| RSS

logo

Не мы нуждаемся в помощи,
  а она нуждается в нас...

Четверг, 2017.12.14, 10:06
Главная » Статьи » Полезности » Безопасность

Убей вирус своими руками! (regedit, tasklist, taskkill, gpedit.msc и пр.)
    Если вдруг так случилось что нет никаких дополнительных программных инструментов и/или нет возможности их использовать то приходится вспомнить все возможные способы добраться до цели...
    Для удаления вирусов (в винде) своими руками всем рекомендую ознакомится
со следующими инструментами (это штатные утилиты), вызываем Win+[R]:
  • regedit Реестр, в нем нужно не много запомнить и быть внимательным
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

    "Taskman"="такого ключа в чистой системе не существует" //если нашли у себя, удаляем (если сами не прописывали)
    "Shell"="Explorer.exe" 
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

    //если не используем другой шелл, то всегда так, там есть и другие интересные параметры, но они скорее надоедают чем угрожают


    [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    //Так же проверяем ветку текущего пользователя

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    //автозагрузка, а так же можно следить утилитой msconfig (вызов через Win+R)

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
    //Сервисы, редко попадаются

  • Читаем подробно о таких командах как:
    cmd -> tasklist /? При блокировке диспетчера задач может помочь
    cmd -> taskkill /? обнаружить и уничтожыть процесс tasklist + taskkill
    cmd -> set [без параметров] и set /?
    cmd -> netstat /? Отображение статистики протокола и текущих сетевых подключений TCP/IP
    cmd -> del /? :) Удаление одного или нескольких файлов.
    cmd -> at /? Управление планировщиком задач.
    cmd -> attrib /? Вывод и изменение атрибутов файлов.
    cmd -> cacls /? Управление доступом (Команда со смешным звучанием на русском)
    cmd -> sc /? консольное управление сервисами, обычно используется
    // sc stop SERVICENAME и sc delete SERVICENAME
    cmd -> reg /?
    netsh /? //netsh winsock reset
  • gpedit.msc Редактор групповых политик, если изменения вносились через реестр, то он отображает опции по умолчанию, придется изменить парамет на тот который должен быть.

  • %ALLUSERSPROFILE%, %APPDATA%, %USERPROFILE% - в этих папках файлов (подозрительных) не должно быть, только папки, лишь иногда там есть что-то нужное.
    // NTUSER*, desktop.ini, Thumbs.db - подозрений не вызывают smile.gif
  • Можно ещё просмотреть %systemreot%\system32 на предмет недавно появившихся файлов или сильно старых, дата создания может выдать зловреда если он не детектится антивируской.
    Можно увидеть, спамботов - устанавливаются в IE как дополнения (надстройки).

Мой рецепт лечения от вирусов:
(обсуждение статьи на форуме)
  • Лечится с выключенными сетевыми функциями, т.е. загружаться нужно только в чистый безопасный режим, даже без ком. строки. Или лечить в чистой системе (загружаясь с LiveCD или подключая HDD к другой системе).
  • Пользуюсь Avira антвирус, т.к. он прекрасно себя чувствует в безопасном режиме, AVZ потому что он быстр и определяет скрытые потоки данных. DrWeb CureIT - для полной проверки (контрольный выстрел).
  • Внимательно изучаем свои сервисы, просматриваем название и файл запуска, могут попасться два одинаковых сервиса один из которых вы не сможете не остановить не удалить (не достаточно прав).
     
  • Внимательно изучаем установленные драйвера. Открываем диспетчер устройств, -> Вид -> Показать скрытые устройства -> Драйверы устройств не Plug and Play. Конечно, что бы тут разобраться требуется знания и опыт. 
  • Внимательно изучаем папки на наличие [random].dll, [random].exe, [random].vmx:
    %systemroot%
    %systemroot%\system32\
    %ALLUSERSPROFILE%
    %USERPROFILE%
    %Program Files%\Internet Explorer\
    %temp%
    -  удалить всё (cmd -> del *.* /s /q);
    %tmp%  -  удалить всё (cmd -> del *.* /s /q);
    RECYCLER - на всех дисках
    скрытые системные папки в корне каждого раздела
  • Очищаем кэш всех установленных браузеров, где он находится и как его чистить смотрим в настройках своего браузера. Если используется Opera рекомендую заглянуть в настройки JavaScript, там может быть сюрприз :)
  • Проверяем плагины (PlugIn или Addon) и надстройки всех установленных браузеров, где он находится и как от них избавится смотрим в настройках своего браузера.
     
