「実験的なささいなこと」の継続。 前の部分はここで読むことができます 。
時々、すべてのシステム管理者は「疑わしい」コンピューターでマルウェアをチェックする必要があります。 奇妙なトラフィックがそこから来ているか、奇妙なウィンドウがrawい出しているか、WinLockでさえさらにひどくなっています。 初心者向けのサポートを提供する、シンプルでほぼ段階的なエクスプレステクニックについて説明します。 誰かがそれを不完全または単純すぎると感じるかもしれませんが、それでも多くの問題はその助けによって特定できます。 そして、問題を理解することはすでに解決策の半分です。 いずれにせよ、私はコメントでこの問題に関するあなたの追加と有用なヒントを読んでうれしいです。
一般に、「感染の検索」のためにコンピューターを研究することは魅力的ですが、ありがたい仕事です。 多くの場合、検索と処理に費やした時間は、データを保存してコンピューターを完全に再インストールする時間よりもはるかに長くなります。
コンピューターを綿密に調査できるのは、自分自身の教育/喜びのため、または非ポータブルソフトウェア(新しいコンピューターへの移行方法が誰にもわからないソフトウェア、または非常に時間のかかる/リソース集約的なソフトウェア)が含まれている場合のみです。 これを踏まえて、検証方法が可能な限り迅速かつ安価であることを保証しようとしました。 問題を理解できない場合は、ほとんどの場合コンピューターを再インストールします。特に重要な場合は、上級管理者にコンピューターを確認してもらいます。
もう1つの重要な点:経験のないサポートワーカーが感染したコンピューターを正しく「チェック」するには、まず「正常な」ものとそうでないものを理解するようにトレーニングする必要があります。ソフトウェア、そして彼らはそれに訓練します。 すべてのテストを愚かに実行し、何が起こるかを見てください。 いわゆる 「クリーンなコンピューターテンプレート。」 彼ら自身の目で、彼らは明らかにきれいなコンピューター上にさえ存在する普通のもののためのユーティリティのトリガーを見る(例えば、Symantec Endpoint Protectionがコンピューターにインストールされている場合、AVZはひどく誓う)。 将来、すでに実際の状態でチェックするとき、これらの「偏差」は非常に簡単に気づかれます。
- 新しいベースのavzマシンで実行します。 パラメーターを設定するには:ヒューリスティック-最大、高度な分析、ユーザールートキットのブロック-マシンの重要性に応じて。 一般に、テストを実行し、何もブロックせずに結果を確認することから始める方が良いでしょう。 SPI設定を確認し、同じAVZを使用してTCP \ UDPポートを開きます。 結果を調べるために、クリーンなマシンからの出力と比較して、トリガー効果をもたらす有名なプログラム(アンチウイルス、インターセプター、la PuntoSwitcherなど)を除外します。 違いがある場合は分析します。
- 「ファン向け」では、AVZの[サービス]メニュー項目を使用できます。 Program Files、Documents And Settings、Windowsで灰色の(未確認の)行を検索します。 それが何であり、なぜかを理解してください。 重要なコンピューターでは、[サービス]メニューのすべてのアイテム(マネージャー...、ディスパッチャー...など)を確認することをお勧めします。
- Sysinternalsから自動実行を起動します。 オプションの「コード署名の検証」パラメーターを有効にします。 「ストレンジネス」の結果を分析し、Publisher列とDescription列のパス、名前、説明に注意してください。
- SysinternalsのProcess Explorerを使用して、既に実行中のジョブを確認します。 開始するプログラムへのパスに注意してください([表示]-[列の選択]メニューでも有効にする必要があります)
説明されている手順を実行し、結果を慎重に分析することで、次に何をするかを決定できます。コンピューターをクリーニングするか、再インストールを開始します。 システムをクリーニングするプロセスは、ほとんど常に型破りで創造的です。 他の感染は除去するのが非常に困難であり、サービスで深く規定されており、自動実行パスからの自身の除去を監視し、シェルを交換します。 結局のところ、ルートキットがあります。 おそらく最終的なクリーニングパスを探す必要があるという事実に備えてください。最も簡単な方法は、おそらく不完全です。 それでも決定する場合は、たとえば次のようにシステムをクリーニングできます。
