(495) 743-98-83
491624410

отправить вопрос

Покупателям Партнерам Форум по продуктам

 запомнить на этом компьютере
забыли пароль? регистрация  
Ваша корзина пуста
Мои заказы

Главная / Форум / Разное / Курилка / Методики удаления вредоносного ПО (сам себе антивир)

Методики удаления вредоносного ПО (сам себе антивир)


Поиск  Пользователи  Правила 
Закрыть
Логин::
Пароль::
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
Методики удаления вредоносного ПО (сам себе антивир), C форума avast.ru/forum/
Порой возникают ситуации, когда антивир даже с обновленными базами не в состоянии обеспечить должную безопасность системы, и тогда пользователю приходится самостоятельно рыскать в системе в поисках заразы и искать способы ее удаления.
Отправка обнаруженный заразы разработчику не всегда дает положительные результаты, равно как и общение на форуме, например, когда по тем или иным причинам отсутствует выход в Интернет.
Я предлагаю поститься здесь всем желающим поделиться своим личным опытом удаления вирусов вручную.
Очень интересными будут сообщения Lex’а и mutaki (насколько я знаю, mutaki проявлял себя отважным воином, без страха выходил один на один с зараженными машинами и вручную выгребал из них кучи мусора – а это многого стоит!).
Предлагаю также уточнять в сообщении о детектировании и удалении какой вредоносной программы идет речь:
1. О вирусе,
2. О трояне,
3. О малваре.
Форумчане, прошу Вас, пожалуйста, отнеситесь к моим рекомендациям с конструктивной критикой.

