Как избавиться от вирусов

[PLAstic]

Тема посвящена практическим вопросам избавления компьютера от вирусов.
В ней собираются способы, помогающие убить всяческую заразу на компьютере.

• Обсуждение антивирусов лучше вести в [Для просмотра ссылок требуется регистрация. Зарегистрироваться...].
• Способы лечения конкретных вирусов обсуждаются [Для просмотра ссылок требуется регистрация. Зарегистрироваться...]
• Для обсуждения частного случая заражения лучше создать отдельную тему.

Предисловие читать обязательно

* Всё написанное далее является imho и основывается на моём личном опыте.
* Порядок действий может варьироваться в зависимости от настроения и образа мышления.
* AVZ - не антивирус, а утилита. Она не обеспечивает защиту, а лишь устраняет последствия. И результат её работы зависит на 90% от головы и рук сидящего перед монитором.
* Настоятельно рекомендую изучить документацию по утилите и [Для просмотра ссылок требуется регистрация. Зарегистрироваться...]. Там действительно понятно написано множество полезных вещей.
* Исправления и дополнения принимаются.

Версия от 19.11.2008. Исправления последней версии выделяются курсивом.

Подробнее

Вирусу, как и любой другой программе, надо как-то запуститься. Способов для запуска существует много. Наша задача перво-наперво (даже на уже инфицированной машине) выкинуть из памяти вирусняк, а потом добить его тушку на жёстком диске. Очень хорошая есть софтина от SysInternals, которую купила Microsoft, - Autoruns. Она показывает достаточно много точек запуска. Но! Как всегда, круче наших не бывает и специалист по защите информации из Смоленска Зайцев Олег сваял утилиту, равной которой до сих пор нет. Итак, по порядку...
Попытаемся запустить утилиту. Несмотря на кажущуюся простоту процесса на завирусованной машине могут возникнуть сложности.
1) Если вирус перехватил файловые ассоциации, то вполне может блокировать запуск файлов *.exe . Это лечится переименованием avz.exe в avz.com. Он потеряет иконку, но останется запускаемым.
2) Вследствие популярности утилиты уже появились вирусы, которые блокируют любые операции с файлами *.avz (это базы утилиты). Тут два варианта: простой требующий инета и сложный автономный.
Простой. Качаем с сайта [Для просмотра ссылок требуется регистрация. Зарегистрироваться...], которая уже содержит в себе все файлы.
Сложный. Открываем в любом 16-ричном редакторе (в моём случае это был UltraEdit) файл avz.exe и находим там строчку .avz (она там одна). Меняем ".avz", например, на ".avv". Далее на другой машине в папке Base утилиты пишем команду (Пуск-Выполнить-cmd)

Код:

dir *.avz >c:\text.cmd

В текстовом файле получаем список всех .avz файлов. Далее из каждой строки файла делаем что-то вроде

Код:

ren имя_файла.avz имя_файла.avv

, затем запускаем. Получаем папку Base, где внутри все файлы имеют расширение .avv. Теперь можно запускать AVZ - он будет искать файлы .avv.
Для начала установим драйвер расширенного мониторинга процессов. После его установки требуется перезагрузка! В меню AVZPM - Установить драйвер расширенного мониторинга процессов. Устанавливается он один раз за всё время существования AVZ на машине. Снести его можно соседним пунктом меню. Выдержка из AVZ'овской доки про этот драйвер:

Цитата: Технология AVZPM основана на KernelMode Boot драйвере, который осуществляет слежение за запуском процессов и загрузкой драйверов.

Мной было замечено, на некоторых машинах этот драйвер определяется как устройство при следующей перезагрузке и запрашиваются драйверы. Никаких драйверов ставить не надо.
Если просто снимать подозрительные процессы, можно заметить, что в большинстве случаев они создаются заново. Чтобы не заниматься бесполезной работой, зарежем активность всех процессов. Включаем AVZ Guard в меню - AVZGuard - Включить AVZGuard. Вот что говорит стандартная AVZ'овская дока про эту фичу:

Цитата: Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера. В момент активации все приложения делятся на две категории - доверенные и недоверенные. Исходно доверенным является только AVZ.

