системные настройки, поврежденные вирусами. Помогает в случаях, когда не запускаются программы, при подмене страниц, открываемых обозревателем, подмене домашней страницы, страницы поиска, при изменении настроек рабочего стола, невозможности запуска редактора реестра, отсутствии доступа в Интернет и т.п.
Для запуска процедур восстановления выбираем меню Файл - Восстановление системы и отмечаем галочкой нужную микропрограмму восстановления:
1.Восстановление параметров запуска .exe, .com, .pif файлов
Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.
Показания к применению:
после удаления вируса перестают запускаться программы.
2.Сброс настроек префиксов протоколов Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer
Показания к применению:
при вводе адреса типа www.yandex.ru идет его подмена на что-то вида www.seque.com/abcd.php?url=www.yandex.ru
3.Восстановление стартовой страницы Internet Explorer
Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer
Показания к применению:
подмена стартовой страницы
4.Сброс настроек поиска Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки поиска в Internet Explorer
Показания к применению:
При нажатии кнопки "Поиск" в IE идет обращение к какому-то постороннему сайту
5.Восстановление настроек рабочего стола
Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesktop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.
Показания к применению:
Исчезли закладки настройки рабочего стола в окне "Свойства:экран", на рабочем столе отображаются посторонние надписи или рисунки
6.Удаление всех Policies (ограничений) текущего пользователя
Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.
Показания к применению:
Заблокированы функции проводника или иные функции системы.
7.Удаление сообщения, выводимого в ходе WinLogon
Windows NT и последующие системы в линейке NT (2000, XP) позволяют установить сообщение, отображаемое в ходе автозагрузки. Этим пользуется ряд вредоносных программ, причем уничтожение вредоносной программы не приводит к уничтожению этого сообщения.
Показания к применению:
В ходе загрузки системы вводится постороннее сообщение.
8.Восстановление настроек проводника
Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).
Показания к применению:
Изменены настройки проводника
9.Удаление отладчиков системных процессов
Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ
Показания к применению:
AVZ обнаруживает неопознанные отладчики системных процессов, возникают проблемы с запуском системных компонент, в частности после перезагрузки исчезает рабочий стол.
10.Восстановление настроек загрузки в безопасном режиме (SafeMode)
Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.
Показания к применению:
Компьютер не загружается в защищенном режиме (SafeMode). Применять данную микропрограмму следует только в случае проблем с загрузкой в защищенном режиме.
11.Разблокировка диспетчера задач
Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.
Показания к применению:
Блокировка диспетчера задач, при попытке вызова диспетчера задач выводится сообщение "Диспетчер задач заблокирован администратором".
12.Очистка списка игнорирования утилиты HijackThis
Утилита HijackThis хранит в реестре ряд своих настроек, в частности - список исключений. Поэтому для маскировки от HijackThis вредоносной программе достаточно зарегистрировать свои исполняемые файлы в списке исключений. В настоящий момент известен ряд вредоносных программ, использующих данную уязвимость. Микропрограмма AVZ выполняет очистку списка исключений утилиты HijackThis
Показания к применению:
Подозрения на то, что утилита HijackThis отображает не всю информацию о системе.
13. Очистка файла Hosts
Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".
Показания к применению:
Подозрения на то, файл Hosts изменен вредоносной программой. Типичные симптомы - блокировка обновления антивирусных программ. Проконтролировать содержимое файла Hosts можно при помощи менеджера Hosts файла, встроенного в AVZ.
14. Автоматическое исправление настроек SPl/LSP
Выполняет анализ настроек SPI и в случае обнаружения ошибок производит автоматическое исправление найденных ошибок. Данную микропрограмму можно запускать повторно неограниченное количество раз. После выполнения данной микропрограммы рекомендуется перезагрузить компьютер. Внимание ! Данную микропрограмму нельзя запускать из терминальной сессии
Показания к применению:
После удаления вредоносной программы пропал доступ в Интернет.
15. Сброс настроек SPI/LSP и TCP/IP (XP+)
Данная микропрограмма работает только в XP, Windows 2003 и Vista. Ее принцип работы основан на сбросе и пересоздании настроек SPI/LSP и TCP/IP при помощи штатной утилиты netsh, входящей в состав Windows. Подробно про сброс настроек можно прочитать в базе знаний Microsoft - Обратите внимание ! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ !
