понедельник, 25 апреля 2011 г.

Грамотно убиваем Backdoor.Win32.Shiz

Мой рабочий ноутбук поразил неизвестный мне вирус:) Знаете, ковырять вирусы для меня - это как решать некую головоломку или, скажем, японский кроссворд разгадывать. Весьма увлекательное занятие, стоит сказать!

На ноутбуке стоит корпоративный Symantec, который, как оказалось, не предоставляет должной защиты. Все началось с пресловутого подтормаживания компьютера. Зайдя в процессы, я увидел много незнакомых, и первая мысль была - проверить все незнакомые на virustotal.com, что я и сделал. Однако, тот молчал как рыба и уверенно указывал на отсутствие вредоносного кода в моих  запущенных приложениях. Кто не в курсе - Virustotal это бесплатный онлайн инструмент для проверки добросовестности любых ваших файлов: вы загружаете файл и система проверяет его множеством антивирусов, выводя отчет по каждому. Очень и очень полезный сервис для всех интересующихся информационной безопасностью.

Итак, вторая мысль - скачать on demand версию Kaspersky и drWeb (virus removal tool и cureIT соответственно). Virus removal tool и CureIT - бесплатные утилиты для удаления вирусов, не предоставляющие защиты в реальном времени, но использующие последние вирусные базы, это лучшее решение для лечения разного рода вредоносных программ и именно с них следует начинать.

Каково же было мое удивление, когда, вбив в поисковике kaspersky, я наблюдал стремительно закрывающийся браузер! Так, это что-то новенькое, проверим в другом... При попытке зайти на kaspersky.ru вылетели все установленные у меня версии браузеров - Chrome, IE, Opera, Firefox. Скачать бесплатную антивирусную утилиту AVZ также не удалось.

Меня эта уловка вирусописателей порядком порадовала, и я недолго думая пошел в обход - благо, что у меня есть свои сервера в интернете и я могу воспользоваться ими для выкачивания любых объектов из сети с целью последующей передачи на рабочий компьютер. Зайдя по SSH на сервер, я тремя командами загружаю на него необходимые утилиты:

wget avz
wget virus_removal_tool
wget cureIT

здесь вместо avz, virus_removal_tool и cureIT, разумеется, необходимо подставить URL адреса этих программ. Затем через SFTP я слил скачанные утилиты к себе на комп и продолжил головоломку:) Если вы ничего не знаете не знаете о серверах, unix'ах и wget, но попали в аналогичную ситуацию - просто скачайте названные утилиты с незараженного компьютера.

Тааак, устанавливаем касперского, запускаем... Хрен! Программа вылетает. Хм, это начинает казаться интересным. Лезу опять в процессы, пересматриваю их. Решаю убить explorer.exe - это оболочка windows, отвечающая за работу проводника, отрисовку меню ПУСК и т.д. Совершенно ненужная вещь в общем-то=).

При отключении explorer'а браузеры стали стабильно работать с сайтами антивирусных производителей - агааа! Вот ты где, красавчик наш:) Не запуская explorer, открываю касперского и запускаю проверку. Тот довольно быстро находит зараженные файлы, лечит их и перезагружает уже здоровый комп.

Вирус побежден. Не все уж так и сложно оказалось;)

Итак, мои советы по борьбе с Backdoor.Win32.Shiz:

  1. Запускаем браузер
  2. жмем WIN+R, вводим cmd и жмем Enter. Откроется окно командной строкой windows. Да, кто не в курсе - кнопка WIN - это клавиша на вашей клавиатуре в нижнем ряду с нарисованным флажком.
  3. ALT+CTRL+DELETE, вкладка Процессы. Находим explorer.exe, правой кнопкой мыши - завершить, соглашаемся. Пропала кнопка ПУСК и нижняя панель - это нормально, не пугаемся. Все вернется после перезагрузки или после применения описанных ниже действий.
  4. зажимаем ALT и жмем TAB несколько раз для переключения в окно браузера
  5. скачиваем антивирусные утилиты от Касперского и DrWeb (мне, впрочем, помог Virus removal tool и CureIT не понадобился)
  6. устанавливаем Virus removal tool (он не интегрируется в систему и, как правило, устанавливается в директорию на рабочем столе), запускаем его. Чтобы запустить, перейдите в окно командной строки и введите там полный адрес к установленной программе, в моем случае "d:\Documents and Settings\AGoloburdin\Рабочий стол\Virus Removal Tool\setup_9.0.0.722_25.04.2011_10-16\setup_9.0.0.722_25.04.2011_10-16.com". Если вы не знаете, в какое место поставилась программа - запустите explorer.exe, найдите программу и скопируйте путь до нее и затем остановите explorer.exe снова.

    Для запуска остановленного процесса в окне диспетчера задач нужно выбрать пункт меню Файл->Новая задача, в открывшемся окне ввести explorer.exe и назжать Ок, программа запустится. Для останова - выберите ее на вкладке Процессы, нажмите правой кнопкой мыши и выберите Завершить процесс.
  7. в запустившемся Virus removal tool жмем Начать проверку.
На этом все. Здоровых компьютеров вам:).

Комментариев нет:

Отправить комментарий