1. Банер п ри завантаженні
2. Банер на екрані
3. AVZ
4. HijackThis
5. Нічого не запускається
6. Все запускається, але банер не виявляється!
7. висновок

28 Мая 2010

"Так перестав вінду і не парся!"
(найпопулярніший коментар на форумах від просунутих користувачів)

Як відключити банер? Як видалити вірус? Заблокований Windows, відправте СМС і т. П. - Це одні з найпопулярніших запитів в інтернеті, не рахуючи чемпіонату світу з футболу, євробачення і порно, того, яке зовсім банер.

Останнім часом серед користувачів інтернету, напевно, не залишилося жодної людини, яка б не зустрічався (хоча б тільки на картинках з форумів) з банерами, псевдоантівірусамі або іншими подібними блокувальниками операційної системи. Домогосподарки, малолітні діти і пенсіонери впадають в паніку, просунуті користувачі радять нещасним «переставити вінду і не паритися», а «експерти» розповідають світові про те, як вони видалили сотню таких банерів за допомогою одного тільки Тотал Коммандера. Насправді віруси такого роду видалити не так складно, не вдаючись до перевстановлення системи. Бо, витягуючи скалку, не обов'язково ампутувати руку.

Банер п ри завантаженні

Для початку подивимося на процес завантаження операційної системи. Якщо замість екрану вітання вас просять вислати грошей, вважайте, що вам пощастило. Найімовірніше вірус поставив себе на місце explorer.exe і нахабно завантажується замість оболонки. Щоб виправити це непорозуміння необхідно завантажитися з LiveCD, до складу якого входить редактор реєстру. У редакторі виділити розділ HKEY_USERS і в меню вибрати Load Hive (Завантажити кущ). Потім у вікні вибору файлу знайти c: \ windows \ system32 \ config \ software (без розширення) і натиснути кнопку «Відкрити». Підвантажиться гілка реєстру хворий машини.

Далі в цій гілці необхідно знайти розділ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon і подивитися на значення параметра Shell, який в нормальному стані повинен містити explorer.exe. Найпоширеніший варіант, який мені попадався був windows \ system32 \ user32.exe. Там же заодно не завадить перевірити параметр Userinit і переконатися, що ніхто не прилаштувався до "c: \ windows \ system32 \ userinit.exe," (кома в кінці обов'язкова!). Отже, редагуємо параметри (при необхідності), в меню вивантажуємо кущ (Unload hive) і перезавантажуємося. Тепер при старті системи повинен завантажитися рідної explorer.

Банер на екрані

Отже, система благополучно завантажилася, але разом з програмами, прописаними в автозавантаженні, на екрані з'явився банер, що вимагає відправити СМС і вислати грошей. В цьому випадку нашим першим завданням буде - визначити, яким чином відбувається його завантаження. У цій нелегкій справі нам повинні допомогти деякі інструменти: програма HijackThis, антивірусна утиліта AVZ і утиліта autoruns з набору SysInternals Suite. Можна, звичайно, ще скористатися вбудованою в Windows утилітою msconfig або навіть плагіном для Total Commander, що показує автозавантажувані файли, але це схоже на лікування геморою по фотографії. Тому що віруси навряд чи створять ярлик в папці Автозавантаження і вже давно обходять стороною всілякі Run'и в реєстрі.

З іншого боку, а навіщо потрібно цілих три програми для виявлення вірусу? А потім, що деякі особливо злісні вимагачі вміють відловлювати запуск антивірусних програм або навіть звернення на популярні антивірусні сайти в інтернеті і будуть всіляко намагатися заблокувати запуск таких утиліт аж до автоматичного перезавантаження системи, щоб користувач за цей час обдумав і засудив свої «протиправні» дії по боротьбі зі злом. Найчастіше на зараженій системі виявляється заблокований Диспетчер завдань і редактор реєстру, відключено Відновлення системи, а також блокується вікно Пуск -> Виконати. Власне, нічого з цього нам все одно не буде потрібно. Та й autoruns знадобиться тільки якщо нічого більше не працюватиме.

AVZ

Тому перш за все я б порадив з'ясувати, які програми все-таки вдається запустити. На AVZ «зриваються» багато вінлокери, причому не тільки на запуск самої програми, а й навіть на спробу відкриття папки в провіднику. Якщо вдається запустити AVZ, то шансів вижити у ворога практично немає. Часто визначити винуватця допомагає елементарний Диспетчер процесів (AVZ :: Сервіс -> Диспетчер процесів), в якому сміливо можна вбивати процеси, не зазначені зеленим (т. Е. Не пройшли по базі безпечних). Під ніж потраплять всілякі програми, запущені в даний момент на комп'ютері, але так само велика ймовірність «зачепити» і процес вірусу, тому перед тим як вбивати чергову жертву (особливо якщо ім'я файлу не знайоме), краще все-таки записати її ім'я в блокнотик . І якщо вдається прибрати банер таким способом, можна вважати, що половина справи вже зроблена.