Показания к применению:
После удаления вредоносной программы пропал доступ в Интернет и выполнение микропрограммы "14. Автоматическое исправление настроек SPl/LSP" не дает результата.
16. Восстановление ключа запуска Explorer
Восстанавливает системные ключи реестра, отвечающие за запуск проводника.
Показания к применению:
В ходе загрузки системы не запускается проводник, но запуск explorer.exe вручную возможен.
17. Разблокировка редактора реестра
Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.
Показания к применению:
Невозможно запустить редактор реестра, при попытке выводится сообщение о том, что его запуск заблокирован администратором.
18. Полное пересоздание настроек SPI
Выполняет резервное копирование настроек SPI/LSP, после чего уничтожает их и создает по эталону, который хранится в базе.
Показания к применению:
Тяжелые повреждения настроек SPI, неустранимые скриптами 14 и 15. Применять только в случае необходимости !
19. Очистить базу MountPoints
Выполняет очистку базы MountPoints и MountPoints2 в реестре. Данная операция нередко помогает в случае, когда после заражения Flash-вирусом в проводнике не открываются диски Для выполнения восстановления необходимо отметить один или несколько пунктов и нажать кнопку "Выполнить отмеченные операции". Нажатие кнопки "ОК" закрывает окно.
На заметку:
Восстановление бесполезно, если в системе работает троянская программа, выполняющая подобные перенастройки - необходимо сначала удалить вредоносную программу, а затем восстанавливать настройки системы
На заметку:
Для устранения следов большинства Hijacker необходимо выполнить три микропрограммы - "Сброс настроек поиска Internet Explorer на стандартные", "Восстановление стартовой страницы Internet Explorer", "Сброс настроек префиксов протоколов Internet Explorer на стандартные"
На заметку:
Любую из микропрограмм можно выполнять несколько раз подряд без ущерба для системы. Исключения - "5.Восстановление настроек рабочего стола" (работа этой микропрограммы сбросит все настройки рабочего стола и придется заново выбирать раскраску рабочего стола и обои) и "10. Восстановление настроек загрузки в SafeMode" (данная микропрограмма пересоздает ключи реестра, отвечающие за загрузку в безопасном режиме).
Если не работают некоторые устройства после лечения системы от вирусов.
Клавиатурные шпионы и вирусы, использующие руткит-технологии для маскировки своего присутствия в зараженной системе, нередко устанавливают свой драйвер как дополнение к реальному драйверу, обслуживающему какое-либо устройство (чаще всего клавиатуру или мышь). Простое удаление файла "вирусного" драйвера без удаления из реестра записи, ссылающейся на него, приведет к неработоспособности "обслуживаемого" устройства.
Подобное же явление имеет место при неудачном удалении антивируса Касперского, кода перестает работать мышь, и в диспетчере устройств она отображается как устройство с ошибкой, для которого не были загружены все драйверы. Проблема возникает по причине использования антивирусом дополнительного драйвера klmouflt, который устанавливался при инсталляции антивируса. При деинсталляции файл драйвера был удален, но ссылка в реестре на драйвер klmouflt, осталась.
Подобное явление наблюдается и при удалении файла драйвера руткита и оставшейся в реестре ссылке на него. Для устранения проблемы нужно сделать поиск в реестре по строке UpperFilters.
Везде, где в ключах реестра встретится значение
klmouflt - для драйвера от антивируса Касперского
или другое название - для драйвера руткита
mouclass
удалить ненужное klmouflt и перезагрузиться.
Обычно при неработающей клавиатуре и мыши нужно чтобы были восстановлены ключи реестра
Клавиатура:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E96B-E325-11CE-BFC1-08002BE10318}
UpperFilters=kbdclass
Мышь:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E96F-E325-11CE-BFC1-08002BE10318}
UpperFilters=mouclass
Если проблема осталась, можно поискать аналогичные значения в LowerFilters
Если недоступны некоторые сайты после лечения от вируса.
