Как избавиться от вирусов

[PLAstic]

Тема посвящена практическим вопросам избавления компьютера от вирусов.
В ней собираются способы, помогающие убить всяческую заразу на компьютере.

• Обсуждение антивирусов лучше вести в соответствующем разделе.
• Способы лечения конкретных вирусов обсуждаются здесь
• Для обсуждения частного случая заражения лучше создать отдельную тему.

Предисловие читать обязательно

* Всё написанное далее является imho и основывается на моём личном опыте.
* Порядок действий может варьироваться в зависимости от настроения и образа мышления.
* AVZ - не антивирус, а утилита. Она не обеспечивает защиту, а лишь устраняет последствия. И результат её работы зависит на 90% от головы и рук сидящего перед монитором.
* Настоятельно рекомендую изучить документацию по утилите и сайт поддержки. Там действительно понятно написано множество полезных вещей.
* Исправления и дополнения принимаются.

Версия от 19.11.2008. Исправления последней версии выделяются курсивом.

Подробнее

Вирусу, как и любой другой программе, надо как-то запуститься. Способов для запуска существует много. Наша задача перво-наперво (даже на уже инфицированной машине) выкинуть из памяти вирусняк, а потом добить его тушку на жёстком диске. Очень хорошая есть софтина от SysInternals, которую купила Microsoft, - Autoruns. Она показывает достаточно много точек запуска. Но! Как всегда, круче наших не бывает и специалист по защите информации из Смоленска Зайцев Олег сваял утилиту, равной которой до сих пор нет. Итак, по порядку...
Попытаемся запустить утилиту. Несмотря на кажущуюся простоту процесса на завирусованной машине могут возникнуть сложности.
1) Если вирус перехватил файловые ассоциации, то вполне может блокировать запуск файлов *.exe . Это лечится переименованием avz.exe в avz.com. Он потеряет иконку, но останется запускаемым.
2) Вследствие популярности утилиты уже появились вирусы, которые блокируют любые операции с файлами *.avz (это базы утилиты). Тут два варианта: простой требующий инета и сложный автономный.
Простой. Качаем с сайта специальную версию AVZ, которая уже содержит в себе все файлы.
Сложный. Открываем в любом 16-ричном редакторе (в моём случае это был UltraEdit) файл avz.exe и находим там строчку .avz (она там одна). Меняем ".avz", например, на ".avv". Далее на другой машине в папке Base утилиты пишем команду (Пуск-Выполнить-cmd)

Код:

dir *.avz >c:\text.cmd

В текстовом файле получаем список всех .avz файлов. Далее из каждой строки файла делаем что-то вроде

Код:

ren имя_файла.avz имя_файла.avv

, затем запускаем. Получаем папку Base, где внутри все файлы имеют расширение .avv. Теперь можно запускать AVZ - он будет искать файлы .avv.
Для начала установим драйвер расширенного мониторинга процессов. После его установки требуется перезагрузка! В меню AVZPM - Установить драйвер расширенного мониторинга процессов. Устанавливается он один раз за всё время существования AVZ на машине. Снести его можно соседним пунктом меню. Выдержка из AVZ'овской доки про этот драйвер:

Цитата: Технология AVZPM основана на KernelMode Boot драйвере, который осуществляет слежение за запуском процессов и загрузкой драйверов.

Мной было замечено, на некоторых машинах этот драйвер определяется как устройство при следующей перезагрузке и запрашиваются драйверы. Никаких драйверов ставить не надо.
Если просто снимать подозрительные процессы, можно заметить, что в большинстве случаев они создаются заново. Чтобы не заниматься бесполезной работой, зарежем активность всех процессов. Включаем AVZ Guard в меню - AVZGuard - Включить AVZGuard. Вот что говорит стандартная AVZ'овская дока про эту фичу:

Цитата: Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера. В момент активации все приложения делятся на две категории - доверенные и недоверенные. Исходно доверенным является только AVZ.

