Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 38.

Инструкция по удалению вредоносных программ

  1. #1
    Geser
    Guest

    Инструкция по удалению вредоносных программ

    Итак, вы заметили что Ваш компютер стал вести себя странно. Открываются непонятные окошки, меняется стартовая страница, компютер работает медленно...
    Что делать?

    Вариант 1: Читать и выполнять http://virusinfo.info/showthread.php?t=1235 и мы постараемся Вам помочь.
    Вариант 2: Попытаться справиться с заразой своими силами.

    Вариант 1 понятен, потому перейдём к рассмотрению варианта 2.

    Начнём от простого к сложному. Если по ходу чтения вы обнаружили что не понимаете о чём идёт речь, значит вам пора остановиться, выполнить все советы которые вы понимаете, и, если не помогло, обратиться к варианту 1.

    Прежде всего, если у Вас есть возможность сделать резервную копию системного диска - сделайте её. Если нет - скопируйте хотя бы наиболее важную для Вас информацию. Существует вероятность что в процессе лечения больной может умереть Хотя она и невелика, не стоит ей пренебрегать.

    До того как Вы приступите к лечению:
    1. Прочитайте данную тему http://virusinfo.info/showthread.php?t=1431 и убедитесь что защита вашего компютера соответствует рекомендациям. Иначе лечение не даст никакого результата.
    2. Все нужные программы скачайте заранее. Если Вы подозреваете, что у Вас завёлся вирус, заражающий файлы, все нужные программы скачайте на чистом компьютере, и запишите на CD.
    3. Если у Вас не был установлен межсетевой экран (firewall), не устанавливайте его на зараженную систему. Если всё же Вы установили его на зараженную систему, то после лечения сделайте ему деинсталяцию (с удалением всех настроек) и установите его заново.
    4. Перед началом лечения желательно отключить компьютер от сети (потому все нужные программы нужно скачать до этого) и подключить его только после завершения лечения и установки межсетевого экрана.
    5. Перед началом лечения убедитесь, что у Вас стоит последняя версия используемого Вами антивируса и антиспай и обновите их базы.
    6. Выключите любые программы, обеспечивающие защиту реестра от изменений, иначе они будут защищать вредоносные ключи, мешая лечению.
    7. Зайдите в Add/Remove Software и сделайте деинсталяцию всех программ, которые Вам не нужны или которые Вы не устанавливали.

    Теперь приступим к лечению. (Перед началом лечения желательно отключить компьютер от сети.)
    Лечение, часть 1. Стандартные методы.
    1. Отключите восстановление системы (только для Windows Me/XP). Если не знаете как, смотрите примечание 1 ниже.
    2. Перегрузите компьютер в безопасном режиме (Safe mode). Для загрузки в этом режиме нажать F8 в самом начале загрузки Windows и выбрать "Безопасный режим" (Safe mode).
    3. Просканируйте компьютер антивирусом, а так же другими программами для борьбы с вредоносными программами, которые у Вас имеются. Некоторые антивирусы могут не работать в безопасном режиме. В таком случае сканируйте в обычном режиме. Если антивирус (и другие программы) что-то находят и дают Вам возможность выбора - лечение или удаление, всегда сначала выбирайте лечение. Если антивирус пишет, что файл неизлечим - удаляйте его. На сегодняшний день большинство вредоносных программ не являются вирусами, и единственное что с ними можно сделать - это удалить их.
    4. Перегрузите компьютер и повторите пункты 2,3. Если при повторном сканировании ничего не найдено, перегружайтесь в обычный режим, не забудьте установить межсетевой экран и включить восстановление системы. Если опять найдено что-то вредоносное, можно попробовать повторить пункты 2,3 еще пару раз. Иногда это помогает.
    5. Вы выполнили всё описанное выше, но это не помогло. Т.е. вредоносные программы продолжают обнаруживаться, либо все антивирусные программы молчат, но проблема всё же существует. Это значит Вам повезло подхватить что-то новое или особо зловредное и стандартные методы не проходят. Значит, перейдём к нестандартным.
    Последний раз редактировалось Alexey P.; 01.05.2008 в 01:17.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    Лечение, часть 2. Нестандартные методы.
    1. Антивирус или другая программа находят что-либо вредоносное, но не могут удалить.