Проблема возникает в тех случаях, когда вирус был обезврежен, но остались некоторые изменения настроек системы, предпринятые для затруднения использования поисковых систем, сайтов по компьютерной безопасности и антивирусной тематике. Иногда блокируются наиболее популярные ресурсы (odnoklassniki.ru, vk.com, twitter.com :) и т.п.
Обычно вирусы используют 2 способа блокировки сайтов - подмену содержимого файла hosts и добавление в таблицу маршрутизации ложных статических маршрутов.
Попробую в упрощенном виде пояснить оба способа. Когда вы, например, набираете в адресной строке браузера имя сайта (пусть будет - yandex.ru), сначала определяется IP-адрес, соответствующий данному доменному имени. Занимается этим системная служба DNS-клиент Порядок определения адреса следующий:
- просматривается собственный кэш службы DNS-клиент на предмет наличия ранее определенного IP. Если данные об IP-адресе имеются, то разрешение имени на этом завершается и данные берутся из кэш.
- если данных в кэш DNS-клиента нет, то выполняется чтение специального файла hosts, где в текстовом виде хранятся соответствия имен узлов их IP-адресам.
- если искомой записи нет в файле hosts - выполняется запрос на разрешение доменного имени к DNS-серверу из настроек сетевого подключения. Клиент подключается к серверу по протоколу UDP на порт 53 и отправляет DNS-запрос, содержащий имя узла (yandex.ru). В ответ получает DNS-ответ, включающий IP-адрес запрашиваемого узла.
Получив адрес, браузер подключается к yandex.ru по протоколу HTTP ( протоколу TCP на порт 80 сервера, адрес которого был получен при разрешении доменного имени yandex.ru).
Самый простой способ направить подключение "не туда" - подправить файл hosts. Этот файл обычно хранится в папке
windowssystem32driversetc
и представляет собой простой текстовый файл с комментариями (строки, начинающиеся с символа #) и, стандартно, с одной записью в виде:
127.0.0.1 localhost
определяющей, что для имени localhost используется адрес 127.0.0.1 Это, так называемый, петлевой интерфейс, при работе через который не выполняется реальная передача данных. Адрес 127.0.0.1 - часто называют внутренней петлей (loopback) и применяют для межпрограммной передачи данных с использованием IP-протокола внутри системы, когда и клиент, и сервер находятся на одном компьютере. Если в файл hosts, например, добавить строку:
127.0.0.1 yandex.ru
то доменному имени yandex.ru будет сопоставлен IP-адрес внутренней петли и сайт Яндекса станет недоступным. Обращение обозревателя по имени yandex.ru завершится ошибкой. Возможен и иной вариант - использование не 127.0.0.1, а адреса совершенно стороннего узла, например, google.com. Запись в виде :
74.125.87.99 yandex.ru
приведет, желающего воспользоваться Яндексом посетителя, на сайт Google. Или, при наличии соответствующей строчки в файле hosts, - на другой сайт, нужный вирусописателям. Нередко подобный прием используется для подмены страниц регистрации пользователей популярных социальных сетей (vk.com, odnoklassniki.ru, quip.ru... и т.п.) с целью хищения учетных данных и их использования для отсылки спам-сообщений, троллинга, вымогательства и т.д.
Нередко встречаются случаи изменения не содержимого файла hosts, а его местонахождения. Стандартный файл в этом случае остается без изменения, но с помощью исправления ключа реестра
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParametersDataBasePath
в качестве файла hosts может быть задан другой файл. Обычно этот ключ содержит строку типа REG_EXPAND_SZ и вида
%SystemRoot%System32driversetc
т.е. указывает на каталог, где находится файл hosts. Если запись изменить, например, на
%TEMP%
то для определения IP-адресов узлов будет использоваться файл hosts из каталога, заданного значением переменной TEMP
Немного необычный подход к подмене содержимого файла hosts появился в некоторых вредоносных программах, в частности, семейства Win32/Vundo. Троянец переименовывает "настоящий" файл hosts в файл hоsts, где латинская буква "o" заменена на точно такую же по отображаемому виду, кириллическую "o" и создает поддельный скрытый файл hosts, с правильным именем и поддельным содержанием. Естественно, файл, имя которого содержит русскую букву "о", в разрешении доменных имен не принимает никакого участия и предназначен для введения в заблуждение пользователя, который попытается проверить содержимое hosts. При ручном просмотре каталога
%SystemRoot%System32driversetc
пользователь либо видит файл hоsts c измененной буквой в имени, либо, если включен режим отображения скрытых файлов, - два, одинаковых по написанию имени, файла hosts.
