Как избавиться от вирусов

[PLAstic]

Тема посвящена практическим вопросам избавления компьютера от вирусов.
В ней собираются способы, помогающие убить всяческую заразу на компьютере.

• Обсуждение антивирусов лучше вести в соответствующем разделе.
• Способы лечения конкретных вирусов обсуждаются здесь
• Для обсуждения частного случая заражения лучше создать отдельную тему.

Предисловие читать обязательно

* Всё написанное далее является imho и основывается на моём личном опыте.
* Порядок действий может варьироваться в зависимости от настроения и образа мышления.
* AVZ - не антивирус, а утилита. Она не обеспечивает защиту, а лишь устраняет последствия. И результат её работы зависит на 90% от головы и рук сидящего перед монитором.
* Настоятельно рекомендую изучить документацию по утилите и сайт поддержки. Там действительно понятно написано множество полезных вещей.
* Исправления и дополнения принимаются.

Версия от 19.11.2008. Исправления последней версии выделяются курсивом.

Подробнее

Вирусу, как и любой другой программе, надо как-то запуститься. Способов для запуска существует много. Наша задача перво-наперво (даже на уже инфицированной машине) выкинуть из памяти вирусняк, а потом добить его тушку на жёстком диске. Очень хорошая есть софтина от SysInternals, которую купила Microsoft, - Autoruns. Она показывает достаточно много точек запуска. Но! Как всегда, круче наших не бывает и специалист по защите информации из Смоленска Зайцев Олег сваял утилиту, равной которой до сих пор нет. Итак, по порядку...
Попытаемся запустить утилиту. Несмотря на кажущуюся простоту процесса на завирусованной машине могут возникнуть сложности.
1) Если вирус перехватил файловые ассоциации, то вполне может блокировать запуск файлов *.exe . Это лечится переименованием avz.exe в avz.com. Он потеряет иконку, но останется запускаемым.
2) Вследствие популярности утилиты уже появились вирусы, которые блокируют любые операции с файлами *.avz (это базы утилиты). Тут два варианта: простой требующий инета и сложный автономный.
Простой. Качаем с сайта специальную версию AVZ, которая уже содержит в себе все файлы.
Сложный. Открываем в любом 16-ричном редакторе (в моём случае это был UltraEdit) файл avz.exe и находим там строчку .avz (она там одна). Меняем ".avz", например, на ".avv". Далее на другой машине в папке Base утилиты пишем команду (Пуск-Выполнить-cmd)

Код:

dir *.avz >c:\text.cmd

В текстовом файле получаем список всех .avz файлов. Далее из каждой строки файла делаем что-то вроде

Код:

ren имя_файла.avz имя_файла.avv

, затем запускаем. Получаем папку Base, где внутри все файлы имеют расширение .avv. Теперь можно запускать AVZ - он будет искать файлы .avv.
Для начала установим драйвер расширенного мониторинга процессов. После его установки требуется перезагрузка! В меню AVZPM - Установить драйвер расширенного мониторинга процессов. Устанавливается он один раз за всё время существования AVZ на машине. Снести его можно соседним пунктом меню. Выдержка из AVZ'овской доки про этот драйвер:

Цитата: Технология AVZPM основана на KernelMode Boot драйвере, который осуществляет слежение за запуском процессов и загрузкой драйверов.

Мной было замечено, на некоторых машинах этот драйвер определяется как устройство при следующей перезагрузке и запрашиваются драйверы. Никаких драйверов ставить не надо.
Если просто снимать подозрительные процессы, можно заметить, что в большинстве случаев они создаются заново. Чтобы не заниматься бесполезной работой, зарежем активность всех процессов. Включаем AVZ Guard в меню - AVZGuard - Включить AVZGuard. Вот что говорит стандартная AVZ'овская дока про эту фичу:

Цитата: Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера. В момент активации все приложения делятся на две категории - доверенные и недоверенные. Исходно доверенным является только AVZ.