    Если у вас файловая система FAT32, то всё просто. Создаёте системную дискетку, загружаетесь с неё и удаляете что нужно. Если NTFS, то дело немного сложнее.
    * Если у Вас установлена еще одна копия Винды, то можно загрузиться в неё и удалить файл оттуда.
    * Если у Вас есть загрузочный CD, позволяющий работать с NTFS, загрузитесь с него и удалите. Если нет, то можете попробовать соорудить его в соответствии с инструкцией опубликованной вот тут: Создание базового Windows XPE Live CD
    * Можно так же подключить харддиск к другому компьютеру и удалить нужный (вернее ненужный ) файл.

    Если всё это не подходит - попробуйте возпользоваться программой Pocket Killbox (локальная копия)

    2. Антивирус находит и всё удаляет, но после рестарта (или просто через какое-то время) "зверь" появляется вновь. Тут возможны 2 варианта:
    2.1 "Зверь" приходит через сеть используя уязвимость Винды. Убедитесь что у Вас стоят все заплатки, межсетевой экран установлен, включен и работает.
    2.2 У вас поселился дроппер - программа, которая заново создаёт "зваря" на диске после удаления. Его нужно найти методами, описанными ниже, или же обратившись к нам за помощью.

    3. Итак, самое интересное. Антивирус и другие программы ничего не находят, но Вы думаете что на компьютере всё-таки присутствует "зверь". Как же его искать?

    3.1 Самый простой способ, который срабатывает во многих случаях, но не всегда. Скачиваете програмку HijackThis, делаете лог, и скармливаете его автоматическому анализатору логов http://www.hijackthis.de/en, после чего изучаете отчёт.

    Учтите, данный анализатор нередко ошибается и может предложить Вам удалить безопасные или даже необходимые для нормальной работы файлы.
    Перед удалением любых файлов нужно проверить что они действительно вредоносные, например при помощи сервиса VirusTotal. Там же стоит проверить любые файлы, ссылка на которые присутствует в логе, даже если Вам кажется, что это что-то полезное. Различные трояны нередко маскируются под полезные программы (имеют похожие или такие же имена файлов как распространённые программы или файлы системы). После нахождения всех вредоносных файлов, отметьтьте строки, в которых присутствуют ссылки на них в HijackThis. Также отметьте строки, в которых присутствуют ссылки на неизвестные Вам сайты. После этого нажмите на кнопку Fix. Всё выбранное будет удалено. На всякий случай проверьте, что все вредоносные файлы на самом деле удалены. Если какие-то файлы не удалились - удалите их, как описано в пункте 1.

    Продолжение следует. Критика, исправления и дополнения приветствуются.
    Последний раз редактировалось Alexey P.; 01.05.2008 в 01:20.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Geser
    [B]
    Продолжение следует. Критика, исправления и дополнения приветствуются.
    1. Под XP+NTFS абсолютно "безобразный" способ - загрузка с "родного" диска с дистрибутивом XP в режиме "Recovery console", особо не разбежишься, но набор старых досовских команд присутствует в полном обьёме.
    2. Прошу обратить внимание на BartPE, с помошью которого можно соорудить LiveCD с WindowsXP.
    Собственно смысла повторять особо не вижу -
    http://www.oszone.net/display.php?id=3201&do=print
    http://oszone.net/display.php?id=3202
    http://oszone.net/display.php?id=3203
    достаточно подробно описывается создание LiveCD с применением BartPE.
    Последний раз редактировалось RiC; 08.06.2005 в 20:13.

  5. #4
    Geser
    Guest
    Цитата Сообщение от RiC
    1. Под XP+NTFS абсолютно "безобразный" способ - загрузка с "родного" диска с дистрибутивом XP в режиме "Recovery console", особо не разбежишься, но набор старых досовских команд присутствует в полном обьёме.
    2. Прошу обратить внимание на BartPE, с помошью которого можно соорудить LiveCD с WindowsXP.
    Вот и опиши поподробнее Что бы юзверям понятно было что к чему

  6. #5
    polza
    Guest
    Это конечно все красиво и хорошо. Но вы все описали только для простейшего вредоносного кода. (Это не критика) Как быть если вредоносный код заменил файл explorer.exe, а родной explorer.exe переименовал. Выходит следующее. Вирус удален, но после загрузки explorer.exe файла нет, рабочего стола с иконками нет. Как быть. (explorer.exe и тому подобные файлы это пример). Нужна общая методика лечения таких случаев. (Как решить такие случаи я имею представления и решение но нет методики )