Файловая система не позволит создать 2 файла с одним и тем же именем. Просто один из них, размером 172 кб и имеющий атрибут "скрытый" - это измененный вирусом файл с правильным именем, а второй - файл, в имени которого изменена латинская буква "o" на русскую букву "о". В файле с неверным именем вирус оставил его исходное содержание, но для разрешения имен будет использоваться измененный скрытый файл, где в 172 кб текста находится огромное количество записей вроде
31.214.145.172 vk.com - для подмены адреса сайта
127.0.0.1 avast.com - для блокировки доступа к сайту антивируса
Блокировка узлов с помощью поддельного содержимого файла hosts - не единственный прием, применяемый разработчиками вредоносных программ. В некоторых случаях, с данной целью, используется создание ложных маршрутов в таблице маршрутизации. При этом, некоторые IP-адреса (группы адресов) становятся также недостижимыми.
Если, в рассматриваемом выше примере, подмены адреса сайта ложным содержимым файла hosts не произошло, то при разрешении доменного имени будет получен правильный IP - адрес сервера, который, естественно, не принадлежит диапазону адресов локальной сети, т.е не достижим локально и программные средства протокола для подключения к данному серверу, должны направить IP-пакет через маршрутизатор. Обычно это выполняется через шлюз по умолчанию (default gateway), определенный настройками сетевого подключения. Однако, если в таблицу маршрутизации добавить статический маршрут, задающий путь для конкретного IP-адреса (или подсети), то подключение будет выполняться через указанный в этом маршруте, шлюз (маршрутизатор). И если такого маршрутизатора не существует или он неработоспособен, - подключение к серверу сайта не выполнится. Именно этот способ выборочной блокировки сайтов, все чаще, стали использовать создатели вредоносных программ.
Статические маршруты задают путь для достижения конкретного узла и сохраняются в разделе реестра HKLMSYSTEMCurrentControlSetServicesTcpipParametersPersistentRoutes
Для добавления постоянного маршрута обычно используется команда route add с параметром /P или прямая запись в данный раздел реестра, что обычно и делается вредоносными программами. При отсутствии статических маршрутов данный раздел не содержит никаких записей.
Антивирусные программы, даже при обнаружении и удалении вредоносного программного обеспечения, далеко не всегда восстанавливают полную работоспособность системы. Нередко, после удаления вируса, пользователь компьютера получает пустой рабочий стол, полное отсутствие доступа в Интернет (или блокировку доступа к некоторым сайтам), неработающую мышку и т.п. Вызвано это, как правило, тем, что остались нетронутыми некоторые системные или пользовательские настройки, измененные вредоносной программой под свои нужды.
Восстановление системы, в случае, когда загрузка или вход в систему невозможны.
Самым простым и действенным способом восстановления поврежденной вредоносным программным обеспечением системы является откат на точку восстановления (Restore Point) когда система еще была в работоспособном состоянии. Кстати, этот же прием можно использовать и для нейтрализации вируса. Откат выполняется таким образом, что изменяются только системные файлы Windows и содержимое реестра. Естественно, восстанавливаются и те элементы, которые, после заражения, позволяют вредоносной программе выполнять свой запуск. Другими словами, откат системы на момент до возникновения вирусного заражения дает возможность изолировать исполняемые файлы вируса и даже, если они остаются в системе, их автоматический запуск не производится, и они никоим образом не могут влиять на работу ОС. Откат на точку восстановления выполняется в среде самой Windows XP (Меню Пуск - Программы - Стандартные - Служебные - Восстановление системы )и в случаях, когда вход в систему невозможен, становится также невыполнимым. Однако, существует инструмент под названием ERD Commander (ERDC), позволяющий выполнить восстановление системы, даже в случае невозможности запуска штатных средств. Подробное описание ERD Commander и примеры практической работы с ним найдете в отдельной статье.