Далі незалежно від того, забрався банер чи ні, запускаємо Стандартний скрипт №3 з меню Файл -> Стандартні скрипти. Перед цим бажано вивантажити антивірус і файрвол, а також відключитися від інтернету. Після виконання скрипта комп'ютер слід перезавантажити. У створеному балці також будуть присутні рекомендації щодо усунення системних проблем. У разі якщо вірус заблокував Диспетчер завдань і Редактор реєстру або недоступна завантаження в безпечному режимі, відкриваємо меню Файл -> Відновлення системи і відзначаємо галочками ці пункти. Решту можна поки не чіпати, особливо якщо не знаєте, що це таке.

Розбір логів AVZ - це заняття для фахівців, тому якщо не вдалося впоратися з проблемою, слід звернутися в конференцію на virusinfo.info. А я продовжу розповідати, що можна зробити самостійно. Якщо завдяки диспетчеру задач вдалося ідентифікувати файл банера, для його видалення можна скористатися відкладеним видаленням файлу в меню Файл або написати скрипт в Файл -> Виконати скрипт.

begin
SetAVZGuardStatus (True);
SearchRootkit (true, true);
QuarantineFile ( 'названіе_файла_найденного_баннера', '');
DeleteFile ( 'названіе_файла_найденного_баннера');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows (true);
end.

Комп'ютер перезавантажиться автоматично. І файл вірусу віддалиться з системи. Однак цей спосіб може не спрацювати, якщо не був убитий основний процес вірусу, який може при новому завантаженні перевірити цілісність своїх файлів і відновити вилучені.

HijackThis

Якщо вірус блокує запуск AVZ або вищеописані дії не допомогли виявити і видалити банер, спробуємо скористатися програмою HijackThis. Розбір логів HT набагато простіше, ніж у AVZ, а й показує він набагато менше. Однак, в більшості випадків для видалення банера цього буває достатньо. Щоб отримати лог, в програмі необхідно натиснути на саму верхню кнопку з текстом "Do a system scan and save a logfile". (Запуск HT, також як і AVZ, слід проводити від імені Адміністратора.) Hijack вміє показувати автозавантажувані програми, настройки браузера, вміст файлу hosts, служби і багато іншого. У плані аналізу безпеки системи це досить потужний засіб. Ще один з його плюсів - це відсутність в рядку заголовка слова «вірус», і тому рідко коли шкідливим програмам вдається заблокувати його запуск. Тому, якщо в більшості випадків запуск AVZ блокується через його заголовка «Анти вірус ная утиліта AVZ», то HT лише повідомляє про те, що він "Trend Micro HijackThis", і запускається практично завжди.

Знову ж розбір логів HT слід довірити фахівцям, але в домашніх умовах можна, скориставшись пошуком в інтернеті, на ім'я файлу визначити, які з показаних в балці є поганими. Для цього просто виділяємо рядок з балки і вставляємо в пошук гугла. Для усунення знайденої зарази слід поставити галочку в квадратик навпроти її імені і натиснути внизу кнопку "Fix checked". «Пробити» ім'я файлу по базах можна, скориставшись ресурсами типу www.processlibrary.com або http://www.bleepingcomputer.com/startups .

Розбиратися в результатах пошуку буває важко, тому, особливо якщо у вас проблеми з англійською, можна уточнити пошук, явно вказавши сайт, на якому слід шукати. Наприклад, вказавши в рядку пошуку site: virusinfo.info, можна підглянути, що з подібним файлом робили хелпери і, зустрівши кілька разів рядок DeleteFile, в якій хелпер видаляє файл з потрібним ім'ям, сміливо зробити також і на своїй машині.

Крім сканера корисно скористатися кнопочкою "Open the Misc Tools section", яка відкриє доступ до власного диспетчеру процесів ( "Open process manager"), де також можна методом тику спробувати вбити процес банера, сканера паралельних потоків ( "Open ADS spy"), в яких дуже люблять ховатися вороги і переглянути Ignorelist, оскільки деякі віруси навчилися ховатися при скануванні Hijack'а. У нормальному стані в системі не повинно бути паралельних потоків, а ігнорліст повинен бути порожній. Отже, якщо в цих списках хтось прописався, з великою ймовірністю його слід пристрелити на місці.

Нічого не запускається

А якщо не вдається запустити ні AVZ, ні HijackThis? У цьому випадку дійсно ситуація критична, хоч і не безнадійна. Іноді допомагає просте перейменування виконуваних файлів будь-що-небудь нейтральне, наприклад, у мене на флешці є кілька копій HijackThis в папці Rename під іменами game. exe і 1. cmd. Крім перейменування AVZ можна знайти її поліморфний варіант, особливість якого полягає в тому, що виконуваний файл зберігає в собі антивірусні бази. Але найчастіше вірус реагує не на ім'я файлу, а на заголовок вікна, який він отримує через функцію FindWindow і GetWindowTitle, тому перейменування AVZ допомагає рідко. А ось HT на моїй пам'яті запускався постійно, або в нормальному, або в Rename варіанті.

