Вирусная очистка мозгового штурма

Question

Я нахожусь в процессе удаления вируса с компьютера друга, и до сих пор мне удалось очистить среду выполнения Windows. Однако после перезагрузки вредоносное ПО появляется снова. Другим симптомом является то, что зараженный компьютер не может загрузиться в безопасном режиме.

До сих пор я подозревал, что причиной этого является вредоносный сервис или драйвер, последний из которых является наиболее подходящим вариантом esp. учитывая проблему безопасного режима.

Однако после перераспределения, переформатирования и переустановки Windows процессы, связанные с вирусами, все еще существуют. Не изначально, а вскоре после первой загрузки.

Просто упомяну - это Win XP box, имеет 2 раздела, а переустановка и форматирование выполнялись на том разделе, где была установлена ОС. На другом есть только данные, но так как я ничего не запустил из этого раздела, я не могу вспомнить какой-нибудь автоматический системный процесс, который мог бы выполнить уже зараженный EXE-файл.

Может кто-нибудь предложить идеи о том, как / где эта штука подключается, чтобы она появлялась после перезагрузки и переустановки? Я проверил стандартные записи реестра (Run * для HKLM и HKCU), все подозрительные сервисы отключены, в INI-файлах ничего нет (через MSCONFIG) и т.д.

ЛЮБЫЕ идеи приветствуются! Это самая раздражающая вредоносная программа, с которой мне приходилось сталкиваться ... (Я напишу в другой раз, как я убрал время выполнения :))

Answer 1

Неважно, что, если на вашем компьютере запускался вирусный экзек, у вас мало шансов убедиться, что все следы могут быть полностью удалены.

Единственный способ убедиться, что он полностью удален:

• Определите вирус правильно
• Если вирус какого-либо типа загрузчика, забудьте об этом. Вы не можете быть уверены на 100%, что все следы, руткиты, сканеры и еще много чего полностью удалены.
• Если это не загрузчик, убедитесь, что это не вирус, который живет в «desktop.ini» и т.д. Извлеките диск, подключите его к другому компьютеру, на котором установлен антивирус. Запустите сканирование.
• Удалить вирус.

Конечно, вы можете принять это как спорт, чтобы охотиться на вещь, и вы узнаете много об этом. Большинство современных вирусов состоят из нескольких частей, которые подключаются по-разному.

Используйте Process Explorer, Filemon, Regedit, чтобы выследить его. Это весело для нескольких раз.

Answer 2

У Джеффа Этвуда был довольно хороший пост о шагах, необходимых для очистки компьютера от шпионских программ. Возможно, вы захотите взглянуть на это и посмотреть, поможет ли это вам.

Answer 3

У меня был хороший опыт с людьми на bleepingcomputer.com. Следуйте их инструкциям для публикации первоначального диагноза (обычно включает запуск HijackThis), и они будут работать с вами, чтобы создать / получить нужное вам исправление.

Answer 4

Убедитесь, что восстановление системы отключено, и убедитесь, что оно остается выключенным после перезагрузки (каждой перезагрузки), пока вы не будете уверены, что вы чисты. Восстановление системы - это любимое "укрытие" для вредоносных программ, и некоторые даже включат его после того, как вы его выключите. Здесь также много других замечательных предложений от других.

Answer 5

Ну, вы можете попробовать использовать онлайн-сканер ESET или Kaspersky и посмотреть, обнаружит ли он какой-либо вирус или вредоносную программу. Другой вариант - загрузить пробную версию антивирусного программного обеспечения и сканировать систему. Если он обнаружит вредоносное ПО, вы можете подумать о его покупке. Онлайн-сканер ESET может бесплатно удалить вредоносное ПО или вирус во время сканирования на вирусы.

Answer 6

Сделайте резервную копию второго раздела на внешнем жестком диске (не забывайте нажимать SHIFT при подключении диска для отмены автозапуска).

запустите программу установки Windows, удалите все разделы, создайте 2 новых раздела и снова установите Windows.

возьмите сканер командной строки A-squared (портативный и бесплатный для личного использования), обновите его и просканируйте внешний диск (помните, SHIFT при подключении диска и удерживайте его до тех пор, пока устройство не будет установлено). проверьте результат и удалите все зараженные файлы, ТОЛЬКО затем восстановите файлы во второй раздел.

Answer 7

Если он возвращается после переустановки, то это почти наверняка вирус MBR. У вас есть два основных способа удалить его. Один из них - обнулить диск и выполнить новую установку. Другой способ - удалить MBR с помощью шестнадцатеричного редактора или чего-то еще (сделать это с другого компьютера), а затем загрузить диск Windows и использовать команду fixmbr для его восстановления. У GMER есть программа для сканирования MBR машины, она находится на главной странице mbr.exe - вы также можете запустить их сканер.

Также стоит проверить, что ваши карты памяти чисты, и другие компьютеры в сети не заражают ваш новый (который, вероятно, попадает в сеть до полного обновления, поэтому уязвим).

Answer 8

Это звучит как вирус MBR или руткит. Проверьте MBR и альтернативный поток данных (из всех дисков, подключенных даже к USB-накопителю, и не используйте подозрительный CD)

Инструменты, которые я рекомендую:

• Общий антивирус (выполните полное глубокое сканирование, в идеале с загрузочного диска (ubcd4win), со всеми опциями для ускорения сканирования):
  • Kaspersky Virus Removal Tool (входит в состав ubcd4win)
  • Malwarebytes 'Anti-Malware (входит в ubcd4win)
  • Nod32 (инструкция по добавлению его в ubcd4win или bartpe)
• Антируткит (будьте осторожны с ними, используйте по одному, и удаляйте их после использования, и не удаляйте все, что они нашли!):
  • GMER
  • RootkitRevealer
  • Руткит Unhooker