В общих чертах, недоверенным приложениям обрубаются все действия, которые могли бы воспрепятствовать расставанию с ними. С этого момента у вас не запускаются приложения и не закрывается AVZ. Хотите его закрыть - не забудьте выключить AVZGuard.
Итак, от фоновой активности мы избавились, теперь надо проверить автозапуск - Сервис - Менеджер Автозапуска. Внимательно просматриваем строки чёрного шрифта потому, что данный переключатель у вас включен:

Цитата: Переключатель "Проверять файлы по базе безопасных файлов" - включение этого переключателя активирует проверку исполняемых файлов и DLL по базам безопасных объектов, идущим в составе AVZ. Файлы, опознанные как безопасные, выделяются при просмотре зеленым цветом.

Если найден непонятный процесс чёрного цвета - стОит проверить путь (в колонке "Файл") и точку запуска (в колонке "Описание"). У большинства процессов можно нажать кнопку на панели сверху "Заблокировать автозапуск". Отрубаем процессы таким образом. Кроме того, некоторые вирусы меняют стандартные ключи реестра на свои значения. Например, вместо запуска оболочки explorer.exe может стоять что-то иное. В этом случае при установке курсора на процесс сверху становится доступна кнопка "Восстановить значение по умолчанию". Нажав её вы вернёте ключу стандартное значение. Итак, просмотрели список, избавились от подозрительных чёрных пунктов если не удалением из списка, то деактивацией. Однако, ещё не конец - слева замечаем дерево, курсор в котором стоит на пункте "Автозапуск". Кроме него в списке ниже есть пункт WinLogon. Выбираем его и наблюдаем другой список. Тут важно не накосячить. Это дочерние процессы WinLogon, которые реагируют на определённые события. Например, на старт машины или логон пользователя. Сюда прописывается процесс klogon, принадлежащий антивирусу Касперского, который почему-то до сих пор отсутствует в базе данных и отмечен чёрным цветом. В этот список любят прописываться особо хитросделанные вирусы.
Любые процессы которые вы отключали выше я советую запоминать. Да, вот так вот после выпрыгивания из самолёта предупреждаю, что надо было надеть парашют. Так вот, если процесс стоял в автозапуске, то логично, что до сих пор он запущен. Идём в меню Сервис - Диспетчер процессов. Здесь мы видим сильно помогающее выделение цветом и обращаем пристальное внимание на процессы чёрного цвета. Когда вы ставите курсор на какой-либо процесс, в нижней части окна выводится список файлов, открытых процессом. Вредоносное ПО не всегда создаёт отдельные процессы, часто оно внедряет свои DLL в системные процессы, а в патологических случаях - во все. Посему рекомендую проверять все процессы с их содержимым. Если вы уверены, что вот этого процесса быть не должно, то на нём правый клик и "Завершить процесс". Если же в нормальном процессе обнаружен "лишний" файл, в нижней части окна на нём правый клик и "Принудительно выгрузить DLL". Кстати, в обязательном порядке выкидываем из ОЗУ те процессы, которые вы отключали в автозапуске.
Теперь у нас есть с разной долей вероятности чистое ОЗУ и можно пройтись по остальным пунктам из меню Сервис. Достаточно часто неразумные пользователи разрешают напихаться всякой гадости в расширения браузера. Выкидываем эту ватагу удальцов пунктом Сервис - Менеджер расширений IE. Просматриваем остальные пункты до "Менеджер Active Setup" включительно. Редко, но всё же иногда гадость встречается в расширениях системы печати или планировщике заданий, чуток почаще - в Downloaded Program files.
Мы вплотную подошли к запуску сканирования ОЗУ и содержимого дисков. Обращаем внимание на галку в основном окне справа вверху - "Выполнять лечение". Ставим её, отмечаем все диски, которые могут содержать вирусы. Вы не отметили флешку? Зря. Отмечаем всё, даже CD-ROM можно. Может статься, образ, который принёс Васёк Пупкин, содержит кроме полезного софта коллекцию вирусов (а такие образы, бывает, раздаются и у нас на форуме).
Заглядываем на закладку "Параметры поиска". Ставим "Эвристический анализ" на максимум, включаем "расширенный анализ", активируем блокирование работы всех руткитов. Нажимаем заветную кнопку "Пуск" и откидываемся на спинку кресла. Готовьтесь узнать о своей системе много нового.
По окончании проверки просматриваем выделенные красным строки. На Win2003 SP2 ENG я заметил такое сообщение:
Ошибка обмена с драйвером [00000002]
Без паники, это ещё не вирусы. Вот комментарий автора:

Цитата: Все нормально - так и должно быть. AVZ детектировал, что устновлен SP2 и сработала блокировка - W2K3 серверная операционка и если драйвер не тестирован в конкретной конфигурации, то он отрубается.