Що робити, якщо не запускається AVZ, а в балках HT немає нічого підозрілого? Такого практично не може бути. У вірусу не так багато способів автозапустіться в системі. Він може стартувати як програма, але тоді його виявить Hijack, у нього може бути свій сервіс, але тоді його теж зобов'язаний ловити HT. Вірус може влаштуватися паралельним потоком до одного з системних файлів, але тоді його повинен побачити сканер Open ADS spy. Бібліотека вірусу може запуститися через AppInit_DLLs, але і цей ключ реєстру моніторить HT. Однак перед скануванням обов'язково варто перевірити IgnoreList, інакше можна довго дивитися на логи, не знаходячи в них нічого підозрілого. Вірус може маскуватися в системі, працювати по руткит-технологіям, але таких банерів я особисто не зустрічав.

Багато що може прояснити запуск в безпечному режимі (якщо безпечний режим недоступний, читай вище, як його включити). Якщо в цьому режимі банер не вискакує, то можна без проблем отримати і проаналізувати лог HT, а також ще краще спершу встановити один з безкоштовних антивірусних сканерів типу AVPTools зі свіжими базами і перевірити системний диск. Не сумніваюся, що він багато знайде, бо навряд чи китайці почнуть тестувати новий 0day-експлоїт саме на вашому комп'ютері, а значить велика ймовірність того, що інформація про вірус вже занесена в бази сканера. Якщо ж банер показується і в безпечному режимі, то практично гарантовано, що він прописався в AppInit_DLLs. Тому треба сміливо завантажитися з LiveCD, відкрити редактор реєстру і точно так же, як на самому початку ми шукали shell, знайти в реєстрі ключ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ AppInit_DLLs. Все, що буде в цьому ключі виписати в блокнот і перевірити через інтернет-пошук кожен файл. Напевно там знайдеться щось недобре.

Якщо все-таки банер не здається і після всього продовжує висіти в системі, то це ще не означає, що він переміг. Завантажити і запишемо на диск LiveCD від Касперського або DrWeb і завантажити з нього. І хоча бази на таких дисках оновлюються рідше, досить імовірно він теж зможе допомогти. Нарешті, коли сили будуть під кінець, а в двері вже подзвонить знайомий просунутий користувач, що містить інсталяційний диском операційної системи, можна вдатися до останнього варіанту: телефонуємо 8-800-555-01-02 (безкоштовний дзвінок по Росії) в компанію, яка надає ці самі платні СМС-номера (не робитимемо їм рекламу), називаємо дівчині-оператору код і номер СМС і вводимо почутий код в віконце банера. Банер повинен пропасти з екрану, після чого можна сміливо запускати всі свої антивірусні утиліти і добивати заразу.

Все запускається, але банер не виявляється!

Буває й таке. Робимо логи AVZ, аналізуємо, запитуємо на форумах. Запускаємо HijackThis, перевіряємо паралельні потоки і ігнор-лист, отримуємо лог. Потім аналізуємо всі разом, запитуємо на форумах. Приходить просунутий користувач, зносить систему, встановлює заново операційну систему з форматуванням на низькому рівні, і тут при відкритті браузера знову з'являється банер. Не може бути? Може! Але на цей раз вірус не став ховатися в автозавантаженні, завантажуватися в натовпі сервісів або бібліотек, а записав один маленький скрипт в папку для користувача файлів браузера або як якесь доповнення і став з'являтися при виході в інтернет. Таким чином, якщо банер з'являється тільки в браузерах, а при їх закритті чудесним чином зникає, то треба перевіряти настройки і доповнення.

В Опері відкриваємо меню Інструменти -> Налаштування, на вкладці «Розширені» вибираємо «Вміст» і натискаємо кнопку "Налаштувати JavaScript ...". Переконаємося, що в зазначеній папці користувача файлів JavaScript нічого немає (принаймні нічого зайвого).

У FireFox вірус може прописатися в Додатках. Щоб переглянути їх список необхідно вибрати в меню Інструменти -> Додатки та відключити всі, що не викликає довіри.

Як відключити банер в Internet Explorer я не знаю, тому що їм не користуюся. Але в пошуку напевно можна знайти і це.

висновок

У цій статті я постарався описати найпоширеніші відомі мені способи проникнення банерів в систему, а також найбільш прості і доступні звичайному «непросунутого» користувачеві методи боротьби з ними. Сподіваюся, що комусь допоміг, а кого-то повеселив. У будь-якому випадку буду радий почути доповнення та коментарі. Посилання на всі програми, згадані тут, будуть розміщені в розділі Посилання основного меню сайту.