Хотелось бы начать с рекомендаций по защите рабочей станции (компьютера) с целью предупреждения заражения:
1. Перейти с Windows 98/ME на Windows 2000/XP, так как в последних есть служба защиты системных файлов – то есть, если провести какие-либо изменения или удалить системный файл, то служба автоматически восстановит его и отобразит данное событие в системном журнале. Установить на свой Windows XP второй пакет обновлений (Service Pack 2).
2. Необходимо устанавливать обновления (Security Updates, Hotfixes) операционной системы по мере их появления с сайта Micrоsoft: http://www.microsoft.com/downloads/Search.aspx?displaylang=ru
Если в Вашей копии Windows зияет огромная дыра, то никакой антивирус не поможет, так как зараза будет постоянно проникать через эту дыру.
Существует программа Belarc Advisor ( http://www.belarc.com/free_download.html ), с помощью которой можно узнать необходимые для установки на Вашу ОСь критические обновления, а также эта утилита покажет Вам те пакеты обновлений, которые необходимо ПЕРЕУСТАНОВИТЬ - в общем, must have!!!
3. Необходимо установить антивирус на компьютер, пусть даже плюгавенький, но с резидентным сканером (т.е. чтобы он постоянно находился в оперативной памяти и сканировал новые\измененные файлы и процессы). Наличие одновременно двух, а то и более антивирусов с работающими резидентными сканерами чревато появлением разбитой, изничтоженной и не работающей системой. Для надежности можно периодически скачивать от конкурирующих компаний утилитки-сканеры для обнаружения вредоносных программ. Установленный, но не обновляемый антивирус - то же, что и отсутствующий антивирус.
4. Для защиты от вторжений из Интернет необходимо наличие брандмауэра\фаерволла (лучше тот, который Вы сможете самостоятельно настроить, чем самый навороченный, но за отсутствием знаний тупо простаивающий и пропускающий троянчики).
5. Для защиты от Malware (rootkit, adware, spyware, dialers и тп.) необходимо наличие специального программного обеспечения.
6. Для защиты от социального инжениринга нужен мозг, он поможет:
а) не посещать порно- и крэкерские сайты,
б) не пользоваться кейгенами и тем более патчами для лечения платных программ от жадности (надежнее найти на просторах сети добровольно выложенный ключ),
в) не кликать по сомнительным ссылкам и не открывать приложения, присланные на Ваш почтовый ящик от неизвестных лиц,
г) не оставлять свой емейл где ни попадя (а так же другой конфиденциальной информации). Лучше соврите при регистрации – зачем совершенно посторонним и совсем не известным Вам людям сообщать свои данные? Вы же не подходите к прохожим на улице и не раздаете им ксерокопию своего паспорта!
д) не позволить соседу по подъезду – кульному real хацкеру с ником Тr0яN – «немного посидеть в Интернете со своими дисками», так как его компьютер вдруг внезапно сломался после выключения кнопки питания на мониторе ;)
7. Необходимо забыть о существовании учетной записи администратора и начать серфить Интернет под ограниченной в правах учеткой.
После похождений в Интернете обязательно чисти за собой папки:
C:\Documents and Settings\ИМЯ_ПОЛЬЗОВАТЕЛЯ\Local Settings\Temp и
C:\Documents and Settings\ ИМЯ_ПОЛЬЗОВАТЕЛЯ \Local Settings\Temporary Internet Files.
8. Не надо использовать Internet Explorer, Outlook Express и другие подделки от Micrоsoft для серфинга и чтения почты – есть намного более достойные замены этим програмкам (например, браузеры – Opera, FireFox; почтовики – The Bat!, Mozilla Thunderbird (не путать с суждением о меткости Романа Трахтенберга! :)).
Отключите в своем браузере поддержку cookies, scripts, javascripts, activeX. При этом потеряется функциональность использования Интернета и, даже, Вы не сможете залоггиниться (зарегистрироваться) на некоторые сайты – для таких сайтов лучше отдельно прописать правила в браузере.
9. Если компьютер предназначен для домашнего использования, не открывайте общий доступ к файлам и папкам. Для папок с ценной информацией, которой Вы не хотите ни с кем делиться можно установить атрибут «Только чтение», но лучше пропишите отдельно права пользователей.
Делаем так: открываем любую папку -> Сервис -> Свойства папки… -> Вид -> убираем галочку напротив «Использовать простой общий доступ к файлам (рекомендуется)». В итоге в свойствах любой папки (при клике правой кнопкой мышки на папке) появиться вкладка «Безопасность», где можно удалить все учетные записи кроме своей – в итоге только Вы будете иметь доступ к этой папке.
Ни в коем случае не поступайте так с папкой WINDOWS!!!
Однажды я из всех папок удалил юзера SYSTEM. Уже через 5 минут работы начались глюки, после перезагрузки я увидел рабочий стол, на который можно было только полюбоваться – компьютер ни на что не реагировал, так системная учетная запись (system) не могла получить доступ к ресурсам операционной системы!!! (Гыы, вот дебил ;) ).
10. Резервное копирование – ключ к тому, что не придется в случае чего рвать волосы, посыпать голову пеплом из-за потери очень важной и ценной информации! Лучше всего использовать CD-R, DVD-R (так как нельзя будет по забывчивости переписать их).
Можно использовать программы для резервного копирования: встроенную в Windows программу архивации, Nero BackItUp, Acronis True Image и тп.
11. Вирусы, трояны и шпионы следует удалять не простым перемещением в корзину и ее последующей очисткой, а с использованием специально разработанных программ. Дело в том, что при удалении средствами Windows файл физически остается на винчестере! Грубо говоря ОСь просто делает отметки в MFT (Главной Файловой Таблице) о том, что на кластер, где располагался файл можно делать запись и он будет жить до тех пор, пока его не перезапишут. Откат системы к прежнему состоянию может помочь ему восстановиться. Формат винчестера или раздела тоже не удаляет файлы, он лишь переразмечает файловую таблицу.
Таким образом, необходимо, чтобы при удалении программка просто забивала кластер нулями, а еще лучше – чтобы набрасывалась на него, как Тузик на грелку, рвала его на кусочки (фрагментировала, раскидывая его части по всему винчестеру), а затем затирала эти части. Иногда может помочь дефрагментирование винчестера – есть надежда, что на этот кластер произойдет запись. Также необходимо почистить реестр, удалив все ссылки на вирус. Я надеюсь, что именно так и происходит уничтожение вредоносного ПО при помощи антивирусов.
12. И самое главное – необходимо прекратить слушать попсу и наконец-то приобщиться к высокому и красивому миру андеграунда (it’s better to listen hardcore music!).
P.S: самая надежная защита, нереальная, – это придумать свой собственный язык программирования, написать на нем свою операционную систему (сокр. ОС или ОСь), свой браузер и установить, скажем, на калькулятор «Микроша»! Никто не будет располагать исходными кодами и, соответственно, не сможет написать под Вашу ОСь вирус, шпион или троянчик (тем более под Микрошу)!!!
Еще рекомендации по защите можно прочесть здесь:
http://virusinfo.info/showthread.php?t=1431
http://www.microsoft.com/Rus/Security/Protect/Default.mspx

Общие рекомендации к обнаружению и удалению вредоносных программ:

1. Вирус – это программа и для выполнения своего деструктивного кода ему нужен процессор, оперативная память и операционная система (установленная у большинства пользователей пиратская копия Windows также подойдет). Работающий в памяти вирус становится одним из процессов Windows.
Описание и классификацию различных видов вредоносного ПО можно просмотреть здесь:
http://virusinfo.info/showthread.php?t=1430
http://www.viruslist.com/ru/viruses/encyclopedia?chapter=152526512

2. Признаки заражения:
- ошибки вызванные изменением структуры платных программ;
- сбои в работе платных программ типа «CRC-error». Многие коммерческие протекторы поддерживают функцию проверки четности или же целости исполняемого файла, что сделано для защиты программы от взлома;
- «неубиваемые» процессы. Например, при выключении или перезагрузке компьютера идет длительное завершение какого нибудь-процесса, или же вообще компьютер зависает при завершении работы;
- частая перезагрузка компьютера;
- вылет из Интернета;
- завершение работы антивирусных программ;
- недоступность сайтов антивирусных компаний;
- ошибки при обновлении антивируса;
- недоступность сервера обновления компании Мicrosoft;
- сообщение windows, что исполняемые файлы повреждены;
- появление неизвестных файлов в корневом каталоге,
- когда Блокнот или любимая Косынка начинают (по наускиванию трояна) мнить себя полноценными браузерами и начинают настойчиво пытаться выйти в Интрнет
- и тп, и тд….
Про признаки заражения см. еще:
http://www.viruslist.com/ru/viruses/encyclopedia?chapter=152526519
http://www.softboard.ru/index.php?showtopic=37015

3. Если антивирус определяет что за вредоносная программка поселилась на Вашем компьютере, но не может ее удалить, то посетите "Вирусную энциклопедию": http://www.viruslist.com/ru/viruses/encyclopedia
Найдите по названию свой вирус, троян, шпион (или его ближайшего родственника) и следуя указанным там советам удалите вредоносное ПО из системы.
P.S.: ну хоть что-то действительно хорошее, порой очень нужное и пока ни кем не повторенное удалось сотворить уважаемому всеми нами Е. Касперскому!
Однако и это не всегда помогает: нет связи с Интернет, нет описания способа удаления, после удаления зверь все равно восстанавливается и тп., т.е. возникает необходимость самостоятельно исследовать систему на предмет наличия вредоносного ПО.