Ещё очень редко в списке процессов встречаются процессы красного цвета с названием "?". Этому тоже есть объяснение:

Цитата: это фича антируткита, проявляется редко ... известно, что наблюдается на ПК с установленным софтом от HP и/или Apache. Причина установлена - этот софт не закрывает некоторые свои хендлы. Результат - хендл есть, а процесса-владельца же нет, вот отсюда и реакция.

Продолжим. В большинстве случаев при проверке вирусные файлы удаляются, но иногда на них только падает подозрение (не 100%ное) и потому AVZ их оставляет. Если вы эти файлы не встречали в автозапуске, чтобы не искать, каким образом они запускаются, просто отправим их в пешее эротическое путешествие со следующей перезагрузки. В этом нам поможет пункт "Файл - Отложенное удаление файла". Вставляем в появившееся окно вместе с путём имя файла и обязательно ставим точку на "Удаление файлов и эвристическая чистка ссылок на них".

Цитата: В этом режиме кроме удаления файла производится автоматическая зачистка автозапуска и ряда ключей реестра, в которых мог быть зарегистрирован удаляемый файл (Winlogon, регистрация CLSID, расширения Internet Explorer и проводника и т.п.). Подобная очистка производится автоматически и делает удаление более корректным.

Иногда можно встретить надписи типа

Код:

1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = F9805ED5 -> Avw75.sys

Чтобы не маяться с поиском, где же находится этот файл, выбирайте пункт меню "Файл - Просмотр списка подозрительных объектов". Там будут показаны все подозрительные файлы и тут же можно выполнить со всеми ними действия вроде "Отложенное удаление файла" с предварительным копированием в карантин для истории.
При диагностике памяти встречаются сообщения, что операция работы с жёстким диском (точный текст сообщения я постараюсь найти), а точнее, NTFS или FastFat перехвачены. На текущий момент мне неизвестны способы лечения этой заразы из заражённой системы, т.к. это драйверы ядра и убить их из рабочей системы никак не получается. Остаётся грузиться с liveCD и убивать указанный файл ручками. Убиваются они без последствий.

Теперь пройдёмся ещё по драйверам и службам. Часто встречаю, что вирусы запускаются через свои установленные драйверы или службы. Чтобы избавиться от них, просматриваем списки запущённых служб и драйверов в меню "Сервис - Диспетчер служб и драйверов". Вредоносные драйверы встречаются намного чаще служб. Перед удалением обращаем внимание на путь, где находится файл. Отмечу, что sptd - драйвер от Daemon Tools, а kl1 и klif являются драйверами антивируса Касперского и удалять их нежелательно.

Напоследок осталось заглянуть в меню "Файл - Восстановление системы" и удивиться доступным процедурам. Здесь собраны основные скрипты для устранения негативных последствий от действий вирусного ПО на систему. Особо много жертв на счету этих пунктов

1.Восстановление параметров запуска .exe, .com, .pif файлов
Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.

2.Сброс настроек префиксов протоколов Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer

3.Восстановление стартовой страницы Internet Explorer
Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer

4.Сброс настроек поиска Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки поиска в Internet Explorer

5.Восстановление настроек рабочего стола
Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesktop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.

6.Удаление всех Policies (ограничений) текущего пользователя
Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.

8.Восстановление настроек проводника
Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).

9.Удаление отладчиков системных процессов
Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ

10.Восстановление настроек загрузки в SafeMode
Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.

11.Разблокировка диспетчера задач
Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.

13. Очистка файла Hosts
Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".

16. Восстановление ключа запуска Explorer
Восстанавливает системные ключи реестра, отвечающие за запуск проводника.

17. Разблокировка редактора реестра
Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.

