Автор Тема: Как вылечить вирус lsass.exe самому и что может быть у вас в файле hosts !  (Прочитано 14841 раз)

0 Пользователей и 1 Гость просматривают эту тему.

SysAdmin

  • Global Moderator
  • Newbie
  • *****
  • Сообщений: 40
    • Просмотр профиля
Инструкция, как самому удалить вирус если его не определяет антивирус:

Недавно я случайно обнаружил у себя на компе вирус, компьютер както странно себя вел, тормозил, нажимаю кнопку "Пуск\выполнить" и это окошко само закрывается, начал разбираться:
Запустил msconfig.exe, вроде все нормально ничего лишнего не грузится.
Запустил regedit.exe, чтобы посмотреть, что от туда грузится, проверяю эти ключи:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

И вот в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, я обнаружил строку которая загружает вирус "C:\Documents and Settings\Имя пользователя\Application Data\lsass.exe", руками удалил строку с вирусом, удалил сам вирус по по указанному пути, я сделал скриншот экрана, посмотрите как это выглядит и что нужно удалять.

Но на этом все не закончилось, незнаю может я несколько вирусов подхватил, захожу на сайт odnoklassniki.ru из дома и у меня после ввода пароля сайт просит ввести номер моильного, я номер не вводил, на след. день пробую зайти с работы на одноклассники, телефон уже не просит ввести, прихожу домой, опять одноклассники спрашивает телефон, ладно, ради интереса ввел номер мобильного телефона, мне приходит СМС: "Ваша заявка принята! На Ваш номер +7...... был отправлен запрос валидации. В ответном СМС отправьте Ваш уникальный код: 47754", отправлять СМС я не стал можно и на деньги попасть, теперь стало точно понятно, что чтото не так с компом.
Начал дальше разбираться...

Оказалось у меня какойто вирус изменил файл: C:\WINDOWS\system32\drivers\etc\hosts
Я еще это не с первого раза определил, открываю файл hosts, на первый взгляд, все нормально, ничего лишнего нет, но у меня вызвало подозрение что файл большого размера, прокрутил вниз, очень много пустых строк, но ничего нет, а когда прокрутил еще вправо, оказалось, что там столько всякой гадасти прописано, ссылки на сайты злоумышленников!
Т.е. получается вы набираете odnoklassniki.ru, но переходите на самом деле на подменный точно такой же сайт, в строке адреса браузера написана строка odnoklassniki.ru, т.е. никаких подозрений не вызывает, а на самом деле вы уже на другом сайте и ваш пароль если вы его введете, узнают злоумышленники, после того как вылечите вирус, советую поменять пароль на сайте куда заходили. И не в коем случае не отправляйте СМС, от знакомых я узнал, что те кто отправлял СМС у них снимали по 230 рублей за СМС, а вирус на компьютере все равно сидел, куда же он денется!
А вот эти строчки в файле hosts 127.0.0.1 downloads.kaspersky-labs.com блокируют получение обновлений для антивируса Касперского, хитро придумано :)
Вот что было у меня в файле hosts, конечно ссылок небыло видно, я подправил файл hosts чтобы показать их:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом #.
#
# Например:
#
#      102.54.94.97     rhino.acme.com          # исходный сервер
#       38.25.63.10     x.acme.com              # узел клиента x
31.214.145.157 www.vkontakte.ru
31.214.145.157 www.vk.com
31.214.145.157 vkontakte.ru
31.214.145.157 vk.com
31.214.145.157 www.odnoklassniki.ru
31.214.145.157 odnoklassniki.ru
127.0.0.1 downloads.kaspersky-labs.com
127.0.0.1 downloads0.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads5.kaspersky-labs.com
127.0.0.1 downloads6.kaspersky-labs.com
127.0.0.1 downloads7.kaspersky-labs.com
127.0.0.1 downloads8.kaspersky-labs.com
127.0.0.1 downloads9.kaspersky-labs.com
127.0.0.1 downloads10.kaspersky-labs.com
127.0.0.1 dnl-geo.kaspersky-labs.com
127.0.0.1 dnl-00.geo.kaspersky.com
127.0.0.1 dnl-01.geo.kaspersky.com
127.0.0.1 dnl-02.geo.kaspersky.com
127.0.0.1 dnl-03.geo.kaspersky.com
127.0.0.1 dnl-04.geo.kaspersky.com
127.0.0.1 dnl-05.geo.kaspersky.com
127.0.0.1 dnl-06.geo.kaspersky.com
127.0.0.1 dnl-07.geo.kaspersky.com
127.0.0.1 dnl-08.geo.kaspersky.com
127.0.0.1 dnl-09.geo.kaspersky.com
127.0.0.1 dnl-10.geo.kaspersky.com
127.0.0.1 dnl-11.geo.kaspersky.com
127.0.0.1 dnl-12.geo.kaspersky.com
127.0.0.1 dnl-13.geo.kaspersky.com
127.0.0.1 dnl-14.geo.kaspersky.com
127.0.0.1 dnl-15.geo.kaspersky.com
127.0.0.1 dnl-16.geo.kaspersky.com
127.0.0.1 dnl-17.geo.kaspersky.com
127.0.0.1 dnl-18.geo.kaspersky.com
127.0.0.1 dnl-19.geo.kaspersky.com
127.0.0.1 dnl-20.geo.kaspersky.com

Лишние ссылки я удалил, нормальный файл hosts должен выглядеть так:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом #.
#
# Например:
#
#      102.54.94.97     rhino.acme.com          # исходный сервер
#       38.25.63.10     x.acme.com              # узел клиента x

Самое интересное, что у меня был на компьютере установлен nod32 smart security и установлены были все последние обновления, но антивирус не ругался!
« Последнее редактирование: 16 Сентябрь 2011 Пятница 11:07:05 от SysAdmin »