Тема: Как убить вирус. Курс молодого бойца

[Dr_Zhalnin]

Взял у моего знакомого  

Иногда на форуме появляются темы типа: "ай нид хелп! Как убить вирус?"
Мне на работе частенько поневоле приходится заниматься и этим родом деятельности.
Поэтому выработаны собственные ИМХО оптимальные методы борьбы.

Итак, для начала - простые правила.

1) Комп без антивируса конечно имеет право на существование, но только если на нем операционная система не Windows :)
Поэтому антивирус ОБЯЗАТЕЛЕН. Более того, обязателен антивирус с:
- постоянным обновлением баз (установили антивирь ломаный - ищите способ заставить его обновлять антивирусные базы)
- "резидентным монитором" (он же "реал-тайм протешен"/"real-time protection").  Вообще-то сейчас только немногие бесплатные антивирусы идут без такого модуля. У всех остальных он есть и должен быть активирован.  Большинство вирусов сейчас распространяются либо через скрипты с сайтов (особенно варезных и порнушных), либо через почту/аську, либо через флешку.  Резидентный монитор позволяет вовремя обнаружить вирусную активность и пресечь ее.

Итак: скачиваем и устанавливаем себе антивирус
Я пользуюсь бесплатным AVIRA, кто-то Касперским или Dr.Web.
Avast!, AVG и даже NOD32 не рекомендую.  При том, что идеального антивируса не существует, все пропускают вирусы, но эти (по моему опыту и по отзывам) умудряются лажать больше других. Популярность NOD32 вообще может сыграть злую шутку с его пользователем, даруя ложное чувство защищенности.  

На всякий случай упомяну некоторые другие антивири (может кто захочет попробовать): McAffee, Sophos, Panda, Microsoft Security Essentials, Symantec/Norton, BitDefender, Zillya...

2) По возможности, как бы банально это ни звучало, стараемся вовремя апдейтовать Windows.
Таким образом вы вовремя закроете дырки, через которые обязательно попытается проникнуть вирус.
Если Винда нелицензионная, то могут быть проблемы с проверкой подлинности во время обновления, но лекарство против этого есть.
На данный момент момент (4.02.2010 г) таковой таблеткой является Windows Genuine Advantage Validation (WGA) 1.9.40.0 version 4.
Пользование таблеткой и приручение WGA - тема отдельная.

3) Защитимся от проникновения вируса через скрипты посещаемых нами сайтов
Наиболее действенным для меня средством оказалось использование в качестве основного браузера Mozilla Firefox с установленным расширением NoScript.
Это расширение блокирует выполнение JavaScript (любого, хоть вредного, хоть полезного) на всех страницах, для которых пользователь не сделал исключение (временное или постоянное) в настройках расширения.
Это неудобно, это чуть замедляет серфинг по Инету, но это защищает. В том числе и от рекламы, медленных счетчиков посещений и т.п.
Вы будете удивлены со скольких мест порой одна страница тянет скрипты и информацию (все эти пути показывает NoScript, требуя подтверждения разрешения для каждого из них)

4) Защитите вашу флешку. Точнее все ваши флешки. В этом вам поможет небольшой скрипт вакцинации.  Он не позволит вирусу создать на вашей флешке файл автозапуска (autorun.inf).
Максимум что сможет сделать вирус - бросить свое тело например в Корзину флешки.
Но мы с вами ведь не идиоты же, чтобы его из Корзины вручную запускать? Правда? улыбка
Скрипт вацинации сам создаст директорию AUTORUN.INF которую возможно удалить только форматированием всей флешки.
Поэтому после каждого форматирования вам придется заново вакцинировать флешку.