После выполнения скриптов можно перегрузиться, а затем контрольный выстрел в тушки вирусов повторной проверкой всех точек запуска и содержимого ОЗУ и дисков.
Перезагрузку выполняем так:

Цитата: В случае, если проводилось лечение системы, необходимо перезагрузиться не выключая AVZGuard. Это важный момент, связанный с тем, что в системе после лечения могут быть загружены вредоносные DLL, будут продолжать работу троянские процессы и т.п.

Т.е. перегружаемся не выключая AVZ. Завершаем приложение по запросу системы.

Открыт специализированный раздел
[Для просмотра ссылок требуется регистрация. Зарегистрироваться...]

[Legolas]

Цитата: Сообщение от Axel_worg Идеальный вариант - установка виртуал машины, с которой и шагаем во всемирной паутине. Если что и просачивается, то остается на ней. А наша система остается девственно чиста Добавлено через 25 минут Кстати, имедж такой виртуал-машины можно найти на vmware.com. Плюс, там же можно качнуть и бесплатный vmware-player.

Не обязательно устанавливать виртуал-мафынку, достаточен грамотный подход, например, ограниченная учетная запись или прога, вроде Shadow User, которая делает снимок системы )))

[volontoyr]

Вопрос, после некорректного завершения AVZ появился какой-то неустановленный драйвер. Как его можно удалить и что это за драйвер? Может опять запустить AVZ и с ее помощью как-то это подправить? Просто у меня сомнения, что может остаться после включения AVZGuard и некорректного закрытия проги.

[ЭФЕНДИ]

Цитата: Сообщение от Legolas Не обязательно устанавливать виртуал-мафынку, достаточен грамотный подход, например, ограниченная учетная запись или прога, вроде Shadow User, которая делает снимок системы )))

Абсолютно полностью согласен т.к пользовался всеми выше перечисленными утилитами и аннтивирусниками,в конечном итоге все просто надоело,вирусы автораны на флешках и прочая дрянь,сделал все просто ,форматнул и на девственную установил Shadow User просто не нарадуюсь.Сделана настолько удобно и практично что просто доставляет удовольствие в работе и серфинге,комп шустро работает не загружена память,при правильной настройке сохраняет закачки и прочие нужные вещи.И главное очень удобно при установке нового програмного обеспечения смотрим и выбираем оставитьили нет ,при первой перезагрузке все на исходной!

[ЧИХ_ПЫХ]

Из своего опыта скажу Безопасный режим + DrWeb с последними обновления лечит ВСЕ. Добавлю что drweb тупо переписаный после установки на Flash прекрасно работает на любой машине.

[bsdzoid]

Цитата: Сообщение от ЧИХ_ПЫХ Добавлю что drweb тупо переписаный после установки на Flash прекрасно работает на любой машине.

у них есть на сайте бесплатный сервис, называется cureit, делает что же самое, и не надо устанавливать и переписывать на флешку + все в одном файле, что на много удобнее.

на счет того ,что лечит абслоютно все согласен на 110%

[ribakaba]

Цитата: Сообщение от PLAstic Мнение автора мне не известно, далее только имхо. Антивирусное ПО способно вмешаться в работу AVZ только при установке "Драйвера расширенного мониторинга процессов". Например, каспер перехватывает установку драйвера и выдаёт запрос, санкционировано ли пользователем это действие. После включения AVZ Guard антивирусное ПО можно выгрузить из памяти, т.к. действия, которые могли бы выполнить вирусы для препятствования их обнаружению и удалению, уже надёжно перехватываются самОй AVZ.

Прочитал все посты по теме и так и не понял, при работе AVZ:
1.Нужно ли отключать антивирус (у меня AVG 8.0) ?
2.Можно (или нужно) выйти из Интернета, отключив кабель?
Заранее благодарю за ответ.

[cinder]

Может будет немного абстрактно, но все-таки поделюсь такой заметкой, которую написал на другом форуме.

С чего начать?
Начать наверно нужно с выбора операционной системы. Если ваш выбор Linux, FreeBSD, MacOS или любая другая не-Windows система, то далее можно не читать. Под упомянутые системы вирусы или не существуют или крайне малочисленны.

Итак, Windows выбор большинства (к сожалению или к счастью) в силу самых различных причин: от банального незнания альтернатив до нехватки технических знаний при работе с не-Windows системами.