  • Просматриваем сервис "планировщик заданий" на наличие не ведомых вам заданий или в панели управления, не забываем про скрытые задания.
  • Никакой антивирус не поможет если (а это бывает) у вас NTFS и на сам файл [random].vmx сняты все права. Тогда нужно будет сначала назначить себе права на этот файл, а уж потом грохнуть/переименовать/архивнуть его.
  • Ещё может потребоваться или просто помочь утилита "unlocker", очень помогает при борьбе с вирусами "голыми руками".

PS
Всё это может помочь лишь в том случае, если не заблокирован "вызов команд" (Win+[R]), regedit, gpedit.msc (gpedit имеется только в PRO версии). В случае блокировки этих ресурсов, нужно иметь на флешке пару утилит, хотя бы FAR. Надеюсь инфа будет полезной.
В Windows Xp Home и Windows 7 базовая/starter или Home/Premium - нет инструмента gpedit. В таком случае Вам пригодятся знания реестра виндовс :).
Обновлено: 2012-фев-06

Так же рекомендую к прочтению:

Категория: Безопасность | Добавил: -=FORWARD=- (2010.10.25) W
Просмотров: 14240 | Комментарии: 15 | Теги: regedit, вирус, удалить, taskkill, реестр, virus, автозагрузка, консоль, tasklist, gpedit.msc | Рейтинг: 0.0/0
Всего комментариев: 15
1  
Данную информацию считаю очень полезной, но только для опытных юзеров.
Пользователь должен осознавать и понимать что он делает. Хотя всё разжёвано подробно.
Спасибо автору! ok

2  
Ну так и нечего делать юзеру в реестре smok
И вообще, рецепт действительно не для пользователя, просто иногда спрашивают знакомые технари и начинающие, вот и решил описать подробненько, да и себе на заметку будет. Стар становлюсь, могу запамятовать biggrin

Спасибо что читаете.


3  
Кое-что из моего арсенала (для Windows XP).
1)В дополнение к просмотру реестра:
в тех же ветках (HKLM/HKCU) над Winlogon контролирую ветку Taskman. Сейчас весьма часто там прописываются задания на запуск вируса из пользовательской папки.

2)Автозапуск удобнее просматривать из msconfig. К тому же безопаснее - запуск подозрительного ПО можно просто отключить, а не удалять. Особенно актуально на нотиках и новых системах (где в автозагрузке может быть полно не вредных, а просто не знакомых записей)

3)В перечень папок для контроля добавь также:
\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5

там 4 рандомных подпапки с файликом desktop.ini. Всё остальное в подпапках убивать (как правило там - ехе-шники-вирусы бывают)


4  
Спасибо, добавим...
1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"="что бы тут не бало, такого ключа в чистой системе не существует"
//если нашли у себя, удаляем (если сами не прописывали)

2. про msconfig сказал но вскользь, не нравится мне эта утилита, хотя она есть и работает.

3. не вижу смысла привязываться к конкретной папке, в таком случае можно просто сказать - очистить кэш браузеров. У меня кеш IE находится c:\tempie - чтобы долго не искать. Так же надо чистить кэш Opera, Mozilla FireFox, Google Chrome, Safari и пр.


5  
Спасибо TigerS Добавим в памятку.

6  
Почему окно выдачи tasklist "проскакивает", не могу увидеть результат в окне DOS?

7  
Вы имеете ввиду не DOS, а эмулятор терминала?