В общих чертах, недоверенным приложениям обрубаются все действия, которые могли бы воспрепятствовать расставанию с ними. С этого момента у вас не запускаются приложения и не закрывается AVZ. Хотите его закрыть - не забудьте выключить AVZGuard.
Итак, от фоновой активности мы избавились, теперь надо проверить автозапуск - Сервис - Менеджер Автозапуска. Внимательно просматриваем строки чёрного шрифта потому, что данный переключатель у вас включен:

Цитата: Переключатель "Проверять файлы по базе безопасных файлов" - включение этого переключателя активирует проверку исполняемых файлов и DLL по базам безопасных объектов, идущим в составе AVZ. Файлы, опознанные как безопасные, выделяются при просмотре зеленым цветом.

Если найден непонятный процесс чёрного цвета - стОит проверить путь (в колонке "Файл") и точку запуска (в колонке "Описание"). У большинства процессов можно нажать кнопку на панели сверху "Заблокировать автозапуск". Отрубаем процессы таким образом. Кроме того, некоторые вирусы меняют стандартные ключи реестра на свои значения. Например, вместо запуска оболочки explorer.exe может стоять что-то иное. В этом случае при установке курсора на процесс сверху становится доступна кнопка "Восстановить значение по умолчанию". Нажав её вы вернёте ключу стандартное значение. Итак, просмотрели список, избавились от подозрительных чёрных пунктов если не удалением из списка, то деактивацией. Однако, ещё не конец - слева замечаем дерево, курсор в котором стоит на пункте "Автозапуск". Кроме него в списке ниже есть пункт WinLogon. Выбираем его и наблюдаем другой список. Тут важно не накосячить. Это дочерние процессы WinLogon, которые реагируют на определённые события. Например, на старт машины или логон пользователя. Сюда прописывается процесс klogon, принадлежащий антивирусу Касперского, который почему-то до сих пор отсутствует в базе данных и отмечен чёрным цветом. В этот список любят прописываться особо хитросделанные вирусы.
Любые процессы которые вы отключали выше я советую запоминать. Да, вот так вот после выпрыгивания из самолёта предупреждаю, что надо было надеть парашют. Так вот, если процесс стоял в автозапуске, то логично, что до сих пор он запущен. Идём в меню Сервис - Диспетчер процессов. Здесь мы видим сильно помогающее выделение цветом и обращаем пристальное внимание на процессы чёрного цвета. Когда вы ставите курсор на какой-либо процесс, в нижней части окна выводится список файлов, открытых процессом. Вредоносное ПО не всегда создаёт отдельные процессы, часто оно внедряет свои DLL в системные процессы, а в патологических случаях - во все. Посему рекомендую проверять все процессы с их содержимым. Если вы уверены, что вот этого процесса быть не должно, то на нём правый клик и "Завершить процесс". Если же в нормальном процессе обнаружен "лишний" файл, в нижней части окна на нём правый клик и "Принудительно выгрузить DLL". Кстати, в обязательном порядке выкидываем из ОЗУ те процессы, которые вы отключали в автозапуске.
Теперь у нас есть с разной долей вероятности чистое ОЗУ и можно пройтись по остальным пунктам из меню Сервис. Достаточно часто неразумные пользователи разрешают напихаться всякой гадости в расширения браузера. Выкидываем эту ватагу удальцов пунктом Сервис - Менеджер расширений IE. Просматриваем остальные пункты до "Менеджер Active Setup" включительно. Редко, но всё же иногда гадость встречается в расширениях системы печати или планировщике заданий, чуток почаще - в Downloaded Program files.
Мы вплотную подошли к запуску сканирования ОЗУ и содержимого дисков. Обращаем внимание на галку в основном окне справа вверху - "Выполнять лечение". Ставим её, отмечаем все диски, которые могут содержать вирусы. Вы не отметили флешку? Зря. Отмечаем всё, даже CD-ROM можно. Может статься, образ, который принёс Васёк Пупкин, содержит кроме полезного софта коллекцию вирусов (а такие образы, бывает, раздаются и у нас на форуме).
Заглядываем на закладку "Параметры поиска". Ставим "Эвристический анализ" на максимум, включаем "расширенный анализ", активируем блокирование работы всех руткитов. Нажимаем заветную кнопку "Пуск" и откидываемся на спинку кресла. Готовьтесь узнать о своей системе много нового.
По окончании проверки просматриваем выделенные красным строки. На Win2003 SP2 ENG я заметил такое сообщение:
Ошибка обмена с драйвером [00000002]
Без паники, это ещё не вирусы. Вот комментарий автора:

Цитата: Все нормально - так и должно быть. AVZ детектировал, что устновлен SP2 и сработала блокировка - W2K3 серверная операционка и если драйвер не тестирован в конкретной конфигурации, то он отрубается.

Ещё очень редко в списке процессов встречаются процессы красного цвета с названием "?". Этому тоже есть объяснение:

Цитата: это фича антируткита, проявляется редко ... известно, что наблюдается на ПК с установленным софтом от HP и/или Apache. Причина установлена - этот софт не закрывает некоторые свои хендлы. Результат - хендл есть, а процесса-владельца же нет, вот отсюда и реакция.

Продолжим. В большинстве случаев при проверке вирусные файлы удаляются, но иногда на них только падает подозрение (не 100%ное) и потому AVZ их оставляет. Если вы эти файлы не встречали в автозапуске, чтобы не искать, каким образом они запускаются, просто отправим их в пешее эротическое путешествие со следующей перезагрузки. В этом нам поможет пункт "Файл - Отложенное удаление файла". Вставляем в появившееся окно вместе с путём имя файла и обязательно ставим точку на "Удаление файлов и эвристическая чистка ссылок на них".

Цитата: В этом режиме кроме удаления файла производится автоматическая зачистка автозапуска и ряда ключей реестра, в которых мог быть зарегистрирован удаляемый файл (Winlogon, регистрация CLSID, расширения Internet Explorer и проводника и т.п.). Подобная очистка производится автоматически и делает удаление более корректным.

Иногда можно встретить надписи типа

Код:

1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = F9805ED5 -> Avw75.sys

Чтобы не маяться с поиском, где же находится этот файл, выбирайте пункт меню "Файл - Просмотр списка подозрительных объектов". Там будут показаны все подозрительные файлы и тут же можно выполнить со всеми ними действия вроде "Отложенное удаление файла" с предварительным копированием в карантин для истории.
При диагностике памяти встречаются сообщения, что операция работы с жёстким диском (точный текст сообщения я постараюсь найти), а точнее, NTFS или FastFat перехвачены. На текущий момент мне неизвестны способы лечения этой заразы из заражённой системы, т.к. это драйверы ядра и убить их из рабочей системы никак не получается. Остаётся грузиться с liveCD и убивать указанный файл ручками. Убиваются они без последствий.

Теперь пройдёмся ещё по драйверам и службам. Часто встречаю, что вирусы запускаются через свои установленные драйверы или службы. Чтобы избавиться от них, просматриваем списки запущённых служб и драйверов в меню "Сервис - Диспетчер служб и драйверов". Вредоносные драйверы встречаются намного чаще служб. Перед удалением обращаем внимание на путь, где находится файл. Отмечу, что sptd - драйвер от Daemon Tools, а kl1 и klif являются драйверами антивируса Касперского и удалять их нежелательно.

Напоследок осталось заглянуть в меню "Файл - Восстановление системы" и удивиться доступным процедурам. Здесь собраны основные скрипты для устранения негативных последствий от действий вирусного ПО на систему. Особо много жертв на счету этих пунктов

1.Восстановление параметров запуска .exe, .com, .pif файлов
Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.

2.Сброс настроек префиксов протоколов Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer

3.Восстановление стартовой страницы Internet Explorer
Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer

4.Сброс настроек поиска Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки поиска в Internet Explorer

5.Восстановление настроек рабочего стола
Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesktop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.

6.Удаление всех Policies (ограничений) текущего пользователя
Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.

8.Восстановление настроек проводника
Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).

9.Удаление отладчиков системных процессов
Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ

10.Восстановление настроек загрузки в SafeMode
Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.