Антивирус
После установки операционной системы на жесткий диск вашего компьютера антивирус должен быть первым приложением, которое вы установите. При этом настоятельно рекомендуется отключать компьютер от локальной сети/интернета.
Сам по себе антивирус еще не 100% гарантия безопасности. Он работает с антивирусными базами, которые следует обязательно обновлять минимум раз в неделю. В зависимости от используемого продукта лучше подготовить базы заранее.

Контроль автозагрузки
Следующим обязательным шагом является контроль автозагрузки. Существует немало программ с такой функцией, но я не нашел для себя ничего лучше, чем AnVir Task Manager.
По описанию автора это расширенный диспетчер задач с функцией контроля автозагрузки. Даже простенький антивирусный механизм встроен. Русский фейс. Бесплатно. Подробнее на официальном сайте [Для просмотра ссылок требуется регистрация. Зарегистрироваться...]

Фаервол
Очень часто пользователи говорят "антивирус Х гамно, т.к. он не увидел двух троянов, а антивирус Y их нашел". Утверждение крайне недалекое, т.к. троян обычно не несет деструктивных функций, его задача предоставить удаленный доступ. Антивирусы часто не обнаруживают трояны, т.к. это не входит в их задачи.
Для контроля приложений, которые предоставляют доступ в сеть/интернет, используются фаерволы (также их называют брэндмауэр)
от английского firewall дословно "огненная стена"
от немецкого Brandmauer "противопожарная стена"

Обновление операционной системы
Также совсем не лишним будет периодическое обновление операционной системы. Методов обновлений несколько, используйте любой на ваше усмотрение (подразумевается Windows XP/2003)

1) Установка preSPх на работающую систему.
preSPх для русской версии Windows XP найти можно на сайте poleznosti.ru
Есть такой проект Autopatcher. Это по сути тот же preSP. Поддерживаются разные языковые версии ОС Windows 2000/XP/2003/Vista, но поддержка русских версий была свернута в феврале 2006. Autopatcher имеет очень удобную оболочку, прост как грабли и распространяется бесплатно.
Официальный сайт autopatcher.com
К сожалению, проект был закрыт компанией Micro$oft в сентябре 2007 года, но в феврале 2008 восстал из пепла в немного другом обличии.
2) UpdatePack
С помощью этого способа нельзя обновить существующую систему, но можно обновить свой установочный дистрибутив.
UpdatePack можно скачать
для английской версии ОС
RyanVM's Windows XP Post-SP2 Update Pack
[Для просмотра ссылок требуется регистрация. Зарегистрироваться...]
для русской версии ОС
от Petya V4sechkin участника конференции OSzone.net
[Для просмотра ссылок требуется регистрация. Зарегистрироваться...]
3) Самостоятельная интеграция обновлений в установочный дистрибутив с помощью программ вроде nLite
4) И cобственно WindowsUpdate

Антишпион
На ваше усмотрение остается использование программ для борьбы с рекламными (adware) и шпионскими (spyware) модулями. Одновременное использование "коктейля" антивирус+фаервол+антишпион может сильно тормозить работу даже самого мощного пользовательского компьютера.

Пару слов об электронной почте
Работа с электронной почтой это вообще отдельный разговор. Открывайте все вложения подряд от любого адресата, ТОЛЬКО если вам нечего терять в этой жизни

Как хранить информацию?
Чем важнее для вас ваша информация, тем чаще нужно делать резерные копии. Резервная копия должна располагаться на другом носителе, а еще лучше, чтобы копий было две.

Итак при больших объемах жесткого диска разумно выделять несколько логических разделов
1) System - на системном диске нельзя располагать важную информацию, которую страшно потерять. Рабочий стол это тоже папка на диске c операционной системой [в самом классическом случае].
На диске с системой только система и установленные программы
2) Media - музыка, фильмы, клипы, книги, документы, т.е. все то, что не подвергается заражению или подвергается, но крайне редко
3) Install - установочные пакеты ваших программ.

Для чего такое деление? Если с вирусом (который к примеру заражает EXE файлы) справиться не удалось, то любым известным вам способом удаляете информацию с дисков System и Install, ставите свежую систему, восстанавливаете Install из резервной копии и радуетесь жизни.

