Удалил вирус Trojan-Downloader.Win32.Piker.zh
22-12-2009 23:00
к комментариям - к полной версии
- понравилось!
Раньше бы я написал подробную инструкцию как удалить встретившийся мне вирус, но т.к. это никому не нужно расскажу в двух словах.
Мне вчера позвонили с утра из офиса сказали мол мы на бухгалтерском компьютере вирус поймали теперь работать не можем.
Что я увидел: это вирус Trojan-Downloader.Win32.Piker.zh(было выяснено позже)
1) Навязчиво отображает баннер с требованием отправить смс для разблокировки и таймером на 3 часа.
(мол было нарушено лицензионное соглашение какой то там программы)
[показать]
2) Перезагружает ОС при попытке запуска антивирусных утилит.
3) Исчезает при заходе в "Свойства" на рабочем столе. Но возникает снова при попытке запуска приложений или открытия документов.
5) Препятствует запуску Диспетчера задач и Редактора реестра, Командной строки, и оснасток в администрировании.
6) Запускается в том числе и в Безопасном режиме, Безопасный режэим с поддержкой командной строки - командная строка недоступна.
7) Закрывает окно браузера при попытке входа на "стоп сайты"(сайты антивирусов) и введения в строке поиска "стоп слов"(типа антивирус или название антивируса).
8) Дезактивирует Восстановление системы Windows.
Резюме: Это один из представителей нового поколения "умных" вирусов. Все обычные ходы для удаления этого вируса прикрыты.
Читать до конца прежде чем приступать.
В инете сейчас достаточно инфы по данному вирусу, мог бы и почитать. Мне понравился рецепт.http://bugtraq.ru/forum/full/2009/sysadmin/158324.html
http://www.rublya.net/tekst/9711-novyj-virus-imax-download-manager.html
Но так и быть изложу свою версию лечения.
На самом деле подключать к другому компьютеру нет смысла особого, хотя, в какой то мере может помочь.
Значит, что я делал. Заранее прошу прощения за мои корявые объяснения. Читать до конца прежде чем приступать.
Сначала я пытался его ручками удалить т.к. подобные вирусы по принципу похожи.
Но для ускорения процесса ты можешь http://forum.kaspersky.com/index.php?showtopic=148547
скачать Kaspersky Rescue Disk отсюда http://soft.oszone.net/program/5548/Kaspersky_Rescue_Disk/
или самому его сделать
;http://www.kaspersky.ru/support/kav2010/safety?print=true&qid=208636415
достаточно будет проверить папку windows и documents and settings, а не весь диск(тупо сэкономишь время).
Первое что делаешь, если вынул диск из компьютера, ставишь диск обратно в комп, запускаешь винду идешь в msconfig и отключаешь все, что идет в автозагрузке. Ну или просто галочку убираешь. Окно вируса(далее баннер) по ходу вылазеет после запуска какой нить программы. Далее перезагружаешь Виндоуз и оно не должно запускаться. Однако, это тебя не избавляет от вируса - попробуешь что нить запустить снова вылезет. У меня если попробовать открыть свойства рабочего стола оно пропадало.
Теперь ты можешь переименовать утилиту hijackthis, запустить её(или это было возможно в диагностическом запуске), проанализировать файл с результатами(кажется это возможно было, хотя, подозреваю, что ты не сможешь запустить блокнот для открытия файла ). В моем случае была локальная сеть так, что я по сети все делал.
Прежде запускаешься с ERD comander и прочищаешь папки TEMP, Temporaly internet files, Documents and Settings\Root\Local Settings\Temp
Идешь в мой компьютер расшариваешь диск С с возможностью изменения файлов(это вирус позволяет). На другом компьютере сети устанавливаешь Антивирус касперского 2010, обновляешь его, настраиваешь(необходимо включить поиск руткитов и в качестве действия при обнаружении выставить удалить). Подключаешь расшареный диск как сетевой диск(для удобства), указываешь его в касперском и папки на нем windows, documents(можно без нее для ускорения процесса). Это не удалит полностью вирус, просто делается для того чтобы удалить кучу dll которые он создал. У меня проверка до конца не дошла(сдали нервы).
Далее запускаешься с erd comander, удаляешь из system32 sdra64.exe, если его не удалил каперский, залезаешь в реестр, правишь userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Userinit его надо изменить так, чтобы там осталось только (C:\WINDOWS\system32\userinit.exe,) именно с запятой в конце (если система установлена на диске С. Можно еще покапаться в system32 поискать всякие подозрительные dll
Далее запускаешься с Kaspersky Rescue Disk подгружаешь базы с инета(должен быть поднять DHCP), настраиваешь его аналогично удалять и поиск руткитов, указываешь на папку Windows. Он должен все вычистить. И ты можешь смело загружать систему и возвращать msconfig в исходное состояние. Программы теперь смогут нормально запускаться. Ограничения типа запуска диспетчера задач, редактора реестра, восстановления системы останутся, но это очень легко лечится ручками через реестр. Удалишь вирус - можешь уже спрашивать меня как.
вверх^
к полной версии
понравилось!
в evernote
Раньше бы я написал подробную инструкцию как удалить встретившийся мне вирус, но т.к. это никому не нужно расскажу в двух словах.
Мне вчера позвонили с утра из офиса сказали мол мы на бухгалтерском компьютере вирус поймали теперь работать не можем.