Есть два варианта:
Если ваша ОС в нормальном состоянии и вы просто тренируетесь то, Вам придётся написать сюда какую именно команду вы вводите и настройки командной строки.
1.1 Нужно открыть командную строку, нажать правой кнопкой мыши вверху окна - на синей полоске (обычно она синяя) там где расположены кнопки "свернуть", "развернуть" и "закрыть".
1.2 Выбрать пункт "свойства"
1.3 Перейти на вкладку "расположение"
1.4 посмотреть и/или изменить размер буфера экрана хотя бы до 300

2. Если Вы не можете этого сделать то просто введите команду с ключём |more тогда результат будет выводится "постранично", до заполнения экрана, чтобы просмотреть следующую страницу - жмите пробел.
Code
tasklist |more


3. Или перенаправьте вывод Команда > куда вывести её результат.
Code
tasklist >c:\tasklist.txt


И сможете прочесть файл c:\tasklist.txt

8  
Здравствуйте.
Столкнулся с проблемой что не могу открыть диспетчер задач на windows 7 , вроде бы уже нашел как это легко исправить, но тут одно но: Не могу найти файл gpedit.msc. Посидел пару часов в интернете , но так и нечего не нашёл. Буду очень признателен за помощь.

9  
Что значит не могу найти?

Открываем Пуск -> Выполнить -> пишем gpedit.msc -> жмем Enter

Если нет в пуске "Выполнить", его можно вызвать сочетанием клавиш Windows (флажек на клавиатуре) + R (в английской раскладке) плюс не нажимаем.
Зажимаем Windows и не отпуская жмем R-> пишем gpedit.msc -> жмем Enter

Так же можно запустить gpedit.msc из командной строки.
пуск-> программы-> стандартные-> командная строка -> пишем gpedit.msc -> жмем Enter

Но! если у вас поселился вирус, то он может отключать диспетчер задач либо постоянно отслеживая изменения в реестре, либо после перезагрузки.

10  
У меня при поиске файла gpedit.msc пишет что: " Не удаётся найти "gpedit.msc ." И все действия которые вы описали выше я уже выполнил , но никаких результатов.

11  
А какой редакцией Windows 7 вы пользуетесь?
Возможно у Вас базовая или Home/Premium - там действительно нет gpedit. В таком случае Вам пригодятся знания реестра виндовс :).

Внимание! Тут нужно быть крайне осторожным!
Нужно запустить редактор реестра regedit, принцип тот же Win+R -> regedit -> Enter
Разворачиваете ветки:
+ Мой компьютер
|- HKEY_CURRENT_USER
|--- Software
|---- Microsoft
|----- Windows
|------ CurrentVersion
|------- Policies
|-------- System
Находите параметр "DisableTaskMgr" и изменяете его значение на "0".
Инфо: в чистой системе в этих ветках нет ни одного параметра, это в основном запрещающие или разрешающие элементы. Если у вас там много всего, значит могут быть ограничения ещё на что-то.

Но снова есть нюансы, если это последствие вируса - то у вас может быть не доступен и REGEDIT

12  
Спасибо за ответ , но я уже это делал.) А диспетчер задач появился после того как я про сканировал систему 2мя разными антивирусами "nod 32 " и "Essentials" . И windows действительно у меня Home premium.

13  
Хорошо что так всё решилось, часто вирусы вносят изменения в реестр, а антивирусы просто не в праве вносить такие изменения. Т.к. все параметры реестра относятся к ручным настройкам системы (тюнингу). Вот и выходит, что вирус они удалили, а система остаётся перенастроенной.

14  
здравствуйте!Помогите мне пожалуйста, выше была упомянута тема gpedit.msc.Так вот у меня комп не может найти, я уж и в командной строке искала, на что получила ответ "не является внутренней или внешней командой, исполняемой программой или пакетным файлом"У меня wind7 starter/как мне быть, заранее спасибо

15  
Windjws 7 starter, к сожалению не имеет такой команды. Придётся использовать Regedit. А какая у вас проблема? Предлагаю переместится на форум, я Вам постараюсь помочь. >> жмите сюда <<

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]