Как делается вакцинация.
Создадим один раз коммандный файл-вакцинатор, сохраним его на диск и будем пользоваться им когда нужно.
Для этого:
- запускаем стандартный виндосовский Блокнот (Notepad)
- вставляем в него этот текст

Код: [Выделить]

set drive=%1
Attrib -s -h -r -a %drive%:\Autorun.inf
If exist %drive%:\Autorun.* Del \\?\%drive%:\Autorun.* /f /a /q
If exist %drive%:\Autorun.inf Rmdir \\?\%drive%:\Autorun.inf /s /q
Mkdir \\?\%drive%:\Autorun.inf
Echo > \\?\%drive%:\Autorun.inf\NUL.stop_flash_infect.1
Echo > \\?\%drive%:\Autorun.inf\prn
Attrib +s +h +r +a %drive%:\Autorun.inf
Сохраняем файл например на диск C:, выбрав в окне сохранения тип "Все файлы" и название файла что-нибудь типа "no_flash_virus.bat". Расширение BAT - обязательно.
Теперь у нас есть командный файл-вакцинатор.
- подключаем флешку и смотрим с каким именем диска она подключилась. Например флешка у нас подключилась как диск F
- на панели задач Windows Жмем кнопку ПУСК (START) и в появившемся основном меню выбираем Выполнить (Run).
В появившемся окне набираем команду cmd и жмем кнопку OK. Это запустит черное окно коммандной строки (эмулятора DOS).
Набираем в нем команду "C:\no_flash_virus.bat F" (у вас может быть другое имя файла вакцинатора и другое имя диска флешки) и жмем клавишу ENTER.
Все! На флешке должна появиться неудаляемая папка  AUTORUN.INF.  Отныне до очередного форматирования можете смело и безбоязненно втыкать свою флешку в любые зараженные и незараженные компы.

5) Правила для офисной сети.
- никогда не держите на компах папки расшаренные на запись. Лучше пользуйтесь FTP-протоколом для обмена файлами.
- никогда не ходите с пользовательских (а особенно зараженных) машин по сети с администраторским аккаунтом на важные компы (особенно сервера).
Имеется в виду не подключайтесь к их расшаренным админресурсам типа C$, D$ и пр.  Если сильно кортыть, то лучше выполните обратное подключение - зайдите на сервер с помощью RemoteDesktop и уже с него коннектитесь к ресурсам своей машины. Так безопаснее.

[Dr_Zhalnin]

ЕСЛИ КОМП УЖЕ ЗАРАЖЕН.

В чем состоит метод.  Чтобы вирусы не активизировались при запуске системы и их можно было бы безболезненно удалить, для этого нужно запустить комп под другой, чистой системой (Safe Mode основной системы далеко не всегда для этого подходит, не тратьте на него время), распознать удалить файлы вируса, потереть в реестре основной системы ссылки на нерспознанные части вируса, восстановить в реестре все что изменил вирус (он мог запретить  SafeMode, вместо запуска Рабочего Стола подсунуть свое окно с требованием СМС-нуть, запретить TaskManager, запретить запуск или удаление определенных папок и файлов ).

1) Нам понадобятся:
- LiveCD Hirens, записанный на CD или DVD болванку. Нас интересует версия от 10.1. В ней обязательно должна быть облегченная Live (PE) версия Windows XP. Найти ISO-образ диска можно здесь http://www.ex.ua/search?s=hirens.  
- бесплатная чистящая утилита CureIt. Она постоянно обновляется. Самая свежая версия всегда скачивается отсюда http://www.freedrweb.com/
- бесплатная чистящая утилита Kaspersky Virus Removal Tool. Самая свежая версия всегда скачивается отсюда http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/


Скачайте и запишите исошку Hirens на болванку с помощью NERO либо другой программы записи дисков.
чистящие утилиты нужно скачать и положить на вакцинированную флешку.
Все эти операции проделать на другом, незараженном компе.

2) Вставляем HirensCD в CD-привод зараженной машины. Выключаем комп. Включаем и в начале загрузки входим в настройки BIOS. BIOS должен быть настроен так, чтобы комп вначале пытался загрузиться с CD а уж потом с жесткого диска.
Если настроено не так, меняем настройку на нужную нам. Выходим из BIOS с сохранением изменений (F10). Комп начинает перегружаться, предлагает нажать любую клавишу чтобы загрузиться с CD.
Жмем пробел. Появляется меню диска HIRENS. В нем клавишами вверх/вниз выбираем пункт WindowsXP MINI. Жмем ENTER. Ждем загрузки Windows XP с CD.

Загружается специализированная XP.