11.Разблокировка диспетчера задач
Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.

13. Очистка файла Hosts
Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".

16. Восстановление ключа запуска Explorer
Восстанавливает системные ключи реестра, отвечающие за запуск проводника.

17. Разблокировка редактора реестра
Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.

После выполнения скриптов можно перегрузиться, а затем контрольный выстрел в тушки вирусов повторной проверкой всех точек запуска и содержимого ОЗУ и дисков.
Перезагрузку выполняем так:

Цитата: В случае, если проводилось лечение системы, необходимо перезагрузиться не выключая AVZGuard. Это важный момент, связанный с тем, что в системе после лечения могут быть загружены вредоносные DLL, будут продолжать работу троянские процессы и т.п.

Т.е. перегружаемся не выключая AVZ. Завершаем приложение по запросу системы.

Открыт специализированный раздел
Лечение систем от вредоносных программ

[Hmury]

Цитата: Сообщение от Nickoss Может кто подскажет прогу более компактную, не требующую длительной инсталляции и лекарств для оперативного управления флагами реестра, ограничивающих доступ или мешающим нормальной работе.

Все тот же AVZ - Пункт файл - Восстановление системы
(только поосторожнее с настройками SPI и TCP/IP - лучше эти галки не ставить, возможны проблемы)
Также очень хорош для избавления от "горячих" активных проблем Trojan Remover

[goric]

Цитата: Бред несешь ты . На место кис можно поставить любой без исключений антивирь. С лив сиди не все вири можно удалять. Некоторые собираются из безопасных компонентов только при загрузке системы ( напр. тот же kido на ранних стадиях заражения) компоненты проверяются без проблем.

Все эксплойты и вири живут пока какой-нибудь ОЛЕНЬ не закинет их на virustotal,а посему весь твой базар превращается во флейм.А по теме -нормальный антивирь+обновления=не знаю проблем!

[black slayer]

goric, А ты не задавался вопросом каким образом свыше 10 лимонов компов оказалось зараженным очередным червяком? Среди этих компов были абсолютно все антивири и часть из них правильно обновлялась. Тем не менее не помогло. ТЕ ламер пользователь даже обновляя постоянно антивирь, не защищен от вирей гарантированно. Для борьбы с вирями необходим определенный минимальный уровень знаний, не каждый сможет его выполнить. И потом если включать нормальный контроль (эвристику) в любом АВ, большинство юзеров не сможет нормально работать. Поэтому большинство тех кому это необходимо, частично тормозят свои антивири и файрволлы. Что является одной из причин заражения.
По теме хотел добавить есть такой autoruns - неплохой менеджер автозапуска от sysinternals. В как правило видно большинство троянов. В AVZ неплохо реализован механизм сбора сведений о зараженной системе и другие вещи

[oxotn1k]

Полностью отключает автозапуск на всеч съемных устройствах:

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[totus]

Господа,не ругайтесь что лучше га..ный нод или анальный кис,даже у нас этим атстоем не пользуются,установите Shadow Defender и поблемы не будет ВООБЩЕ С ВИРУСАМИ ДАЖЕ ЕСЛИ ВЫ ЗАЙДЕТЕ В ИНТЕРНЕТ БЕЗ АНТИВИРУСНИКА.Shadow Defender - это новый аналог программы, подобной ShadowUser, позволяющей поставить систему в режим тени - Shadow mode, при котором вам не грозят ни удаление важной информации, ни атака вирусов. Эта утилита так же служит для обеспечения защиты компьютера и конфиденциальности информации. Предотвращает нежелательные и злонамеренные изменения в вашем компьютере, позволяет загружаться в виртуальном теневом режиме с выборочным сохранением данных, проста в обращении.

Shadow Defender создаёт виртуальный снимок указанного жёсткого диска, с которым вы и продолжаете свою работу. Атаки червей, скачивание spyware, удаление Ваших любимых фотографий и т.п... всё будет возвращено назад после очередной перезагрузки компьютера.
Удобным моментом является и то, что переход в режим Shadow в Shadow Defender - не требует перезагрузки системы. Есть и ряд просто полезных улучшений, как например экспорт/импорт списка исключений в файл/из файла.