4. При попадании на компьютер вирус должен как-то себя запустить. Для этого используются:
а) папка «Автозагрузка» (см. «Пуск» -> «Все программы» -> «Автозагрузка»).
Кроме простого добавления ярлыка в автозагрузку существует и замена другого автозагружаемого файла – подменяется один из файлов, которые уже автоматически выполняются операционной системой при загрузке. Для сохранения работоспособности системы оригинальный файл переименовывается и запускается из внедренной программы.
Если установлен Microsoft Office, то велика вероятность, что в этой папке находится ярлык «Быстрый запуск Microsoft Office», изменив путь этого ярлыка на путь к вредоносной программе, можно ловко обмануть пользователя.
Безопаснее всего – держать эту папку всегда пустой.
б) назначенные задания (см. «Пуск» -> «Панель управления» -> «Назначенные задания»),
в) ключи реестра ответственные за автозагрузку программ и dll (привожу без разбора Win95\98 или WinNT):
HKLM \ SOFTWARE \Microsoft\WindowsNT\CurrentVersion\AppInit_DLLs
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\No­tify
(а также см. подразделы: Userinit и Shell)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(а также см. подразделы: RunOnce, RunOnceEx, RunServices, RunServicesOnce)
HKLM\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shar­edTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceO­bjectDelayLoad
HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
HKLM\ SYSTEM\CurrentControlSet\Services\VxD
HKLM\SYSTEM\CurrentControlSet\Control\SessionManager
(см. параметр «BootExecute» - там прописаны программы, которые запускаются во время инициализации ОСи, еще до загрузки графической оболочки и сервисов)
HKCU\ SOFTWARE \Microsoft\Windows\CurrentVersion\Run
(а также см. подразделы: RunOnce, RunOnceEx, RunServices, RunServicesOnce)
Приведенные выше строки – это пути от веток реестра к необходимым ключам.
Просмотреть их можно при помощи встроенной утилиты от Microsoft «regedit». Делается это так: «Пуск» -> «Выполнить» -> набираем: regedit -> жмем ОК. В появившемся окне жмем на плюсики, чтобы добраться до интересующего нас ключа.
г) файл boot.ini (для Windows 2000\XP) – расположен в корне диска или раздела куда была установлена Windows (т.е. там где находятся папки: Documents and Settings, Program Files, WINDOWS). Практически у всех – это диск C:\ Смотреть надо так: «Пуск» -> «Выполнить» -> набираем: msconfig -> жмем ОК и просто смотрим на предмет лишних записей, боясь что-либо изменить.
Например, у меня такая запись:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional RU" /fastdetect /NoExecute=OptOut /noguiboot /bootlogo /KERNEL=kernel.exe
Все, ничего другого там не должно находиться. Если находится, то начинайте паниковать и читайте внимательнее – это может быть путь к вредоносному ПО!
файл win.ini (для Windows 95\98 )
В секцию [windows] этого файла можно добавлять строчки вида «run=path». Где path - полный путь и название исполняемого файла (например, «c:windowssystemspy.exe», только без кавычек), который будет запускаться при загрузке операционной системы.
д) файлы:
config.sys/autoexec.bat в Windows 98/Me,
config.nt/autoexec.nt в Windows 2000/XP
е) в Windows есть такое полезное приложение, как rundll32.exe, и с помощью этого процесса можно запускать любую библиотеку. При этом не обязательно в автозагрузке писать rundll32.exe myspy.dll, достаточно прописать это внутри зараженного файла. Тогда вы будете видеть только свои (зараженные файлы, которые маловероятно будут детектироваться антивирусом) и процесс rundll32.exe, и больше ничего.
ж) загрузочный сектор HDD (жесткого диска). Чтобы отсюда удалить вирус надо просто переписать загрузчик, перезагрузившись с аварийного диска (которого практически ни у кого нет). Тогда пользуемся советом Криса Касперски: берем установочный диск Windows и пытаемся обмануть программу установки – перезагружаемся с диска, жмем «R» для восстановления, жмем «C» для попадания в консоль восстановления. Нам будет предложено ввести пароль администратора, вводим, даем команды FIXMBR и FIXBOOT – этим мы восстановим загрузочный сектор (boot sector) и главную загрузочную запись (master boot record).
P.S.: Данный метод подходит только для Windows NT/XP. С моего установочного диска необходимо соблюдать другой порядок действий, чтобы выпасть в консоль. Лично я ни разу не смог воспользоваться этим методом (когда после экспериментов слетал загрузчик и его надо было восстановить), так как забывал вовремя нажать кнопочки, чтобы попасть в консоль восстановления.
В Windows 98/ME перезапись загрузчика производится по команде FDISK /MBR, причем ее можно выполнять и при работе в среде Windows (через сеанс MS-DOS).
Просмотр автозагрузки, ключей реестра, заданий и тп. может помочь выявить шпиона или вирус. Если Вы уже настроили свою операционную систему и установили все необходимые программы, то указанным ключам реестра присвой атрибут «чтение» - тогда вредоносное ПО, даже при его наличии в системе, просто не сможет сделать запись в этих ключах реестра, а поэтому не сможет выполнить свой запуск и, соответственно, подпортить Ваши нервы.

5. Просмотрите лог событий: «Пуск» -> «Панель управления» -> «Администрирование» -> «Просмотр событий».
Там можно узнать были ли попытки подмены системных файлов Windows.
Кроме того, просмотрите там же отчеты об ошибках, особенно обратите внимание на имя и права пользователя допустившего ошибку. Если на этом месте стоит «пользователь неопределен» или что-то подобное, то радуйтесь – вы заражены!