В общих чертах, недоверенным приложениям обрубаются все действия, которые могли бы воспрепятствовать расставанию с ними. С этого момента у вас не запускаются приложения и не закрывается AVZ. Хотите его закрыть - не забудьте выключить AVZGuard.
Итак, от фоновой активности мы избавились, теперь надо проверить автозапуск - Сервис - Менеджер Автозапуска. Внимательно просматриваем строки чёрного шрифта потому, что данный переключатель у вас включен:

Цитата: Переключатель "Проверять файлы по базе безопасных файлов" - включение этого переключателя активирует проверку исполняемых файлов и DLL по базам безопасных объектов, идущим в составе AVZ. Файлы, опознанные как безопасные, выделяются при просмотре зеленым цветом.

Если найден непонятный процесс чёрного цвета - стОит проверить путь (в колонке "Файл") и точку запуска (в колонке "Описание"). У большинства процессов можно нажать кнопку на панели сверху "Заблокировать автозапуск". Отрубаем процессы таким образом. Кроме того, некоторые вирусы меняют стандартные ключи реестра на свои значения. Например, вместо запуска оболочки explorer.exe может стоять что-то иное. В этом случае при установке курсора на процесс сверху становится доступна кнопка "Восстановить значение по умолчанию". Нажав её вы вернёте ключу стандартное значение. Итак, просмотрели список, избавились от подозрительных чёрных пунктов если не удалением из списка, то деактивацией. Однако, ещё не конец - слева замечаем дерево, курсор в котором стоит на пункте "Автозапуск". Кроме него в списке ниже есть пункт WinLogon. Выбираем его и наблюдаем другой список. Тут важно не накосячить. Это дочерние процессы WinLogon, которые реагируют на определённые события. Например, на старт машины или логон пользователя. Сюда прописывается процесс klogon, принадлежащий антивирусу Касперского, который почему-то до сих пор отсутствует в базе данных и отмечен чёрным цветом. В этот список любят прописываться особо хитросделанные вирусы.
Любые процессы которые вы отключали выше я советую запоминать. Да, вот так вот после выпрыгивания из самолёта предупреждаю, что надо было надеть парашют. Так вот, если процесс стоял в автозапуске, то логично, что до сих пор он запущен. Идём в меню Сервис - Диспетчер процессов. Здесь мы видим сильно помогающее выделение цветом и обращаем пристальное внимание на процессы чёрного цвета. Когда вы ставите курсор на какой-либо процесс, в нижней части окна выводится список файлов, открытых процессом. Вредоносное ПО не всегда создаёт отдельные процессы, часто оно внедряет свои DLL в системные процессы, а в патологических случаях - во все. Посему рекомендую проверять все процессы с их содержимым. Если вы уверены, что вот этого процесса быть не должно, то на нём правый клик и "Завершить процесс". Если же в нормальном процессе обнаружен "лишний" файл, в нижней части окна на нём правый клик и "Принудительно выгрузить DLL". Кстати, в обязательном порядке выкидываем из ОЗУ те процессы, которые вы отключали в автозапуске.
Теперь у нас есть с разной долей вероятности чистое ОЗУ и можно пройтись по остальным пунктам из меню Сервис. Достаточно часто неразумные пользователи разрешают напихаться всякой гадости в расширения браузера. Выкидываем эту ватагу удальцов пунктом Сервис - Менеджер расширений IE. Просматриваем остальные пункты до "Менеджер Active Setup" включительно. Редко, но всё же иногда гадость встречается в расширениях системы печати или планировщике заданий, чуток почаще - в Downloaded Program files.
Мы вплотную подошли к запуску сканирования ОЗУ и содержимого дисков. Обращаем внимание на галку в основном окне справа вверху - "Выполнять лечение". Ставим её, отмечаем все диски, которые могут содержать вирусы. Вы не отметили флешку? Зря. Отмечаем всё, даже CD-ROM можно. Может статься, образ, который принёс Васёк Пупкин, содержит кроме полезного софта коллекцию вирусов (а такие образы, бывает, раздаются и у нас на форуме).
Заглядываем на закладку "Параметры поиска". Ставим "Эвристический анализ" на максимум, включаем "расширенный анализ", активируем блокирование работы всех руткитов. Нажимаем заветную кнопку "Пуск" и откидываемся на спинку кресла. Готовьтесь узнать о своей системе много нового.
По окончании проверки просматриваем выделенные красным строки. На Win2003 SP2 ENG я заметил такое сообщение:
Ошибка обмена с драйвером [00000002]
Без паники, это ещё не вирусы. Вот комментарий автора:

Цитата: Все нормально - так и должно быть. AVZ детектировал, что устновлен SP2 и сработала блокировка - W2K3 серверная операционка и если драйвер не тестирован в конкретной конфигурации, то он отрубается.

Ещё очень редко в списке процессов встречаются процессы красного цвета с названием "?". Этому тоже есть объяснение:

Цитата: это фича антируткита, проявляется редко ... известно, что наблюдается на ПК с установленным софтом от HP и/или Apache. Причина установлена - этот софт не закрывает некоторые свои хендлы. Результат - хендл есть, а процесса-владельца же нет, вот отсюда и реакция.

Продолжим. В большинстве случаев при проверке вирусные файлы удаляются, но иногда на них только падает подозрение (не 100%ное) и потому AVZ их оставляет. Если вы эти файлы не встречали в автозапуске, чтобы не искать, каким образом они запускаются, просто отправим их в пешее эротическое путешествие со следующей перезагрузки. В этом нам поможет пункт "Файл - Отложенное удаление файла". Вставляем в появившееся окно вместе с путём имя файла и обязательно ставим точку на "Удаление файлов и эвристическая чистка ссылок на них".

Цитата: В этом режиме кроме удаления файла производится автоматическая зачистка автозапуска и ряда ключей реестра, в которых мог быть зарегистрирован удаляемый файл (Winlogon, регистрация CLSID, расширения Internet Explorer и проводника и т.п.). Подобная очистка производится автоматически и делает удаление более корректным.

Иногда можно встретить надписи типа

Код:

1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = F9805ED5 -> Avw75.sys

Чтобы не маяться с поиском, где же находится этот файл, выбирайте пункт меню "Файл - Просмотр списка подозрительных объектов". Там будут показаны все подозрительные файлы и тут же можно выполнить со всеми ними действия вроде "Отложенное удаление файла" с предварительным копированием в карантин для истории.
При диагностике памяти встречаются сообщения, что операция работы с жёстким диском (точный текст сообщения я постараюсь найти), а точнее, NTFS или FastFat перехвачены. На текущий момент мне неизвестны способы лечения этой заразы из заражённой системы, т.к. это драйверы ядра и убить их из рабочей системы никак не получается. Остаётся грузиться с liveCD и убивать указанный файл ручками. Убиваются они без последствий.

Теперь пройдёмся ещё по драйверам и службам. Часто встречаю, что вирусы запускаются через свои установленные драйверы или службы. Чтобы избавиться от них, просматриваем списки запущённых служб и драйверов в меню "Сервис - Диспетчер служб и драйверов". Вредоносные драйверы встречаются намного чаще служб. Перед удалением обращаем внимание на путь, где находится файл. Отмечу, что sptd - драйвер от Daemon Tools, а kl1 и klif являются драйверами антивируса Касперского и удалять их нежелательно.

Напоследок осталось заглянуть в меню "Файл - Восстановление системы" и удивиться доступным процедурам. Здесь собраны основные скрипты для устранения негативных последствий от действий вирусного ПО на систему. Особо много жертв на счету этих пунктов

1.Восстановление параметров запуска .exe, .com, .pif файлов
Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.