  7. #6
    Geser
    Guest
    Цитата Сообщение от polza
    Это конечно все красиво и хорошо. Но вы все описали только для простейшего вредоносного кода. (Это не критика) Как быть если вредоносный код заменил файл explorer.exe, а родной explorer.exe переименовал. Выходит следующее. Вирус удален, но после загрузки explorer.exe файла нет, рабочего стола с иконками нет. Как быть. (explorer.exe и тому подобные файлы это пример). Нужна общая методика лечения таких случаев. (Как решить такие случаи я имею представления и решение но нет методики )
    В случае заражения настоящим файловым вирусом руками скорее всего не вылечишь. Когда есть переименнованная копия - это частный случай, в котором можно и ручками её вернуть, но откуда знать что она вообще есть?
    Последний раз редактировалось Alexey P.; 01.05.2008 в 01:21.

  8. #7
    polza
    Guest
    Geser это хорошо что ручками, но как быть если незнаешь всех процессов (рядовой пользователь их по принципу не знает). И замена файлов это уже к тому же не новая технология и довольно часто встречается

  9. #8
    Geser
    Guest
    Цитата Сообщение от polza
    Geser это хорошо что ручками, но как быть если незнаешь всех процессов (рядовой пользователь их по принципу не знает).
    Потому в АВЗ есть база чистых файлов, которая позволяет простому пользователю понять какие процессы "хорошие"
    И замена файлов это уже к тому же не новая технология и довольно часто встречается
    Ну, что поделать. Не всё можно исправить простыми методами. Может Олег встроит в АВЗ какую-то проверку. Только нужно придумать, как именно это проверять.
    Последний раз редактировалось Alexey P.; 01.05.2008 в 01:22.

  10. #9
    polza
    Guest
    Geser извини не пробовал АВЗ под досом, но мне кажется он там не работает. Надо попробовать. Но вот тебе пример из практики. Сканируешь систему антивирусом она находит вирус удаляет его, это файл winlogon, после этого как понимаешь аут. Так вот хотелось бы создать инструкцию для таких случаев.

  11. #10
    Geser
    Guest
    Цитата Сообщение от polza
    Geser извини не пробовал АВЗ под досом, но мне кажется он там не работает. Надо попробовать.
    Хм, а зачем его под досом запускать?
    Надо попробовать. Но вот тебе пример из практики. Сканируешь систему антивирусом она находит вирус удаляет его, это файл winlogon, после этого как понимаешь аут. Так вот хотелось бы создать инструкцию для таких случаев.
    Так в принципе инструкция понятна. Файл нужно заменить чистым. Только когда антивирус предлагает что-то удалить далеко не каждый может понять что это системный файл который удалять нельзя. Тут уже недосмотр разработчиков антивируса. Они должны корректно обрабатывать такие случаи.

  12. #11
    polza
    Guest
    Вот не надо только все на разработчиков класть. Антивирусы с интелектом это в будущем.
    А под досом с поддержкой ntfs, очень нужно. Многие деструктивные действия так можно удалить и исправить

  13. #12
    Geser
    Guest
    Цитата Сообщение от polza
    Вот не надо только все на разработчиков класть. Антивирусы с интелектом это в будущем.
    А зачем тут интеллект. Сделать в антивирусе список системных файлов которые нельзя просто удалять не так сложно ИМХО. Конечно работы прибавится.
    А под досом с поддержкой ntfs, очень нужно. Многие деструктивные действия так можно удалить и исправить
    Это к Олегу. Думаю не большая проблема.

  14. #13
    Junior Member Репутация
    Регистрация
    22.07.2007
    Сообщений
    10
    Вес репутации
    39
    Для решения проблемы переименования предлагаю создать сервис, с которого можно скачать чистые системные файлы.
    А также утилиту, которая будет скачивать системный файл(с указанного автоматически или вручную пути) (+проверка контрольной суммы, что скачалось то что надо).

    Затем она будет по списку системных будет перезаписывать файл чистым скачанным, а старый отправлять в бэкап. Причём, чтобы можно было сделать откат даже без Виндоус просто с командной строки.

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от WildKOT Посмотреть сообщение
    Для решения проблемы переименования предлагаю создать сервис, с которого можно скачать чистые системные файлы.
    А также утилиту, которая будет скачивать системный файл(с указанного автоматически или вручную пути) (+проверка контрольной суммы, что скачалось то что надо).