6. Найти вредоносный процесс… Запустите «Диспетчер задач» (Ctrl+Alt+Del) и просмотрите на вкладках «Приложения» запущенные программы, а на вкладке «Процессы» количество запущенных служб (не программ, так как, например, сейчас у меня здесь находятся еще winamp, winword и, кроме того: taskmgr – это сам «Диспетчер задач»).
Сосчитайте количество запущенных служб. Теперь перейдите: «Пуск» -> «Панель управления» -> «Администрирование» -> «Службы». Сосчитайте количество служб, которые находятся в состоянии «Работает». Сравните полученные результаты. Если в диспетчере задач служб больше, то это повод для паники – возможно, что под одну из служб замаскировался вирус, троян или шпион!
Здесь необходимо сказать о службе svhost.exe – их может отражаться несколько штук, причем под каждой может скрываться около десятка различных служб Windows. Здесь поможет отличная замена диспетчеру задач – утилитка Process Explorer – при наведении курсора на службу она покажет количество и наименование служб, скрывающихся под тем или иным процессом (диспетчер задач на такое не способен).
Если мы знаем какой у нас сидит вирус, как он назвал свой файл, то в «Диспетчере задач» (проге Process Explorer) ищем процесс с таким же именем и, найдя, убиваем его (напр., кликаем правой кнопкой мышки по имени процесса на вкладке «Процессы» диспетчера задач и выбираем «Завершить процесс» или «Завершить дерево процессов» (чтобы убить и все зависимы процессы)).
Сложнее, когда вредоносный процесс прячется под другим именем. Тогда надо по очереди завершать все процессы, запушенные от имени пользователя и смотреть какой из них самовосстанавливается. Если это не помогло, то необходимо по очереди запускать все установленные у Вас программы и, сразу после запуска, завершить их работу. Если работа программы прекращена, а ее процесс остался, то есть все основания считать, что этот процесс вредоносный, а сама программа заражена. Например, если у Вас постоянно висит в памяти iexplore.exe, а IE давно закрыт - это наводит на размышления (в Windows есть фишка с краями экрана - попробуйте сами, прихватите мышкой окно любой программы и заведите его за край экрана - оно там целиком пропадет. Так вот, таким образом можно спрятать IE, чтобы пользователь не видел какое это там странички посещает его браузер). Кроме того, видоизмененные названия (iexplor.exe, iexplorer.exe, iexplare.exe и тп.) - повод для паники (и для радости - вредоносный процесс сам себя обнаружил!!!).
Еще сложнее когда такой процесс прячется под именем системной службы. Можно конечно пойти описанным выше путем и по очереди убивать системные процессы, но тогда будьте готовы к тому, что этим вы завершите службу, необходимую для работы Windows и в лучшем случае сработает автоматическая блокировка работы компьютера и Ваша ОСь будет принудительно перезагружена в течении 10 сек. При таком раскладе лучше в свойствах процесса при помощи Process Explorer (или другой подобной утилитки) просмотреть разработчика программы и ее расположение (ее путь). Если разработчик M$ или Microsoft Corporation (или Корпорация Майкрософт), то можно чуть-чуть успокоиться (хотя и эти данные можно подделать). Если разработчик не известен или какой-нибудь Вася Пупкин, а путь расположения файла уходит куда-то в папку TEMP, то все, пипец, Вы нашли вирус (троян, шпиона…).
Подробно изучить системные процессы ОСи можно, скачав специально подготовленную справку (около 70 Кб): http://www.oszone.net/2357/Services
За эту справку выражаем огромную благодарность форумчанам сайта oszone.net и лично ее автору Антону Белоусову :)

7. Ищем по дате создания. Сортируем файлы в папке В Windows\System32 по дате (а потом, может, и в других папках – просто в system32 мало кто из пользователей заглядывает, чем создатель вира может воспользоваться) и внимательно присматриваемся к новым файлам – буквально вчера-позачера созданных, просматриваем их свойства, информацию о создателе.
Для контроля целостности файлов существует встроенная утилита sfc.exe. Она предназначена для проверки всех версий защищенных системных файлов и восстановления их из специального кэша в случае подмены или повреждения. Windows XP запускается только из командной строки и только с правами администратора.
Параметры командной строки, которые можно задавать для программы SFC, следующие:
/scannow - запуск проверки всех защищенных системных файлов;
/scanonce - задает однократную проверку защищенных файлов при следующей загрузке системы;
/scanboot - задает проверку всех защищенных системных файлов при каждой загрузке ОС;
/revert - восстанавливает исходные настройки программы в состояние по умолчанию;
/purgecache - очистка кэша защищенных файлов программы, расположенного в папке %SystemRoot%\System32\Dllcache, и немедленная проверка системных файлов;
/cachesize=x - установка размера кэша защищенных файлов в мегабайтах;
/enable - включение защиты системных файлов Windows;
/? - вызов справки.
При повреждении или удалении файлового кэша для корректной работы службы защиты системных файлов необходимо восстановить кэш, используя команду sfc /scannow.

8. Указанным ранее способом открываем вкладку «Безопасность» отдельно взятой папки и смотрим там учетные записи. Если находим что-то вроде «неизвестная учетная запись», «S-1-5-21-…», то кидаемся в панику. Я не думаю, что такую учетную запись необходимо сразу удалить (может восстановится тем же способом, что и появилась?), лучше зайти на вкладку «Дополнительно» и понизить ее права до самого тротуара или даже ниже, чтобы нельзя было с ее помощью причинить вред ОС. А далее наблюдаем (в том же диспетчере задач – какой процесс возникает от имени этой учетки?).