[Nickoss]

totus
А что у этого зверя с лицензией ? Шареварный или как ?
Использую Аваст (помимо всего прочего) именно из-за того, что официально зарегистрировался, подтвердил "только для домашнего использования" и целый год не паришься с поиском ключей, крэками и т.д., всё само обновляется, не тормозит и % найденных вирусов не меньше, чем у Нод32. Лечит, правда, не очень. В основном методом удаления, но зато поставил клиенту и забыл.
Ну и неплохо себя зарекомендовало использование ограниченной учетной записи. Особенно когда пароль администратора на том же компе чуть хитрее, чем "111" или "qwerty". Ну это уже вариант для офиса или фирмы, которую же сам и сисадминишь.

Hmury

Цитата: Все тот же AVZ - Пункт файл - Восстановление системы (только поосторожнее с настройками SPI и TCP/IP - лучше эти галки не ставить, возможны проблемы) Также очень хорош для избавления от "горячих" активных проблем Trojan Remover

Ну вот, например, после очередного вируса из меню "Пуск", пропал пункт "Выполнить". Ясное дело, что какой-то из ключей реестра переключился в положение "disable=1". Поиск вручную - напрасная трата времени, а наверняка есть прога, которая умеет это делать.

[PLAstic]

Цитата: Сообщение от Nickoss Поиск вручную - напрасная трата времени, а наверняка есть прога, которая умеет это делать.

Как тебе и сказали: "Все тот же AVZ - Пункт файл - Восстановление системы". Там выбираешь пункт "Удаление всех policies (ограничений) текущего пользователя".

[desa]

Trojan Remover 6.7.1.2536 + crack

Программа, специализирующаяся на отлавливании троянских программ - полезная в хозяйстве вещь,
ведь вполне может случиться так, что стандартный антивирусник не сможет не то что удалить, но и обнаружить какой-нибудь особо изощренно изготовленный троян.

Размер - 8.4 Mb
Язык - английский
Лекарство - присутствует

Скачать

Зеркало на Rapidshare

Зеркало на Depositfiles

Зеркало на Upload.com.ua

[Ripster]

Автораны надо удалять програмкой AntiAutoran, в нете можно найти и весит всего около 200 КБ. Для полной зачистки вирусов лучше всего подойдет CureIt, но обязательно скачивайте последнюю версию. Вирус который диспетчер задач блокирует, можно убрать через программу XP tweaker.

[bosh2000]

Smitfraudfix – бесплатная программа для удаления шпионского и рекламного ПО

Smitfraudfix – это бесплатная программа, которая удаляет рекламное и шпионское ПО. Если у вас изменилась домашняя страница, выскакивают окна с рекламой, ссылки по которым вы кликаете в брайзере ведут совсем не туда куда указывают, то вам необходимо попробовать эту программу.
Эта программа поможет вам удалить: AdwarePunisher, AdwareSheriff, AlphaCleaner, Antispyware Soldier, AntiVermeans, AntiVermins, AntiVerminser, AntivirusGolden, AVGold, BraveSentry, MalwareWipe, MalwareWiped, MalwaresWipeds, MalwareWipePro, MalwareWiper, PestCapture, PestTrap, PSGuard, quicknavigate.com, Registry Cleaner, Security iGuard, Smitfraud, SpyAxe, SpyCrush, SpyDown, SpyFalcon, SpyGuard, SpyHeal, SpyHeals, SpyLocked, SpyMarshal, SpySheriff, SpySoldier, Spyware Vanisher, Spyware Soft Stop, SpywareLocked, SpywareQuake, SpywareKnight, SpywareSheriff, SpywareStrike, Startsearches.net, TitanShield Antispyware, Trust Cleaner, UpdateSearches.com, Virtual Maid, VirusBlast, VirusBurst, Win32.puper, WinHound, Brain Codec, DirectVideo, EliteCodec, eMedia Codec, FreeVideo, Gold Codec, HQ Codec, iCodecPack, iMediaCodec, Image ActiveX Object, IntCodec, iVideoCodec, JPEG Encoder, Key Generator, Media-Codec, MediaCodec, MMediaCodec, MovieCommander, MPCODEC, My Pass Generator, PCODEC, Perfect Codec, PowerCodec, PornPass Manager, PornMag Pass, PrivateVideo, QualityCodec, Silver Codec, SiteEntry, SiteTicket, SoftCodec, strCodec, Super Codec, TrueCodec, VideoAccess, VideoBox, VidCodecs, Video Access ActiveX Object, Video ActiveX Object, VideoCompressionCodec, VideoKeyCodec, VideosCodec, WinAntiSpyPro, WinMediaCodec, X Password Generator, X Password Manager, ZipCodec и многое другое.