А в общих чертах, восстановление выполняется с помощью средства ERDC под названием System Restore Wizard . Сначала выполняется загрузка ERD Commander, который представляет собой усеченный вариант Windows (WinPE - Windows Preinstall Edition) и набор специальных программных инструментов для работы с ОС установленной на жестком диске. Затем запускается инструмент System Restore Wizard, с помощью которого позволяется откат системы на созданную в среде ремонтируемой системы точку восстановления. При наличии кондиционных данных точки восстановления, в подавляющем большинстве случаев, система возвращается к работоспособному состоянию.
Восстановление работоспособности с помощью антивирусной утилиты AVZ.
Это самый простой, не требующий особой квалификации, способ. Антивирусная утилита AVZ Олега Зайцева, кроме основных функций обнаружения и удаления вредоносного ПО, имеет и дополнительную - восстановление работоспособности системы, с помощью специальных подпрограмм, или, по терминологии AVZ - микропрограмм. Утилита AVZ позволяет легко восстановить некоторые системные настройки, поврежденные вирусами. Помогает в случаях, когда не запускаются программы, при подмене страниц, открываемых обозревателем, подмене домашней страницы, страницы поиска, при изменении настроек рабочего стола, невозможности запуска редактора реестра, отсутствии доступа в Интернет и т.п.
Для запуска процедур восстановления выбираем меню Файл - Восстановление системы и отмечаем галочкой нужную микропрограмму восстановления:
1.Восстановление параметров запуска .exe, .com, .pif файлов
Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.
Показания к применению:
после удаления вируса перестают запускаться программы.
2.Сброс настроек префиксов протоколов Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer
Показания к применению:
при вводе адреса типа www.yandex.ru идет его подмена на что-то вида www.seque.com/abcd.php?url=www.yandex.ru
3.Восстановление стартовой страницы Internet Explorer
Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer
Показания к применению:
подмена стартовой страницы
4.Сброс настроек поиска Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки поиска в Internet Explorer
Показания к применению:
При нажатии кнопки "Поиск" в IE идет обращение к какому-то постороннему сайту
5.Восстановление настроек рабочего стола
Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesktop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.
Показания к применению:
Исчезли закладки настройки рабочего стола в окне "Свойства:экран", на рабочем столе отображаются посторонние надписи или рисунки
6.Удаление всех Policies (ограничений) текущего пользователя
Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.
Показания к применению:
Заблокированы функции проводника или иные функции системы.
7.Удаление сообщения, выводимого в ходе WinLogon
Windows NT и последующие системы в линейке NT (2000, XP) позволяют установить сообщение, отображаемое в ходе автозагрузки. Этим пользуется ряд вредоносных программ, причем уничтожение вредоносной программы не приводит к уничтожению этого сообщения.
Показания к применению:
В ходе загрузки системы вводится постороннее сообщение.
8.Восстановление настроек проводника
Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).
Показания к применению:
Изменены настройки проводника
9.Удаление отладчиков системных процессов
Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ
Показания к применению:
AVZ обнаруживает неопознанные отладчики системных процессов, возникают проблемы с запуском системных компонент, в частности после перезагрузки исчезает рабочий стол.
10.Восстановление настроек загрузки в безопасном режиме (SafeMode)
Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.
Показания к применению:
Компьютер не загружается в защищенном режиме (SafeMode). Применять данную микропрограмму следует только в случае проблем с загрузкой в защищенном режиме.
11.Разблокировка диспетчера задач
Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.
Показания к применению:
Блокировка диспетчера задач, при попытке вызова диспетчера задач выводится сообщение "Диспетчер задач заблокирован администратором".
12.Очистка списка игнорирования утилиты HijackThis
Утилита HijackThis хранит в реестре ряд своих настроек, в частности - список исключений. Поэтому для маскировки от HijackThis вредоносной программе достаточно зарегистрировать свои исполняемые файлы в списке исключений. В настоящий момент известен ряд вредоносных программ, использующих данную уязвимость. Микропрограмма AVZ выполняет очистку списка исключений утилиты HijackThis
Показания к применению:
Подозрения на то, что утилита HijackThis отображает не всю информацию о системе.