Что я увидел: это вирус Trojan-Downloader.Win32.Piker.zh(было выяснено позже)
1) Навязчиво отображает баннер с требованием отправить смс для разблокировки и таймером на 3 часа.
(мол было нарушено лицензионное соглашение какой то там программы)
[показать]2) Перезагружает ОС при попытке запуска антивирусных утилит.
3) Исчезает при заходе в "Свойства" на рабочем столе. Но возникает снова при попытке запуска приложений или открытия документов.
5) Препятствует запуску Диспетчера задач и Редактора реестра, Командной строки, и оснасток в администрировании.
6) Запускается в том числе и в Безопасном режиме, Безопасный режэим с поддержкой командной строки - командная строка недоступна.
7) Закрывает окно браузера при попытке входа на "стоп сайты"(сайты антивирусов) и введения в строке поиска "стоп слов"(типа антивирус или название антивируса).
8) Дезактивирует Восстановление системы Windows.
Резюме: Это один из представителей нового поколения "умных" вирусов. Все обычные ходы для удаления этого вируса прикрыты.
Читать до конца прежде чем приступать.
В инете сейчас достаточно инфы по данному вирусу, мог бы и почитать. Мне понравился рецепт.http://bugtraq.ru/forum/full/2009/sysadmin/158324.html
http://www.rublya.net/tekst/9711-novyj-virus-imax-download-manager.html
Но так и быть изложу свою версию лечения.
На самом деле подключать к другому компьютеру нет смысла особого, хотя, в какой то мере может помочь.
Значит, что я делал. Заранее прошу прощения за мои корявые объяснения. Читать до конца прежде чем приступать.
Сначала я пытался его ручками удалить т.к. подобные вирусы по принципу похожи.
Но для ускорения процесса ты можешь http://forum.kaspersky.com/index.php?showtopic=148547
скачать Kaspersky Rescue Disk отсюда http://soft.oszone.net/program/5548/Kaspersky_Rescue_Disk/
или самому его сделать
;http://www.kaspersky.ru/support/kav2010/safety?print=true&qid=208636415
достаточно будет проверить папку windows и documents and settings, а не весь диск(тупо сэкономишь время).
Первое что делаешь, если вынул диск из компьютера, ставишь диск обратно в комп, запускаешь винду идешь в msconfig и отключаешь все, что идет в автозагрузке. Ну или просто галочку убираешь. Окно вируса(далее баннер) по ходу вылазеет после запуска какой нить программы. Далее перезагружаешь Виндоуз и оно не должно запускаться. Однако, это тебя не избавляет от вируса - попробуешь что нить запустить снова вылезет. У меня если попробовать открыть свойства рабочего стола оно пропадало.
Теперь ты можешь переименовать утилиту hijackthis, запустить её(или это было возможно в диагностическом запуске), проанализировать файл с результатами(кажется это возможно было, хотя, подозреваю, что ты не сможешь запустить блокнот для открытия файла ). В моем случае была локальная сеть так, что я по сети все делал.
Прежде запускаешься с ERD comander и прочищаешь папки TEMP, Temporaly internet files, Documents and Settings\Root\Local Settings\Temp
Идешь в мой компьютер расшариваешь диск С с возможностью изменения файлов(это вирус позволяет). На другом компьютере сети устанавливаешь Антивирус касперского 2010, обновляешь его, настраиваешь(необходимо включить поиск руткитов и в качестве действия при обнаружении выставить удалить). Подключаешь расшареный диск как сетевой диск(для удобства), указываешь его в касперском и папки на нем windows, documents(можно без нее для ускорения процесса). Это не удалит полностью вирус, просто делается для того чтобы удалить кучу dll которые он создал. У меня проверка до конца не дошла(сдали нервы).
Далее запускаешься с erd comander, удаляешь из system32 sdra64.exe, если его не удалил каперский, залезаешь в реестр, правишь userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Userinit его надо изменить так, чтобы там осталось только (C:\WINDOWS\system32\userinit.exe,) именно с запятой в конце (если система установлена на диске С. Можно еще покапаться в system32 поискать всякие подозрительные dll
Далее запускаешься с Kaspersky Rescue Disk подгружаешь базы с инета(должен быть поднять DHCP), настраиваешь его аналогично удалять и поиск руткитов, указываешь на папку Windows. Он должен все вычистить. И ты можешь смело загружать систему и возвращать msconfig в исходное состояние. Программы теперь смогут нормально запускаться. Ограничения типа запуска диспетчера задач, редактора реестра, восстановления системы останутся, но это очень легко лечится ручками через реестр. Удалишь вирус - можешь уже спрашивать меня как.
Комментарии (2):
Drama_soul
22-12-2009-23:07
удалить
я с этим столкнулась буквально на прошлой недели... там намучилась((( в итоге избавилась.но теперь после нового года буду вызывать мастера,чтобы переустановить Windows.
ЫЫ. сейчас лечу такой вирус. Как его удалять?
Trojan-Downloader.Win32.Piker.*
Trojan-Downloader.Win32.Piker.*
Комментарии (2):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник Удалил вирус Trojan-Downloader.Win32.Piker.zh | ilia19 - Дневник ilia19 |
Лента друзей ilia19
/ Полная версия
Добавить в друзья
Страницы:
раньше»