Теперь первое что нам надо сделать - удалить все содержимое c:\WinNT\TEMP (c:\Windows\TEMP), C:\Recycler (Корзина) и папок TEMP и "Temporary Internet Files" во всех профилях пользователя (например у меня для пользователя olden они находятся в "C:\Documents and Settings\olden\Local Settings\" а для всех остальных - в остальных аналогичных папках типа "C:\Documents and Settings\[ЛЮБОЙЮЗЕР]\Local Settings\").
Возможно еще придется удалить все точки восстановления (папки) из "C:\System Volume Information"
Таким образом мы с большой долей вероятности уничтожаем тело и вспомогательные файлы вируса и облегчаем/ускоряем работу антивир-сканеров.
Также ищем и если найдем то удаляем все файлы autorun.inf (могут быть скрытыми) на всех логических дисках компа (C. D, E,...) в их корневых каталогах

Следующий этап - подключам флешку и запускаем с нее сначала CureIt а потом по окончании его работы - Kaspersky. С тем, как они работают, надеюсь, разберетесь. Соглашаемся со всем что они предложат удалить/вычистить улыбка

После всего этого можно быть более-менее уверенным, что файлы вируса вычищены. НО! Теперь нам предстоит задача убрать из реестра автозагрузки вируса и прочие следы его деструктивной деятельности.
В этом нам поможет программа редактирования локального реестра "Registry Editor PE". В основном меню нашего лечащего Windows самая верхняя команда запускает окно каталога утилит. Выбираем в нем меню МЕНЮ и в нем подменю "Registry Tools" а в нем программу "Registry Editor PE".  
Запустится программа, которая сама предложит вам импортировать ветки реестра из основной системы, которые вы затем сможете отредактировать (инструкции по работе - на http://regeditpe.sourceforge.net/).

Пока считаем, что вы в курсе что и где в реестре изменить, и поэтому изменили, вышли из программы, перегрузили комп, убрали изменения в BIOS и успешно загрузили основную систему.


Остается нераскрытым главный вопрос: что, как и где в реестре обычно портят вируса/трояны и как все это вернуть к нормальному состоянию.
Подробно об этом - позже.



Про реестр:
Первое, что делают вирусы, это запись своего запуска в ветки автозапуска в реестре.
Иногда они даже контролируют (находясь в памяти зараженной машины) наличие этих записей. И если удалить запись, то они тут же ее восстановят.  Это еще один довод в пользу чистки системы только после старта машины с LiveCD а не с харда.

Наболее известные места в реестре, отвечающие за автозапуск:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce

HKCU/Software/Microsoft/Windows/CurrentVersion/Run
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKCU/Software/Microsoft/Windows/CurrentVersion/RunServices
HKCU/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce

Это то, что нужно проверять в первую очередь
Но также есть более изощренные места

1) HKLM/Software/Microsoft/Windows NT/CurrentVersion/Windows
здесь есть параметр "AppInit_DLLs" (http://support.microsoft.com/kb/197571). Так вот в идеальном случае он должен быть пустым. Если не пустой - повод поинтересоваться что же именно он запускает.

Прописанная туда программка грузится даже с safe-mode. Даже в safe-mode with command promt, так как в XP оно все равно подгружает все (желающие могут загрузиться в «safe-mode with command promt» и нажать ctrl+alt+del — выскочит оконный интерфейс).
Более того, прописанная туда dll-ка не видна в процессах.

Записанная сюда DLL цепляется почти к каждому запускаемому процессу. У меня на машине там находится почему-то PGP-шная DLL "PGPmapih.dll".  Но я ее отношу к "доверенным" и потому пока не удаляю. А вообще лучше держать этот параметр пустым.

2)  HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
Интересный раздел. Тут желательно контролировать сразу несколько параметров

"Shell" - В нем должна находиться запись только один-в-один "Explorer.exe" и никакая иная.  Трояны "СМС"-ники прописывают сюда свою прогу. Это ту, которая выводит вместо Рабочего стола свое окно с требованием отправить СМС. Или пишутся в таком виде "Explorer.exe csrcs.exe". Это запускает и Explorer и сам вирус.

"Userinit" Тут должно быть нечто типа "C:\WINDOWS\system32\userinit.exe," или "C:\WINNT\system32\userinit.exe," и никаких к нему больше приписок.

"System" Как правило должен либо отсутствовать либо быть пустым. Если есть и не пустой - надо проверить не на вирус ли ссылается.

"Notify" Как правило должен либо отсутствовать либо быть пустым. Если есть и не пустой - надо проверить не на вирус ли ссылается.