13. Очистка файла Hosts
Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".
Показания к применению:
Подозрения на то, файл Hosts изменен вредоносной программой. Типичные симптомы - блокировка обновления антивирусных программ. Проконтролировать содержимое файла Hosts можно при помощи менеджера Hosts файла, встроенного в AVZ.
14. Автоматическое исправление настроек SPl/LSP
Выполняет анализ настроек SPI и в случае обнаружения ошибок производит автоматическое исправление найденных ошибок. Данную микропрограмму можно запускать повторно неограниченное количество раз. После выполнения данной микропрограммы рекомендуется перезагрузить компьютер. Внимание ! Данную микропрограмму нельзя запускать из терминальной сессии
Показания к применению:
После удаления вредоносной программы пропал доступ в Интернет.
15. Сброс настроек SPI/LSP и TCP/IP (XP+)
Данная микропрограмма работает только в XP, Windows 2003 и Vista. Ее принцип работы основан на сбросе и пересоздании настроек SPI/LSP и TCP/IP при помощи штатной утилиты netsh, входящей в состав Windows. Подробно про сброс настроек можно прочитать в базе знаний Microsoft - Обратите внимание ! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ !
Показания к применению:
После удаления вредоносной программы пропал доступ в Интернет и выполнение микропрограммы "14. Автоматическое исправление настроек SPl/LSP" не дает результата.
16. Восстановление ключа запуска Explorer
Восстанавливает системные ключи реестра, отвечающие за запуск проводника.
Показания к применению:
В ходе загрузки системы не запускается проводник, но запуск explorer.exe вручную возможен.
17. Разблокировка редактора реестра
Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.
Показания к применению:
Невозможно запустить редактор реестра, при попытке выводится сообщение о том, что его запуск заблокирован администратором.
18. Полное пересоздание настроек SPI
Выполняет резервное копирование настроек SPI/LSP, после чего уничтожает их и создает по эталону, который хранится в базе.
Показания к применению:
Тяжелые повреждения настроек SPI, неустранимые скриптами 14 и 15. Применять только в случае необходимости !
19. Очистить базу MountPoints
Выполняет очистку базы MountPoints и MountPoints2 в реестре. Данная операция нередко помогает в случае, когда после заражения Flash-вирусом в проводнике не открываются диски Для выполнения восстановления необходимо отметить один или несколько пунктов и нажать кнопку "Выполнить отмеченные операции". Нажатие кнопки "ОК" закрывает окно.
На заметку:
Восстановление бесполезно, если в системе работает троянская программа, выполняющая подобные перенастройки - необходимо сначала удалить вредоносную программу, а затем восстанавливать настройки системы
На заметку:
Для устранения следов большинства Hijacker необходимо выполнить три микропрограммы - "Сброс настроек поиска Internet Explorer на стандартные", "Восстановление стартовой страницы Internet Explorer", "Сброс настроек префиксов протоколов Internet Explorer на стандартные"
На заметку:
Любую из микропрограмм можно выполнять несколько раз подряд без ущерба для системы. Исключения - "5.Восстановление настроек рабочего стола" (работа этой микропрограммы сбросит все настройки рабочего стола и придется заново выбирать раскраску рабочего стола и обои) и "10. Восстановление настроек загрузки в SafeMode" (данная микропрограмма пересоздает ключи реестра, отвечающие за загрузку в безопасном режиме).
Если не работают некоторые устройства после лечения системы от вирусов.
Клавиатурные шпионы и вирусы, использующие руткит-технологии для маскировки своего присутствия в зараженной системе, нередко устанавливают свой драйвер как дополнение к реальному драйверу, обслуживающему какое-либо устройство (чаще всего клавиатуру или мышь). Простое удаление файла "вирусного" драйвера без удаления из реестра записи, ссылающейся на него, приведет к неработоспособности "обслуживаемого" устройства.
Подобное же явление имеет место при неудачном удалении антивируса Касперского, кода перестает работать мышь, и в диспетчере устройств она отображается как устройство с ошибкой, для которого не были загружены все драйверы. Проблема возникает по причине использования антивирусом дополнительного драйвера klmouflt, который устанавливался при инсталляции антивируса. При деинсталляции файл драйвера был удален, но ссылка в реестре на драйвер klmouflt, осталась.