Как справиться с вирусом, если он блокирует работу антивируса?
1. Попробовать загрузиться в Safe Mode, т.е. при загрузке компьютера нажать F8 и выбрать безопасный режим. После загрузки проверить антивирусом.
2. Если это не выходит, то загрузиться с любого другого устройства кроме HDD. Это может быть и дискета с Volcov Commander, флэшка с Windows XP Live и портативным антивирусом, CD/DVD с Windows XP Live с набором полезных программ. Все зависит от вашей квалификации.
Порядок загрузки меняется в BIOS. Если эта аббревиатура вызывает вопросы, то лучше не трогайте и переходите к пункту 3.
3. Можно снять винчестер и подключить его к компьютеру друга в режиме slave, чтобы провести полную антивирусную проверку.

System Volume Information и NTFS
Часто бывает, что антивирус определил вирус, сообщил об удалении, но после перезагрузки вирус опять появляется. Причина может быть в том, что вирус остался в System Volume Information. Это папка, в которую система делает резервные копии. Нужно отключить восстановление системы: правой кнопкой на Мой компьютер - Свойства - закладка Восстановление системы - поставить галочку Отключить восстановление системы на всех дисках

Еще такой момент. Если на диске файловая система NTFS, то получить доступ в папку System Volume Information не выходит. В таком случае Проводник - Сервис - Свойства папки - Вид - Дополнительные параметры - снять галочку Использовать простой общий доступ к файлам - Применить
После этого действия в Свойствах папки System Volume Information (и всех других) появится вкладка Безопасность
На этой вкладке жмем Добавить - Дополнительно - Поиск - выбираем в графе Имя RDN группу Администраторы - OK - OK - ставим галочку под Разрешить Полный доступ - Применить - ОК
Теперь можно зайти в папку System Volume Information.

Downloaded Program Files
Есть такая папка C:\WINDOWS\Downloaded Program Files
В ней располагаются ActiveX компоненты некоторых установленных программ. Там к примеру находятся сведения об установке плагина Adobe Flash.
Бывает, что и рекламные модули грешат пропиской в этой папке. При чистке рекламной заразы антивирусом или руками не следует забывать об этой папке, чтобы там не осталась частичка, которая попытается себя обновить при подключении к интернету.

Ложные срабатывания
Иногда пользователи забывают, что у них есть голова и слепо верят антивирусу. Многие антивирусы набрасываются на утилиты удаленного администрирования типа Radmin. Это наверно хорошо, если вы не устанавливали эту программу, т.е. за вами шпионят. Вот только не вирус это.

Также многие антивирусы опеределяют дополнительный софт (кейгены, патчи, лоудеры и т.п.) как HackTool (HKTL). Так к примеру реагирует большинство антивирусов на Generic AntiWPA Patch, который прибивает активацию в Windows XP/2003.

Верить антивирусу при сообщении о трояне/вирусе в крэке можно тогда, когда крэк идет к программе, которая каким-либо образом работает с личными данными и паролями. В этом случае лучше отложить установку и узнать мнение Google или проверить файл на бесплатном сервисе virustotal.com

[PLAstic]

Цитата: Сообщение от ribakaba Прочитал все посты по теме и так и не понял, при работе AVZ: 1.Нужно ли отключать антивирус (у меня AVG 8.0) ? 2.Можно (или нужно) выйти из Интернета, отключив кабель?

1. Плохо читал, я на этот вопрос уже отвечал выше. В принципе, помешать он не сможет, но лучше выключить.
2. А вот это будет полезно. Ведь если у вас зашарен системный диск и вирус пишется по сети в каталог винды или авторан, то после лечения он опять будет на машине. Отключаетесь от сети после обновления баз AVZ.

[ribakaba]

Цитата: Сообщение от PLAstic 1. Плохо читал, я на этот вопрос уже отвечал выше. В принципе, помешать он не сможет, но лучше выключить.

Спасибо. А как выключить: какие команды выключают антиврус? Если можно, подробнее, для малограмотных.

[volontoyr]

Цитата: Сообщение от ribakaba А как выключить: какие команды выключают антиврус? Если можно, подробнее, для малограмотных.

Смотря какой антивирь. А так, в основном у всех, в трее нажать правой кнопкой на иконку антивирусы и выход.К примеру у Аваста, так же в трее нажать правой кнопкой на иконку, остановить сканер доступа.