2.Сброс настроек префиксов протоколов Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer

3.Восстановление стартовой страницы Internet Explorer
Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer

4.Сброс настроек поиска Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки поиска в Internet Explorer

5.Восстановление настроек рабочего стола
Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesktop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.

6.Удаление всех Policies (ограничений) текущего пользователя
Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.

8.Восстановление настроек проводника
Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).

9.Удаление отладчиков системных процессов
Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ

10.Восстановление настроек загрузки в SafeMode
Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.

11.Разблокировка диспетчера задач
Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.

13. Очистка файла Hosts
Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".

16. Восстановление ключа запуска Explorer
Восстанавливает системные ключи реестра, отвечающие за запуск проводника.

17. Разблокировка редактора реестра
Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.

После выполнения скриптов можно перегрузиться, а затем контрольный выстрел в тушки вирусов повторной проверкой всех точек запуска и содержимого ОЗУ и дисков.
Перезагрузку выполняем так:

Цитата: В случае, если проводилось лечение системы, необходимо перезагрузиться не выключая AVZGuard. Это важный момент, связанный с тем, что в системе после лечения могут быть загружены вредоносные DLL, будут продолжать работу троянские процессы и т.п.

Т.е. перегружаемся не выключая AVZ. Завершаем приложение по запросу системы.

Открыт специализированный раздел
Лечение систем от вредоносных программ

[Shattun]

Цитата: Сообщение от Nickoss Авторан с любых носителей можно запретить, запустив AVZ с включенным флажком "автоматически исправлять системные ошибки".

Я бы не советовал так запускать AVZ. Особенно если на компьютере стоит антивирусное ПО. Бывает AVZ решает поправить "ошибки" вызванные внедрением антивируса. Потом машинку долго в чувства приводить.

[PLAstic]

Цитата: Сообщение от Shattun Потом машинку долго в чувства приводить.

Можно конкретные примеры привести?
Использовал AVZ в следующих конфигурациях:
Win2003 + KAV FS
WinXP + KAV 6.0, 7.0
WinXP + NAV
WinXP + Dr.web 4.44
WinXP + NOD32
Очень помогло бы описание конкретных действий утилиты, которые привели к сбою. Не забываем, что часто вирус вклинивается прослойкой в системные процессы (например, в ключ shell) и удаление вирусного файла нарушает этот процесс. В таком случае важны правильные действия человека, который должен средствами AVZ или ещё как восстановить стандартные значения процесса.
В случае отсутствия аргументов пост будет снесён как крайне вредный совет.

[slepoy23]

Цитата: Сообщение от kronk Если дисков много а форматнешь один, то есть вирусы которые создают фаил авторан и при заходе на не форматированный винт запускают вирус. Было время я много раз переставлял винду и ни как не мог понять почему вмрус снова появляется. Но потом разобрался.

Я поступаю так:на архивных дисках загрузочником Acronis disk direktor убиваю папки RECYCLE.BIN и System Volume Information потом на выбранный диск устанавливаю систему и вуа-ля никакого дерьма в системе

[Nickoss]

Для защиты флешки (и других дисков) кроме папки BOOT.EXE также полезно создавать следующие r/o hidden папки:
AUTORUN.EXE
AUTORUN.INF
AUTORUN.BAT

[rxx]

Недавно в институте столкнулся с каким-то "зверем", он то-ли прятал окно AVZ, то-ли скрывал его. Случайно переименовал на кириллический манер avz.exe, и прокатило это...

[info_nowa]

PLAstic,
Достойная статья! +100.
Самое главное, что на многих порталах по анивирусной борьбе таких реальных рекомендаций не видел (например madbadjack.com). И на антималваре тоже нету. Для юзверей. Тему полностью времени нет перечитать, но советы дельные, особенно про утилиту Олега Зайцева.