Подобное явление наблюдается и при удалении файла драйвера руткита и оставшейся в реестре ссылке на него. Для устранения проблемы нужно сделать поиск в реестре по строке UpperFilters.
Везде, где в ключах реестра встретится значение
klmouflt - для драйвера от антивируса Касперского
или другое название - для драйвера руткита
mouclass
удалить ненужное klmouflt и перезагрузиться.
Обычно при неработающей клавиатуре и мыши нужно чтобы были восстановлены ключи реестра
Клавиатура:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E96B-E325-11CE-BFC1-08002BE10318}
UpperFilters=kbdclass
Мышь:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E96F-E325-11CE-BFC1-08002BE10318}
UpperFilters=mouclass
Если проблема осталась, можно поискать аналогичные значения в LowerFilters
Если недоступны некоторые сайты после лечения от вируса.
Проблема возникает в тех случаях, когда вирус был обезврежен, но остались некоторые изменения настроек системы, предпринятые для затруднения использования поисковых систем, сайтов по компьютерной безопасности и антивирусной тематике. Иногда блокируются наиболее популярные ресурсы (odnoklassniki.ru, vk.com, twitter.com :) и т.п.
Обычно вирусы используют 2 способа блокировки сайтов - подмену содержимого файла hosts и добавление в таблицу маршрутизации ложных статических маршрутов.
Попробую в упрощенном виде пояснить оба способа. Когда вы, например, набираете в адресной строке браузера имя сайта (пусть будет - yandex.ru), сначала определяется IP-адрес, соответствующий данному доменному имени. Занимается этим системная служба DNS-клиент Порядок определения адреса следующий:
- просматривается собственный кэш службы DNS-клиент на предмет наличия ранее определенного IP. Если данные об IP-адресе имеются, то разрешение имени на этом завершается и данные берутся из кэш.
- если данных в кэш DNS-клиента нет, то выполняется чтение специального файла hosts, где в текстовом виде хранятся соответствия имен узлов их IP-адресам.
- если искомой записи нет в файле hosts - выполняется запрос на разрешение доменного имени к DNS-серверу из настроек сетевого подключения. Клиент подключается к серверу по протоколу UDP на порт 53 и отправляет DNS-запрос, содержащий имя узла (yandex.ru). В ответ получает DNS-ответ, включающий IP-адрес запрашиваемого узла.
Получив адрес, браузер подключается к yandex.ru по протоколу HTTP ( протоколу TCP на порт 80 сервера, адрес которого был получен при разрешении доменного имени yandex.ru).
Самый простой способ направить подключение "не туда" - подправить файл hosts. Этот файл обычно хранится в папке
windowssystem32driversetc
и представляет собой простой текстовый файл с комментариями (строки, начинающиеся с символа #) и, стандартно, с одной записью в виде:
127.0.0.1 localhost
определяющей, что для имени localhost используется адрес 127.0.0.1 Это, так называемый, петлевой интерфейс, при работе через который не выполняется реальная передача данных. Адрес 127.0.0.1 - часто называют внутренней петлей (loopback) и применяют для межпрограммной передачи данных с использованием IP-протокола внутри системы, когда и клиент, и сервер находятся на одном компьютере. Если в файл hosts, например, добавить строку:
127.0.0.1 yandex.ru
то доменному имени yandex.ru будет сопоставлен IP-адрес внутренней петли и сайт Яндекса станет недоступным. Обращение обозревателя по имени yandex.ru завершится ошибкой. Возможен и иной вариант - использование не 127.0.0.1, а адреса совершенно стороннего узла, например, google.com. Запись в виде :
74.125.87.99 yandex.ru
приведет, желающего воспользоваться Яндексом посетителя, на сайт Google. Или, при наличии соответствующей строчки в файле hosts, - на другой сайт, нужный вирусописателям. Нередко подобный прием используется для подмены страниц регистрации пользователей популярных социальных сетей (vk.com, odnoklassniki.ru, quip.ru... и т.п.) с целью хищения учетных данных и их использования для отсылки спам-сообщений, троллинга, вымогательства и т.д.