[movies]

Цитата: Сообщение от wmbasil Делайте люди бекапы,..! антивирусы от глюков с вирусами не всегда спасут.

ОЧЕНЬ дельный совет... Особенно, если последний актуальный бэкап получается уже с вирусом... Ага... Винда и сама эту глупость с успехом делает, старательно сохраняя вирусы в "точках отката"!

Именно по этой причине при "лечении" AVZ и CureIt ОБЯЗАТЕЛЬНО нужно ОТКЛЮЧИТЬ автоматическое восстановление системы с уничтожением ВСЕХ существующих контрольных точек и только после успешной очистки системы - снова включить его.

Вообще, ИМХО, для ПРОФИЛАКТИКИ оптимальна следующая связка:
1) антивирус (NOD32 или тот, какой вам хочется, поскольку НИ ОДИН антивирус не дает 100% гарантии от заражения)
2) программа слежения за ВСЕМИ изменениями в автозагрузке программ пользователя типа WinPATROL, которая немедленно извещает о любых попытках неизвестных ей программ создать запись в автозагрузке и предлагающей варианты "разрешить - запретить".

Таким образом, если вы видите сообщение WinPATROL, что какая-то неизвестная программа ни с того, ни с сего страстно желает попасть в автозагрузку - рубите ее не задумываясь!

[PLAstic]

Цитата: Сообщение от movies Именно по этой причине при "лечении" AVZ и CureIt ОБЯЗАТЕЛЬНО нужно ОТКЛЮЧИТЬ автоматическое восстановление системы с уничтожением ВСЕХ существующих контрольных точек и только после успешной очистки системы - снова включить его.

Спорное утверждение. Тем самым мы лишаем себя и тех точек, которые были сделаны после установки и настройки системы, когда вирусов ещё не было и была проделана большая работа по настройке софта.

[ЧИХ_ПЫХ]

Цитата: Сообщение от bsdzoid у них есть на сайте бесплатный сервис, называется cureit, делает что же самое, и не надо устанавливать и переписывать на флешку + все в одном файле, что на много удобнее. на счет того ,что лечит абслоютно все согласен на 110%

на практике столкнулся, что cureit реже обновляют чем сам DrWeb

[ВадимАчка]

Вчера столкнулся с тем, что ни cureit ни AVZ просто не могут запуститься - появляются на секунду и исчезают. Это после того как новый банк-клиент поставили. Перекинул его файлы на другой комп - нод заругался, но я думаю, что это на модули связи с банком.

[Lisenko N]

Цитата: Сообщение от viline А разве антивирусные программы не способны решать это проблему?

можно я отвечу? подумайте что такое антивирусные базы? и откуда они берутся?
вася пупкин хорошо знает ассемблер, и вот однажды, он написал вирус, проверил его на всех, антивирусах, не видят, васек на 10 небе от счастья, ессно он запускает вирус в сеть. пользователь ЛАМАКОФФ, в поисках кряка к очень важной проге, случайно устанавливает этот вирус, у него падает, система, и подумате сколько времени должно поймать таких пользователей должны поймать этот вирус пока он пополнит антивирусные базы? не менее 2-3 месяцев. так что не особо надейтесь на антивирусы.
вы скажите а как же эвристические способности антивируса? эвристика это хорошо, кстати самые крутые показали у доктора вэб 64% неизвестных троянов. но любой вирусописатель в первую очередь опробует свой вирус, на самых популярных антивирусах.
но есть хороший способ. забудьте о сканировании, сканировать всю систему может прийти в голову только идиоту, если монитор, не видит вирус неужели вы думаете что его найдет сканер, базы у них одинаковые.
я вирусы убиваю так: чувствую машина как то не так начала работать.
запускаю обычный виндовозный поиск настраиваю так чтоб искал все файлы и папки размером менее 100 кб, везде и всюду, установленных за неделю, там появляется по 50000 новых файлов и папок, все не пересмотришь, меня интересуют только приложения, поэтому их нужно отсортировать.
после того как файлы ищешь тип файла приложение, и смотришь, что есть то что есть это почти в 95% вирус.
сносиш его без помещения в корзину shift+del.