[ЭФЕНДИ]

Давным давно пользовался творением Зайцева,очень экстремальная утилитка при незнаниии запросто переставляеш винду!Для борьбы с вирусами пользуюсь и всем просто рекомендую шадовс дефендерс,по русски без рекламы,это виртуаальный образ винды которой пофиг все вирусы и прочей гадости ,а так же от детских ручек.Да и основной плюс нет на компе всяких нодов авастов и касперских от которых кроме тормозов и обновлений голова побаливает,заранее извиняюсь если поклонников данных антивирусников обидел,уже давно забыл слово формат и вирус!Удачи в обсуждении......

[PLAstic]

Цитата: Сообщение от Nickoss Для защиты флешки (и других дисков) кроме папки BOOT.EXE также полезно создавать следующие r/o hidden папки: AUTORUN.EXE AUTORUN.INF AUTORUN.BAT

Давай поговорим о заражении с флешек методом авторан? У тебя в системе должен быть разрешён автозапуск сменных носителей.
Вставляем, например, компакт-диск и он запускается. Каким образом? Система видит "служебный" файл - autorun.inf . Только его. AUTORUN.BAT или BOOT.EXE ей по барабану. Поэтому, как уже советовалось выше, достаточно просто создавать папку autorun.inf .

Прикольно. Это же ты и написал тот пост. Только такие папки слеудет создавать в тех случаях, когда ты удаляешь файл, а он появляется заново. Т.е. тогда, когда система уже заражена. А "для защиты флешки (и других дисков)" достаточно создания только одной - autorun.inf .

[Nickoss]

Создавать вышеописанный набор папок полезно в том случае, если вставляешь "чистую" флешку в зараженную (предположительно зараженную) машину для того, чтобы воспрепятствовать созданию нежелательных файлов.

[PLAstic]

Суть в том, что файлы могут создаваться сотнями и с разными именами. Значит создавать папки на все случаи жизни бессмысленно. Это раз.
Второе - создались файлы в корне и что? Я ещё тогда по твоему совету сделал себе папку autorun.inf и когда всякая вирусная глупышня создаёт в корне флешки файлы, их потом убивает антивирус на моей машине. А даже если бы и не убивал, тебе сложно удалить лишние файлы ручками? Всё равно без запуска тобой этих файлов они никак не активируются.

[Melori]

1. Предварительные действия.

Пожалуйста убедитесь, что вы работаете с правами администратора.
1.1. Очистка временных файлов. Выполнение очистки позволит сократить время сканирования антивирусами.
Очистку можно провести стандартными средствами Windows (Пуск-Программы-Стандартные-Служебные-Очистка диска - подробнее об этом в статье Повысьте производительность компьютера) или сторонними утилитами, предлагается использовать утилиту ATF Cleaner
- скачайте утилиту, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
- нажмите No, Если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected.
- нажмите No, Если вы хотите оставить ваши сохраненные пароли
1.2. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих..
Создание новой точки восстановления: Нажмите Пуск, выберите программы – стандартные – служебные – восстановление системы, выберите создать точку восстановления, нажмите «Далее», введите имя точки восстановления и нажмите «Создать»
Очистка всех предыдущих точек восстановления: Нажмите Пуск, выберите программы – стандартные – служебные – очистка диска, выберите системный диск, на вкладке «Дополнительно»-Восстановление системы-нажмите «Очистить», Нажмите «Да» для очистки всех точек восстановления, кроме последней.

2. Проверка системы антивирусами.