Режимы работы.
Запустите программу и вы увидите главное меню.
главное меню программы smitfraudfix

Для выбора нужного вам режима, введите число которое соответствует этому режиму и нажмите клавишу Enter.

Поиск спайваре.
Выберите режим 1 - Search. После окончания сканирования, программа сохранит лог в файле C:\rapport.txt

Удаление спайваре. Рекомендуется загрузить ваш компьютер в защищенном режиме (Safe Mode).

Выберите режим 2 - Clean.
Программа спросит у вас о необходимости очистки реестра (Do you want to clean the registry ?), нажмите Y и подтвердите свой выбор клавишей Enter. Этим вы разрешите программе удалить из реестра все, что ассоциировано с найденным спайваре.
Далее Smitfraudfix проверит инфицирование файла wininet.dll, если этот файл заражен, то вам будет предложено заменить его (Replace infected file ?) на не зараженный файл. Нажмите Y и подтвердите свой выбор клавишей Enter.
Для окончания очистки системы от заражения программа перезапустит ваш компьютер.
Так же как и при сканировании все свои действия программа записывает в лог файл - C:\rapport.txt

Восстановление списка безопасных узлов.
Выберите режим 3 - Restore Trusted Zone. Программа спросит у вас подтверждение (Restore Trusted Zone ?), нажмите Y и после этого клавишу Enter.

[sunic]

Добавлю (если вдруг кто то говоил извените за повтор)
Ни что так не спасает как небольшой поиск в реестре (панацея от авторанов) и небольшое удаление руками. Конечно предварительно этому ОБЯЗАТЕЛЬНО (если пациент тяжело больной) Пройтись Лайвом от доктора (там есть очень хорошая вещь: залил надиск или на флеху грузанулся и можешь обновиться в любой момент с любого носителя в от личии от Живого Кощмарско у кторого проблемы при загрузки с нехвыаткой памяти). Замечу проходиться надо имеено Живым Докторо а не утилитой лечения, по одной простой причине Вирусы существа паршивые этот портативный антивирус (предствляющий SFX) заражают быстро если конечно не с диска запущен. А живой загрузил пингвина и ищет.
А затем Либо Курент Доктора либо в догонку АВЗ (котрый стал Кошмарского то есть его автор стал полноценной частью лаборатории) + МалвариБайт (без мониторинга беспланты и чаще других может мобильно спасти систему
PS Заране из венЯюсь если где то звучало но уж очень хотелось передать опыт свой лечкения тяжело и не очень больных систем
PS Просто исправляюсь Даю ссылки на проги вместе с именами
1. Dr.Web LiveCD/
Лечит в особо тяжелых случаях (Грузит с диска свою ОСЬ в данном случае Пингвина и позволяет полноценно БЕЗ ограничений каких либр проверить систему)


Самое главно Фрее полностью и ключ на халяву
Download(С фтп скачивается образ прожигается и дальше проверка загрузка и лечение)
2. Malwarebytes Anti-Malware
Malwarebytes Anti-Malware/
Download
PS Сканер бесплатен, а вместе с мониторингом (висит резидентно и следит) - платно. Генератор аспирина есть в доступе (ГУГЛ ВАМ в помощь)
3. Повторюсь раз о ней говорил Бесплатная лечащая утилита Dr.Web CureIt!
Скачать
Лучше с диска или с флэшки у которой нет прав на запись (переключатель)

[RTS-60]

Цитата: Сообщение от NolDare Вывод: действительно, AVZ лучше всех помогает именно очистить уже зараженную машину.