"TaskMan" Должен либо отсутствовать либо быть пустым. Иное значение - это либо попытка вируса подсунуть себя вместо стандартного диспетчера задач либо у вас какой-то самосборный Windows в котором вместо стандартного диспетчера задачиспользуется иной, более навороченный.  Первое предположение более вероятно.

3)  HKLM/Software/Microsoft/Windows NT/CurrentVersion/Image File Execution Options
Сюда пишутся т.н. отладчики. Надо удалить раздел "Explorer.exe" если есть такой.  
Иначе при запуске Windows будет запускаться программа указанная в строковом параметре Debugger этого раздела.

4) HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
"BootExecute" - сюда может записаться вирусная прога для запуска ее на стадии загрузки Windows (программа должна уметь работать в чистом Dos)

Если вирус заблокировал запуск диспетчера задач и после чистки антивирусом он так и не запускается. Этим, кстати, балуются некоторые "СМС"-трояны

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
удаляем параметр DisableTaskMgr

В ключе HKCU\Software\Microsoft\Windows\CurrentVersion\Policies кстати могут быть и другие нестандартные запреты.
Обычно он пустой, либо с  разделом Explorer в котором установлены правила автозапуска с дисков в параметре "NoDriveTypeAutoRun"

[Dr_Zhalnin]

Если вирус/троян запретил Safe Mode режим для вашей Винды и после излечения от вируса безопасный режим все еще недоступен.

В таком случае запустите стандартный текстовый редактор Windows Блокнот (Notepad) и вставьте в него приведенный ниже код. Затем сохраните на диск, выбрав в окне сохранения тип "Все файлы" (All files) и имя например "smrestore.reg" (расширение REG обязательно!).  Затем двойным щелчком мышки по файлу запустите его. Он спросит уверены ли вы что хотите записать ЭТО в реестр. Соглашайтесь улыбка  Это поможет.

Код: [Выделить]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}]
@="Universal Serial Bus controllers"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]
@="CD-ROM Drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]
@="Standard floppy disk controller"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]
@="Net"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]
@="NetClient"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]
@="NetService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]
@="NetTrans"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]
@="PCMCIA Adapters"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
@="SCSIAdapter"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]
@="Floppy disk drive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
@="Human Interface Devices"
еще я столкнулся с тем, что некоторые вирусы прописывают в реестр запрет на запуск определенных программ

это может быть сделано через параметр "RestrictRun" в разделах
"HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer"
или
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer"
Надо просто удалить или сделать пустым параметр "RestrictRun"

Это один метод.  Второй, более изощренный определялся следующим образом.  При попытке запуска одной программы после очистки системы выдавалось сообщение, что установлен системный запрет и мол смотрите "Журнал событий" (System Event Log).  Действительно, в Event Log из Administrative Tools были записи моих попыток запуска программы и код запрещающего это делать правила в виде типа "{4D11E97B-E325-11CE-BFC1-08002BE10111}". Я скопировал этот код и сделал его поиск по реестру. Таким образом было найдено соответствующее запрещающее правило. После его удаления из реестра все заработало.

Иногда либо когда заражение только начинается, либо когда вирус простенький, то достаточно просто удалить его файл. Но поскольку сам вирус все еще висит в памяти, то удалить файл он не даст.
В таком случае (да и во многих других, если какие-то файлы блокируются любыми программами) помогает неплохая программка Unlocker http://ccollomb.free.fr/unlocker/.

Рекомендую. Она снимает блокировку с файлов и позволяет их после этого удалить.

[Alexej]

хорошая информация, только с реестром работать - дело опасное, низзя допускать ошибок - винда может не простить и скоропостижно.... постребовать переустановки :)

[bess]

вставлю и я свои 5коп )

все описано правильно и доступно.
но иногда возникают ситуации, когда вирус закрывает доступ к реестру.
для этого есть очень неплохая программа AVZ. она бесплатная, не требующая установки и обновляющаяся.
она неплохо проверяет, но для этого нада немного иметь знания.
НО! вот в ней есть возможность поправить то, что побил вирус - запуска Диспечера задач, доступ к реестру и прочему и т.д. для этого заходим в Файл - Востановление системы; и ставим 18 галочек. после этого - будет намного легче.