- •I. Введение
- •II. Работа с инструментами диагностики и лечения
- •Описание HiJackThis и работа с ней
- •Вступление
- •Предупреждение
- •Назначение
- •Начало работы
- •Раздел Misc Tools.
- •Описание avz и работа с ней
- •Ключевые компоненты avz
- •Главное окно программы
- •Меню «Файл»: avz как единый инструмент
- •1. Функции анализа и восстановления
- •2. Функции скриптового движка
- •3. Обновление баз
- •4. Функции карантина
- •5. Отложенное удаление файла
- •Меню «Сервис»: диспетчеры и менеджеры avz
- •1. Общие характеристики диспетчеров и менеджеров avz
- •2. Подсистемы поиска
- •3. Прочие инструменты
- •AvzGuard
- •Boot Cleaner
- •III. Основы диагностики
- •1. Подготовка
- •2. Протокол hjt
- •3. Протоколы avz
- •Чтение протоколов HiJackThis
- •Анализ лога
- •Чтение протоколов avz
- •1. Цветовая схема
- •2. Состав таблиц
- •1) Список процессов (данные Диспетчера процессов)
- •2) Модули пространства ядра (данные одноименного диспетчера)
- •3) Службы (данные Диспетчера служб и драйверов, часть 1)
- •4) Драйверы (данные Диспетчера служб и драйверов, часть 2)
- •5) Автозапуск (данные Менеджера автозапуска)
- •6) Модули расширения Internet Explorer (bho, панели…) (данные Менеджера расширений ie)
- •7) Модули расширения проводника (данные Менеджера расширений проводника)
- •8) Модули расширения системы печати (данные Менеджера расширений системы печати)
- •9) Задания планировщика задач Task Scheduler (данные Менеджера планировщика задач Task Scheduler)
- •10) Настройки spi/lsp (данные Менеджера Winsock spi)
- •11) Порты tcp/udp (данные диспетчера «Открытые порты tcp/udp»)
- •12) Downloaded Program Files (данные Менеджера Downloaded Program Files)
- •13) Апплеты панели управления (cpl) (данные Менеджера апплетов панели управления)
- •3. Общие сведения
- •4. Поиск RootKit и программ, перехватывающих функции api (в соавторстве с Олегом Зайцевым)
- •1.1 Поиск перехватчиков api, работающих в UserMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.3 Проверка idt и sysenter
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •5. Проверка памяти
- •2. Проверка памяти
- •6. Сканирование дисков
- •3. Сканирование дисков
- •7. Проверка Winsock Layered Service Provider
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •8. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •9. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •6. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •10. Эвристическая проверка системы
- •7. Эвристичеcкая проверка системы
- •11. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •12. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •Критерии вредоносности файла
- •Зоны особого внимания
- •Примечание
- •Дополнительная диагностика
- •Работа со списком заподозренных файлов
- •Извлечение файлов и их анализ
- •Если файл не удается поместить в карантин
- •1) Попытаться выполнить карантин в безопасном режиме.
- •3) Попробовать применить специализированный антируткит (например, IceSword, позволяющий копировать скрытые и защищенные файлы).
- •Vms@drweb.Com
- •Virus_malware@avira.Com
- •IV. Лечение
- •Лечение с помощью HiJackThis
- •Лечение с помощью avz
- •1. Удаление файлов
- •2. Восстановление системы и исправление ошибок
- •1. Настройки spi/lsp
- •1) Ручной.
- •2. Файл hosts
- •3. Эвристическая проверка системы
- •4. Мастер поиска и устранения проблем
- •Восстановление системы по жалобам пользователя
- •3. После лечения
- •Если вредоносное программное обеспечение восстанавливается после удаления
- •1) Убедитесь, что Восстановление системы Windows отключено.
- •Если лечение прошло успешно
- •Чего не следует делать уважающему себя и других антивирусному консультанту
- •3) Выполнять ненужные / бесполезные для обрабатываемого случая операции
- •6) Содействовать поиску и использованию вредоносного и / или взломанного программного обеспечения
- •V. Заключение
2. Файл hosts
Если в файле HOSTS присутствуют только вредоносные записи, его можно полностью очистить с помощью функции очистки файла HOSTS
ClearHostsFile;
У этой функции нет параметров.
Также можно использовать аналогичную этой функции операцию 13 Восстановления системы.
3. Эвристическая проверка системы
1) Нестандартный Default префикс в IE / Нестандартный префикс для WWW в IE / Нестандартный префикс по умолчанию в IE
Для исправления префиксов протоколов используйте Восстановление системы, операция 2.
2) Заблокирован редактор реестра / диспетчер задач / иные настройки системы
Для разблокировки системных компонентов через политики применяется удаление последних: Восстановление системы, операция 6.
Для разблокировки только Диспетчера задач используйте Восстановление системы, операция 11.
Для разблокировки только Редактора реестра используйте Восстановление системы, операция 17.
3) Отладчик системного процесса
Для удаления отладчиков системных процессов используйте Восстановление системы, операция 9.
4. Мастер поиска и устранения проблем
Проблемы, обнаруженные в этом разделе, пользователь может при необходимости устранить с помощью самого мастера (Файл – Мастер поиска и устранения проблем). Пользователю необходимо выполнить проверку системы мастером, после чего отметить указанные вами пункты и нажать кнопку Исправить отмеченные проблемы. Операция может также быть проведена с помощью скрипта.
Восстановление системы по жалобам пользователя
В протокол AVZ выводятся не все системные проблемы и модификации. В силу этого показаниями к применению многих операций Восстановления системы являются жалобы пользователя. Рассмотрим ряд примеров.
1) Не запускаются исполняемые файлы
В этом случае требуется Восстановление системы, операция 1.
Как в этом случае запустить саму AVZ?
AVZ может запуститься с расширением COM или PIF. Кроме того, в ряде случаев помогает следующий способ:
правый щелчок по любому файлу – Открыть с помощью… - Выбрать программу… В полученном диалоге выбрать обзором исполняемый файл AVZ и нажать ОК.
2) Изменена домашняя страница Internet Explorer
Примените Восстановление системы, операция 3.
3) При поиске через браузер происходит перенаправление на стороннюю страницу
Требуется Восстановление системы, операция 4.
4) Посторонние компоненты Рабочего стола, подмена фонового рисунка, невозможно изменить его настройки
Примените Восстановление системы, операция 5.
5) При загрузке системы отображаются посторонние сообщения
Используйте Восстановление системы, операция 7.
6) Нежелательные настройки Проводника (например, не удается включить отображение скрытых файлов и папок)
Требуется Восстановление системы, операция 8.
7) Не отображается Рабочий стол
Попробуйте Восстановление системы, операция 9.
8) Не удается загрузиться в безопасном режиме
Может помочь Восстановление системы, операция 10.
3. После лечения
После того, как пользователь запустил скрипт и произошла перезагрузка, попросите его повторно выполнить исследование системы и предоставить вам новые протоколы HJT и AVZ. Убедитесь, что зачистка системы от вредоносного программного обеспечения прошла успешно.
Если некоторые файлы из тех, что вы удаляли скриптом, остались на месте, изучите лог повторно. Возможно, какое-то вредоносное ПО осталось незамеченным. Составьте скрипт повторного удаления того, что не было удалено предыдущим скриптом, затем запросите свежие протоколы.