Да уж..
У меня борьба с вирусами финиширует лишь после применения MalwareBytes Anti-malware.
АВЗ несколько раз не смог помочь.
Да, и, походу, НОД, Каспер и ВЭБ-курейт не могли почистить машину.
Плюс вирусклинер.
Эти антивирусы у меня сносят патчи и кейгены на софт.
Приходится держать эти проги на гибких дисках.

[Nickoss]

Прежде всего нужно иметь загрузочный компакт с чем то, типа ERD Commander. Потому как многие вирусы, типа Аhsan's прекрасно работают и в Safe Mode. После загрузки с компакта попытаться восстановить предыдущую точку восстановления (это если по-простому). ERD Commander это умеет делать. Потом запретить автозапуск со всех дисков, путем удаления файлов autorun.inf и создания вместо них папок с тем же именем. Иногда этого мало - нужно в папке AUTORUN.INF создать подпапку AUTORUN.INF, типа C:\AUTORUN.INF\AUTORUN.INF. Аналогичным образом поступить со всеми .ЕХЕ файлами в корневых папках (и на флешках тоже). С 99% вероятностью - это вирусы (если вы не знаете их назначения и сами же их туда и не записали).
Запустить msconfig и отследить запуск .ЕХЕ-файлов из папки Windows (до восстановления точки восстановления или если не получилось), как правило это вирусы (редко могут быть какие-то древние драйвера, но редко). Файлы в архив, вместо них папки с теми же именами. Вообще в папке Windows должно быть всего штук 15-20 экзешников, назначение которых понятно из их названия. Если имеется что-то постороннее, то это сразу должно настораживать. А если .ЕХЕ-файл ещё и скрытый - то это 100% вирус.

И только после этого запуск в безопасном режиме и дальше по схеме: AVZ, CureIt, AntiMalware. И на постоянную защиту, например, Avast с бесплатной лицензией на 14 месяцев.

Теперь отвечу на свой же вопрос о восстановлении пункта "Выполнить" в меню "Пуск", который многие вирусы любят скрывать. Avz здесь не помогает. Поэтому ручками: правой кнопкой мыши по меню "Пуск". Свойства - Настроить - закладка Дополнительно - установить флажок в "Команда Выполнить" - Применить.

[baltik]

1. НЕ загромождайте систему типа авторан стоп и т.д.
в ХР проф- запускаем редактирование групповых политик gpedit.msc
конф.комп.-админ.шаблоны-система-Отключить автозапуск- на всех дисках-закрываем
gpupdate - применяем политики
2. Пукт "выполнить"- пропал (Вирус?) зачем она вообще нужна WIN+R, и есть
запуск командной строки, тотал или другой файл менеджер
3. Не один анивирус не гарантирует 100%,
Стараемся не использовать (не качать не запускать ПО -сомнительного происхождения)
даже в этой теме выкладывают ссылки в гондурас, зачем если есть сайты производителей ПО
ЧАще скачать ПО на сайте производителя проше чем гуглить, а гуглим только кейген
скачиваем его под правами пользователя проверяем на вирустотал а потом только используем
4. Я использую нортон, но все равно про (см. ниже) не забываю
5. В 97% пользователь сам грузит(инсталирует) вируса себе в систему
поэто тестить ПО под виртуал ПС мене проблемнее чем лечится

[Nickoss]

1. Большинство офисных компов - XP Home - экономные все.. Автозапуск точно также просто может быть включен вирусом, как юзером выключен. Предполагаю даже, что перед прописыванием себя в авторан вирус эту операцию и проделывает.
2. Win+R . Это да. Век живи-век учись. :-)

Добавлю ещё, что в антивирусном арсенале неплохо иметь прогу для удаления файлов приложений, висящих в памяти, типа Unlocker.