Про даний метод я вже трохи згадував раніше, навіть створив спеціяльний файл, що досить сильно допомагає мені в роботі, але результатами поділитись - забув.
Час витягувати піврічне неопубліковане, про яке забулось і лінувалось...

Історія почалась дуже давно. В той час я працював на компанію "Квазар Мікро", сервіс інженером. Враховуючи те, що крім банального сервісу та ремонту техніки власного виробництва, регіональні офіси мали можливість самостійного заробляння грошей, і в випадку Львівського офіса - це були договора про обслуговування офісної техніки багатьох компаній інженерами сервісного центру Квазар Мікро.

Насправді це був чудовий маркетинговий і стратегічний хід. Ми перетворювались на "адмінів по виклику" і їздили по рекламним агенціям, туристичним компаніям, дрібним офісам, що не могли собі дозволити постійно діючого системного адміністратора, в той час як оплачувати від вісьми людино-годин їм було в самий раз.
Для компанії, що спеціалізується на впровадженні готових інсталяційних рішень комп'ютерної техніки і мереж - це було як постійний бонус, бо в більшості випадків всі організації, що заключали з нами договора на обслуговування з часом перелазити на техніку нашого ж виробництва.

В результаті такої співпраці я себе почав називати "Аспірином". Бо потрібно було дуже оперативно вирішувати проблеми

• з нависаючими користувачами, в яких техніка перестала працювати
• з директорами і менеджерами, які стояли з $екундоміром за спиною
• ну і з безпосередньо проблемами вірусів та поломок техніки абсолютно різнопланового виробництва.

В свій час я навіть виробив був практику відновлення роботоздатності робочої станції на час "до кінця дня", щоб користувач не втрачав робочий день, а в кінці дня забирав системний блок або лише жорсткий диск для того, щоб остаточно відновити роботоздатність.

Про цей "до кінця дня" я і хочу розповісти.

Досить часто потрібно було мати справу з різними рішеннями з боку власників техніки. Йдеться мова як про залізну сторону, так і, на чому наголошую, - про програмний набір.

Різні антивіруси, Набір програмного забезпеченя, організація доступу в інтернет, порядність користувачів, піратство - головні проблеми кожного офісу.

В результаті такої роботи у нас виробилось чуття до проблеми "робочої станції", або "сервера" безпосередньо в момент первинного огляду.
Якщо Ви вирішили стати "Аспірином", потрібно виробити в собі відповідні механізми аналізу.
В даній статті я буду робити акцент на робочі станції, які дозволяється перезавантажувати, бо з серверами - це зовсім інша історія і тема не одної статті в майбутньому.

Важливо мати в своєму запасі зовнішній носій, на який гарантовано ніхто нічого не запише. Я використовую для цього *.iso з необхідним набором інструментів, які підмонтовую як віртуальні диски на зараженій системі. В своєму наборі також потрібно мати окремо в запаролених архівах дублікати всіх інструментів на випадок, якщо система не дозволяє інсталювати програмне забезпечення на себе.
Набір, що я б рекомендував.

• ISO образи інсталяцій всіх OEM+Retail... Систем, з якими доводиться мати справу.
• Резервні папки repair цих же систем, для можливості відновлення роботоздатності шляхом підміни реєстру.
• Універсальний завантажувальний диск(Ubuntu, FreeBSD etcetera), з якого можна доступитись до файлової системи зараженої станції
• Ноутбук з наявним перехідником USB2HDD, щоб можна було оперативно зробити необхідні процедури, не знімаючи носій з зараженої системи.
• Доступ в інтернет

Із програмного набору я використовую

• Безкоштовну інсталяцію утиліти cureit від DrWeb
• Тестову версію McAfee Enterprise, що роботоздатна протягом певного терміну часу
• NOD32 антивірус, який НМД є найоптимальнішим рішенням в випадку постійного віикористання (Тут я упереджений по причині того, що я є Сертифікованим Менеджером з продаж цього антивіруса)
• Regmon.exe - що дозволяє спостерігати за тим, які ж процеси змінюють реєстрові значення, які Ви щойно виправили на правильні.
• В особливо складних випадках - Filemon.exe, що дозволяє аналізувати хто ж постійно закидує тіла вірусів, які не детектяться антивірусами.
• Shaman.exe - файловий менеджер, написаний зниклим автором дуже давно ще на Delphi3, що дозволяє проглянути приховані процеси і зняти їх з виконання, а також дозволяє стирати приховані файли
• В надзвичайно складних випадках, коли недозволено перезавантажувати комп'ютер - використовую віртуальну машину, що дозволяє завантажити гостьову ОС, з якої через фізичний доступ до диска стираю "нєстріраємоє"(давненько таким не користувався)

Яким чином відбувається аналіз.

Сідаючи за станцію, вартує зробити кілька первинних кроків, щоб визначити проблему.
Головне - намагайтесь виконувати все через консоль cmd.exe або через "Пуск->Виконати". Це чи не найважливіший фактор успішного self-лікування безпосередньо з пульта зараженої станції.

• Перевірка можливості запуску таких програм як regedit.exe, taskmgr.exe, mmc.exe
• Перевірка запуску команди c:\autorun.inf
• Перевірка розділів реєстру
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell=Explorer.exe, UIHost=LogonUI.exe, System=''
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

  З часом Ви знайдете їх набагато більше, описувати всі - тут не вистачить місця і формату 8).

• Неможливість відобразити приховані файли засобами Explorer.exe
• Наявність "лівих" процесів в списку taskmgr.exe, особливо таких, що запущені з глибоко захованих папок, або папок Temp
• У випадку 64бітних систем наявність значка *32 біля імені процесу в taskmgr.exe

Взагалі по 64бітним системам потрібно буде написати додаткову статтю, так як виявилось, що на сьогоднішній день вони краще захищені від вірусів в порівнянні з 32 бітними.

Список далеко неповний!
Враховуючи велику кількість інформації в даній статті, складні випадки аналізу я залишаю за майбутніми дописами.
Сподіваюсь, що даний текст стане Вам у нагоді при лікуванні і аналізі проблемних інсталяцій.
Успіху Вам!

Далі буде.