- システムの復元を無効にします。 すべての復旧ポイントがクリアされたことを確認します。 伝統的に、これはあらゆる種類の感染に対するお気に入りの「爆弾シェルター」です。
- AVZでできることをすべて削除します(AVZ-Guardモードをオンにします(AVZはサードパーティのソフトウェア起動をブロックし、インターフェイスからのみソフトウェアを実行できます)、AVZから必要なものをすべて実行します、トラブルシューティングウィザード、システムクリーニング、遅延ファイル削除、ルートキットのブロックなど)
- AVZを使用してルートキットをブロックした後(!)、AVZ-Guardモードで、SysinternalsからのAutorunsユーティリティの出力を開始し、慎重に調べます。 悪意のあるプログラムは通常、「起動されたレジストリブランチ」に書き込まれるか、シェルを置き換えます。 ここでは、経験、鋭い目、「クリーンマシンテンプレート」が役立ちます。
- 感染したユーザープロファイルで手動でクリーンアップします。
- 一時フォルダー(%User%\ Local Settings \ Temp)
- ブラウザキャッシュ(%User%\ Local Settings \ Temporary Internet Files \ Content.IE5)
- ブラウザの履歴(%User%\ Local Settings \ History \ History.IE5)
- インターネットエクスプローラーを既定の設定にリセットします(ブラウザーサービスプロパティ-オプション-リセット)
- Internet Explorerで、アドオン(ブラウザーアドインプログラムのサービスプロパティ)を確認します。 \ deleteを切断する必要はありません。
- (これらのアクションの後、現在のユーザーは訪問の履歴、保存されたパスワード、Cookieなどを失うことに注意してください。)
- 同様に、ユーザーがサードパーティのブラウザのプロファイルを使用する場合は、プロファイルを描画します
- システム変数を確認し(コマンドラインでSETと入力)、特にPATHに注意を払い、必要に応じて削除しますが、必要なものを削除しないように注意してください。 トレーニング「クリーンシステムテンプレート」がここで役立ちます。
- 前回のブートのSYSTEM-LOGを確認します(イベント6009-6005のシステムログ)。 サービスの開始時とドライバーの開始時のエラーに注意してください。
- DrWeb Cure IT (個人使用のみ無料、これを覚えておいてください)やKaspersky Labのバージョンなど、一般的なウイルス対策のポータブルバージョンを実行できます。 このようなアンチウイルスユーティリティは定期的に更新され、そのたびに新しいデータベースを使用してそれらを再度ダウンロードする必要があります。 あなたはそれらですべてをチェックすることはできませんが、ドキュメントと設定、プログラムファイル、Windowsフォルダのみをチェックできます
- 結果が不十分な場合は、ライブCD(Bart-pe、Alkid-LiveCD、Hiren BootCDなど)から起動し、同じウイルス対策ユーティリティで確認します。
- WindowsおよびWindows \ System32フォルダー内のファイルの日付を確認します。 感染した日または感染する前日に変更されたファイルに特に注意してください。 それらが正しい名前を持ち、一見すると、システムが動作するために必要な場合、それらを隣接システムからの類似のものと交換します(少なくともほぼ同じである同じシステムでのみこれを行うことができます。WinXPSp2から同じユーザーWinXPSP3などからのファイル
それでもマシンを修復できない場合は、プロファイルフォーラムのスレッド( Virusinfoなど)に連絡してみてください。もし解決しない場合は、システムの再インストールについて真剣に検討してください。 トロイの木馬を治すことはできますが、多くの時間を費やすことになり、ほとんどの場合、完全な治す保証はありません。 そして、このレッスンに費やした時間は、はるかに大きな利益をもたらす可能性があります。
Upd:わかりやすくするため、この方法で調査するマシンは既にネットワークから切断されており、それらからデータが取得されました(取得できる場合)。 この明白な方法論は、迅速かつ最小限の労力で人員を訓練するために書かれたもので、経験の浅いサポートワーカーが決定するのは、コンピューターを処理するか再インストールするかです。
続く