2.1. Скачайте утилиту CureIt (здесь или здесь), перезагрузитесь в безопасный режим и проведите полную проверку всех дисков. Если у вас уже был установлен антивирус DrWeb, можете пропустите этот шаг (убедитесь, что обновлены антивирусные базы DrWeb и проведите проверку с его помощью)
2.2. Скачайте свежую версию утилиты Kaspersky Virus Removal Tool (AVPTool), установите и, после перезагрузки, запустите автоматическое сканирование всех дисков. Если у вас уже был установлен антивирус Касперского, пропустите этот шаг (убедитесь, что обновлены антивирусные базы антивируса Касперского и проведите проверку с его помощью)
Дополнительно вы можете проверить компьютер другими антивирусными программами. Во избежание конфликтов и нарушения работы системы, не устанавливайте сразу два антивирусных монитора! Если после проверки вы продолжаете наблюдать признаки заражения, перейдите к следующему этапу.
Сохраните лог файлы сканирования, на случай, если они потребуются в будущем. Если вы обнаружили зараженные файлы в папках восстановления системы (например C:\_restore\...), отключите восстановление системы: Нажмите правой кнопкой мыши на ярлыке Мой компьютерp, выберите Свойства, на вкладке Восстановление системы поставьте галочку Запpетить восстановление системных файлов на всех дисках, нажмите "Пpименить". Подтвердите удаление всех точек восстановления. Дополнительная информация: Отключаем восстановление системы для экономии места, Как включить и отключить восстановление системы в Windows XP, How to turn off and turn on System Restore in Windows XP

3. Сбор лог файлов для последующего их анализа.

Сбор утилит для формирования лог файлов:

Скачайте HijackThis (здесь или здесь) и распакуйте архив HiJackThis.zip (например в папку c:\antivir). Описание утилиты HijackThis можно найти здесь и здесь. Онлайн анализатор логов HijackThis
По материалам форума oszone.net

[vampir900]

Пользуюсь kis 2009, и для чистки компьютера TuneUp Utilities 2008 операционная система Windows Vista Sp1 за пол года не одной переустановки системы, на TuneUp Utilities в сети наткнулся случайно и из всех програм чем я пользовался она пригодилась больше всего, антивирусник держу на полную, на вирусы сканирую каждую неделю свой компьютер во избежание утечки какой либо информации от себя и заражения. И вам советую.

[pan777]

По теме вопроса "....избавления компьютера от вирусов...." - авторитетно отвечаю: как человек долгое время непосредственно отвечающий за security на некоторых интернет фирмах - НИКАК!!!!! Я неговорю что с вирусами не надо бороться, но просто по своему опыту это бесперспективно.... Работал со многими anivirus / security system - какую-то выделеть немогу.... могу сазать какие не понравились: Panda, Trend Micro, AVG, CA..., Kaspersky and etc...

[Владoмир]

Создаём свой загрузочный дистрибутив в программе nLite с автоматической установкой виндовс XP. Желательно удалить все штатные компаненты дырявые (требующие обновлений !): оотлоки, мессенжеры и другую дрябидень. Установка винды без присутствия пользователя - экономятся время и зрение !!! Вся установка занимает около 15 минут. После установки одним твиком занести можно все настройки реестра и устанавливаем свои программы. Да, драйвера интегрируем в дистрибутив. Вот в таком виде и при антивирусе , достаточно штатного брандмауэра - вирусов нет вообще. Даже если и появится, то это уже не проблема.
Создавайте резервные копии на сменных носителях регулярно и живите без бед !!!
Пишу кратко, схематично, можно и более подробно.

[ffirefox]

Цитата: Сообщение от crankypixel нужно политиками резать аттачменты с вирусней и фильтровать сайты на которые могут заходить сотрудники

Запрет сотрудникам работать с административными полномочиями (в т.ч. локальными администраторами на своих машинах) + в squid запрет на выход в интернет через IE, процентов на 90 решило все вопросы с вирусами. Остальные 9.9999% делает _любой_ (в том числе бесплатный) антивирусник.


Для продвинутых сотрудников, которые должны иметь возможность ставить себе софт, Я завел на их машине еще одного дополнительного пользователя (локального), который имеет права локального администратора и имеет единый профиль с доменным пользователем.
Локальный пользователь может ставить софт, но не может ходить в Internet (да и в локальную сеть), а доменный пользователь - не может ставить софт (только использовать), но может ходить в интернет.

Уже больше года с вирусами проблем просто нет. (организация ~140 человек).