    Затем она будет по списку системных будет перезаписывать файл чистым скачанным, а старый отправлять в бэкап. Причём, чтобы можно было сделать откат даже без Виндоус просто с командной строки.
    Это технически невозможно ... если взять любой файл, скажем ntdll.dll, то с удивлением можно обнаружить сотни его разновидностей. И возникает вопрос - какую конкретно тащить на ПК ? Ведь существует несколько видов системы, огромное количество ее локализация, несколько сервиспаков, куча разных патчей - как все это учесть ?

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.04.2007
    Адрес
    Frolovo MegaTown. Why Mega? I am living in Frolovo
    Сообщений
    252
    Вес репутации
    154
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Это технически невозможно ... если взять любой файл, скажем ntdll.dll, то с удивлением можно обнаружить сотни его разновидностей. И возникает вопрос - какую конкретно тащить на ПК ? Ведь существует несколько видов системы, огромное количество ее локализация, несколько сервиспаков, куча разных патчей - как все это учесть ?
    Тестировать системное ПО и наборы обновлений.
    Ничего изобретать не нужно - разработки есть.

    Примерная схема действий: Клиент скачивает, устанавливает и запускает Агента, Агент определяет, какой модуль нужен и скачивает его с сайта.

    Схема не претендует на законченность и является попыткой изложить свою точку зрения по затронутому вопросу.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    http://driveragent.com - вот такой сервис есть для поиска обновления драйверов.
    Правда, отчет делает бесплатно, а дальше просит денежку.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    18.04.2008
    Сообщений
    6
    Вес репутации
    36
    В виндовс ХР встроена утилита sfc, она работает без эксплорера, проверено - у меня однажды оный навернулся (или настройки к нему, но он после запуска сразу выпадал), я через диспетчер задач запустил cmd, а из него sfc. Значит, список файлов хранится где-то в венде, и их версия, так нельзя ли использовать именно этот список прямо из антивируса? И файлы тогда копировать с установочного диска.
    Правда, я не уверен, что оно работает как надо. А проверить полностью не знаю как. Разве что на подопытной машине убить файлик и провести sfc?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    840
    Цитата Сообщение от kerk Посмотреть сообщение
    В виндовс ХР встроена утилита sfc, она работает без эксплорера, проверено - у меня однажды оный навернулся (или настройки к нему, но он после запуска сразу выпадал), я через диспетчер задач запустил cmd, а из него sfc. Значит, список файлов хранится где-то в венде, и их версия, так нельзя ли использовать именно этот список прямо из антивируса? И файлы тогда копировать с установочного диска.
    Правда, я не уверен, что оно работает как надо. А проверить полностью не знаю как. Разве что на подопытной машине убить файлик и провести sfc?
    http://support.microsoft.com/kb/310747/ru

    А что вам мешает sfc запустить?

  20. #19
    Junior Member Репутация
    Регистрация
    18.04.2008
    Сообщений
    6
    Вес репутации
    36
    Я говорю не об "опции для ленивых", кто ленится набрать команду в консоли, а о случае, когда заражён системный файл, и антивирусу не удаётся его вылечить. Антивирус мог бы попросить доступ к установочным файлам виндовс и скопировать пострадавшего оттуда, вместо просто удаления.
    Возможно ли такое сделать?

    Кстати, описание на сайте микрософт посредственное. И главное - не даёт ответа на вопрос, насколько надёжно работает sfc.
    Последний раз редактировалось kerk; 21.04.2008 в 14:50.

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от kerk Посмотреть сообщение
    Антивирус мог бы попросить доступ к установочным файлам виндовс и скопировать пострадавшего оттуда, вместо просто удаления.

    Кстати, описание на сайте микрософт посредственное. И главное - не даёт ответа на вопрос, насколько надёжно работает sfc.
    Антивиры стараются лечить, или если это невозможно, то удалить. Разбираться в ОС и выбирать откуда что можно скопировать, задача для разработчиков ОС, а не для а/в продуктов.

    Надежность sfc такая же, как и у ОС.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

Страница 1 из 2 12 Последняя

Похожие темы

  1. TOP 20 вредоносных программ на 20.12.2006
    От Зайцев Олег в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 20.12.2006, 18:40
  2. TOP 20 вредоносных программ на 18.12.2006
    От Geser в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 18.12.2006, 18:00
  3. TOP 20 вредоносных программ на 16.12.2006
    От Geser в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 16.12.2006, 20:40
  4. TOP 20 вредоносных программ на 14.12.2006
    От Geser в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 14.12.2006, 14:50
  5. TOP 20 вредоносных программ на 12.12.2006
    От Geser в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 12.12.2006, 16:30

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00674 seconds with 16 queries