Universal Virus Sniffer (частина 2) Інструменти для ручного видалення вірусів
У Короткій інструкції йшлося про видалення зловреда, якщо UVS виділила файли зловреда у вкладку "Підоглядні та віруси". Тут будуть розглянуті способи видалення зловредів, які не потрапили до "Підоглядних та вірусів".
Спочатку виконайте пункт "Запуск UVS" Короткою інструкцією, а потім:
- Перевірка файлів на VirusTotal.com -
UVS має чудову функцію для перевірки файлів на VirusTotal.com для цього:"Підпис/Хеш" - > "Перевірити всі неперевірені файли на VirusTotal.com". Працюватиме, тільки якщо є доступ до Інтернету на досліджуваному комп'ютері.
Після того як утиліта перевірити хеш файлів на сервісі VirusTotal.com, результати будуть відображені у вкладці "Підоглядні та віруси".
Файли з позитивним детектом отримають статус "?
Подвійне клацання по запису, щоб дізнатися подробиці детекта.
Тут проаналізуйте результати, які антивіруси вважають файл шкідливим та ім'я вірусу. Пам'ятайте, що будь-який антивірус має помилкові спрацьовування, тому якщо тільки один антивірус вважав файл шкідливим, то варто двічі подумати перед видаленням файлу. Особливо детекти мало відомих антивірусів повинні піддаватися сумніву.
Якщо ви вважали результати VirusTotal.com вірними, додайте сигнатури заражених файлів до вірусної бази UVS. Далі натисніть "Перевірити список" та "Вбити всі віруси", перезавантажити комп'ютер.
- Аналіз вкладок UVS -
Якщо перевірка файлів на VirusTotal.com не дала позитивного результату,необхідно аналізувати вкладки UVS. Це пов'язано з ризиком завдати серйозної шкоди системі недосвідченим користувачем, тому не варто дивуватися, якщо доведеться встановлювати заново систему після такого лікування. Робите все на свій страх та ризик. Обов'язково приховайте відомі та підписані файли за допомогою клавіш F4 та F6, як написано в Короткій інструкції! Записи в кожній вкладці потрібно уважно аналізувати та знімати сигнатуритількиз явно підозрілих файлів!
Почніть аналіз системи із вкладки "Процеси". Т.к. ви натискали клавіші F4 і F6, то важливі системні процеси не будуть відображені на екрані, тому всі показані процеси слід уважно вивчити. Вивчіть процеси за критеріями підозрілості:
Зніміть сигнатури з процесів для додавання до вірусної бази UVS, які ви вважали шкідливими.
Аналогічно відпрацюйте вкладки "Сервіси", "Сервісні модулі", "Драйвери та сис. модулі".
У вкладці "Основний автозапуск" крім автозапуску також відображено автозапуск браузерів (наприклад, стартова сторінка), то дозволить позбутися нав'язливих сайтів, які "відкриваються самі". При видаленні посилань на сайти, сигнатуру, ясна річ, не зняти - потрібно вибирати "Видалити всі посилання на об'єкт". Сподіваюся, ви розумієте, що записи на кшталт "ABOUT:BLANK", "HTTP://WWW.MICROSOFT.COM/." видаляти не можна.
Вкладки "Internet/Windows Explorer" та "Інші браузери" допоможуть позбутися шкідливих тулбарів і т.п.
Вкладка "AUTORUN.INF" допоможе знайти зловреди, які використовують цей вид автозапуску.
Вкладка "SYSTEM.INI та Завантажувачі" зрозуміла з назви. Для відновлення стандартних завантажувачів MBR та VBR виберіть"Руткіти" -> "Замінити завантажувачMBR/VBR. ".Увага, якщо завантажувач не відомий утиліті UVS, то це не обов'язково означає, що завантажувальний сектор заражений! У деяких випадках перезапис завантажувача на стандартний може призвести до проблем і навіть краху системи!
Також приділіть увагу вкладці "SVCHOST".
Вкладка "HOSTS" допоможе знайти причину блокування сайтів.
Далі вивчіть вкладку "Завдання". Злочини часто використовують завдання Windows для своєї роботи.
Вкладка "Весь автозапуск" містить багато потрібних записів навіть при прихованні відомих та підписаних файлів. Будьте дуже обережні. Зверніть увагу, що можна поставити галку для приховання файлів із датою створення більше X днів.
Встановіть дату за кілька днів до виявлення підозр зараження. Звичайно, не факт, що це допоможе виявити шкідливі файли, але спробувати обов'язково варто.
Також вивчіть вкладки "Процеси без видимих вікон", "Невикон. модулі у вив.процесах", "Потоки на базі DLL у вив. проц.".
"Мережева активність" покаже процеси, які звертаються до мережі.
Після відпрацювання вкладок натисніть "Перевірити список", "Вбити всі віруси".