Нередко встречаются случаи изменения не содержимого файла hosts, а его местонахождения. Стандартный файл в этом случае остается без изменения, но с помощью исправления ключа реестра
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParametersDataBasePath
в качестве файла hosts может быть задан другой файл. Обычно этот ключ содержит строку типа REG_EXPAND_SZ и вида
%SystemRoot%System32driversetc
т.е. указывает на каталог, где находится файл hosts. Если запись изменить, например, на
%TEMP%
то для определения IP-адресов узлов будет использоваться файл hosts из каталога, заданного значением переменной TEMP
Немного необычный подход к подмене содержимого файла hosts появился в некоторых вредоносных программах, в частности, семейства Win32/Vundo. Троянец переименовывает "настоящий" файл hosts в файл hоsts, где латинская буква "o" заменена на точно такую же по отображаемому виду, кириллическую "o" и создает поддельный скрытый файл hosts, с правильным именем и поддельным содержанием. Естественно, файл, имя которого содержит русскую букву "о", в разрешении доменных имен не принимает никакого участия и предназначен для введения в заблуждение пользователя, который попытается проверить содержимое hosts. При ручном просмотре каталога
%SystemRoot%System32driversetc
пользователь либо видит файл hоsts c измененной буквой в имени, либо, если включен режим отображения скрытых файлов, - два, одинаковых по написанию имени, файла hosts.
Файловая система не позволит создать 2 файла с одним и тем же именем. Просто один из них, размером 172 кб и имеющий атрибут "скрытый" - это измененный вирусом файл с правильным именем, а второй - файл, в имени которого изменена латинская буква "o" на русскую букву "о". В файле с неверным именем вирус оставил его исходное содержание, но для разрешения имен будет использоваться измененный скрытый файл, где в 172 кб текста находится огромное количество записей вроде
31.214.145.172 vk.com - для подмены адреса сайта
127.0.0.1 avast.com - для блокировки доступа к сайту антивируса
Блокировка узлов с помощью поддельного содержимого файла hosts - не единственный прием, применяемый разработчиками вредоносных программ. В некоторых случаях, с данной целью, используется создание ложных маршрутов в таблице маршрутизации. При этом, некоторые IP-адреса (группы адресов) становятся также недостижимыми.
Если, в рассматриваемом выше примере, подмены адреса сайта ложным содержимым файла hosts не произошло, то при разрешении доменного имени будет получен правильный IP - адрес сервера, который, естественно, не принадлежит диапазону адресов локальной сети, т.е не достижим локально и программные средства протокола для подключения к данному серверу, должны направить IP-пакет через маршрутизатор. Обычно это выполняется через шлюз по умолчанию (default gateway), определенный настройками сетевого подключения. Однако, если в таблицу маршрутизации добавить статический маршрут, задающий путь для конкретного IP-адреса (или подсети), то подключение будет выполняться через указанный в этом маршруте, шлюз (маршрутизатор). И если такого маршрутизатора не существует или он неработоспособен, - подключение к серверу сайта не выполнится. Именно этот способ выборочной блокировки сайтов, все чаще, стали использовать создатели вредоносных программ.
Статические маршруты задают путь для достижения конкретного узла и сохраняются в разделе реестра HKLMSYSTEMCurrentControlSetServicesTcpipParametersPersistentRoutes
Для добавления постоянного маршрута обычно используется команда route add с параметром /P или прямая запись в данный раздел реестра, что обычно и делается вредоносными программами. При отсутствии статических маршрутов данный раздел не содержит никаких записей.
Немного информации об материале: 10-05-2013, 16:32 наш лучший журналист - kinogrant нашел на просторах интернета новость - "Восстановление работоспособности системы после вирусов." и сразу же добавил ее к нам на сайт! Хотелось бы добавить, что наш журналист подобрал лучшие файлообменники для скачавания Восстановление работоспособности системы после вирусов., кроме того оформление новости и самого файла находится в отличном качестве, тем более можно Восстановление работоспособности системы после вирусов. скачать бесплатно и без регистрации и смс. Так же советуем вам посетить раздел "Дополнение" и найти похожие отличные материалы, такие как этот!