9. Ищем BHO (Browser Helper Object) – помощники, встраиваемые в explorer, iexplore (в основном это относится к поиску Malware). Этот пункт актуален для тех кто задается вопросом – почему антивирус у меня есть, а стартовая страничка браузера постоянно меняется?
Стартовая страница браузера прописывается в этих ключах реестра:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main
а в нем смотрим параметр StartPage.
HKEY_USERS\S-1-5-21-....\Software\Microsoft\InternetExplorer\Main
а в нем смотрим параметр StartPage.
Ключ «S-1-5-21-….» приведен в качестве примера и может отличаться на разных машинах.
Смотрите эти параметры – если там www.xxx-ero.ru или что-то вроде этого, то немедленно удаляйте. Я посоветовал бы прописать в этом параметре about:blank и установить ему атрибут «чтение» - проблема со страничкой будет решена, ее никто не изменит и браузер всегда будет стартовать с пустой страницы.
Объекты типа кнопок, тулбаров и тп. регистрируются в этих ключах реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Explorer\Browser Helper Objects\
Здесь перечислены значения с именем равным CLSID загружаемого объекта. Если у вас нет помощников, то ключ должен быть пустым, если не пуст, то удаляйте и присваивайте атрибут «чтение», чтобы никто не смог там прописаться.
В ключе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
находим по CLSID раздел с именем загружаемого CLSID. В нем можно посмотреть параметры объекта, в том числе и путь до загружаемой библиотеки в параметре \InprocServer32\(По умолчанию)= «путь до загружаемого объекта»
Разделы реестра, отвечающие за загрузку программ, адреса интернет, загрузку BHO в Internet Explorer, также находятся в разделах HKEY_CURRENT_USER и HKEY_USER\.DEFAULT. Не забывайте проверять и их.

10. Смотрим дополнительно эти ключи реестра (так же в основном для Malware):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\URL\DefaultPrefix
Значение параметра по умолчанию должно быть "http://"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\URL\Prefixes
В нем должны находиться параметры со следующими значениями:
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"
Никаких адресов Интернет в этих адресах не должно находиться, если у Вас они там все же есть, то удаляйте, вводите значения по умолчанию и присваивайте указанным ключам атрибут «чтение».

11. При помощи встроенной утилиты netstat можно просмотреть открытые порты, как по TCP-, так и по UDP-протоколам. Запускать ее нужно в командной строке («Пуск» -> «Все программы» -> «Стандартные» -> «Командная строка») с ключом –а (чтобы были отражены все активные соединения по всем протоколам), вот так:
netstat –а

Троянские порты: http://www.xakep.ru/magazine/xs/007/027/1.asp
Имя трояна: |Порт:
Satanz Backdoor |666
Silencer |1001
WebEx |1001
Doly Trojan |1011
Psyber Stream Server |1170
Ultors Trojan |1234
VooDoo Doll |1245
FTP99CMP |1492
Shivka-Burka |1600
SpySender |1807
Shockrave |1981
BackDoor |1999
Trojan Cow |2001
Ripper |2023
Bugs |2115
Deep Throat |2140
The Invasor |2140
Phineas Phucker |2801
Masters Paradise |30129
Portal of Doom |3700
WinCrash |4092
ICQTrojan |4590
Sockets de Troie |5000
Sockets de Troie 1.x |5001
Firehotcker |5321
Blade Runner |5400
Blade Runner 1.x |5401
Blade Runner 2.x |5402
Robo-Hack |5569
DeepThroat |6670
DeepThroat |6771
GateCrasher |6969
Priority |6969
Remote Grab |7000
NetMonitor |7300
NetMonitor 1.x |7301
NetMonitor 2.x |7306
NetMonitor 3.x |7307
NetMonitor 4.x |7308
ICKiller |7789
Portal of Doom |9872
Portal of Doom 1.x |9873
Portal of Doom 2.x |9874
Portal of Doom 3.x |9875
Portal of Doom 4.x |10067
Portal of Doom 5.x |10167
iNi-Killer |9989
Senna Spy |11000
Progenic Trojan |11223
Hack?99 KeyLogger |12223
GabanBus |1245
NetBus |1245
Whack-a-mole |12361
Whack-a-mole 1.x |12362
Priority |16969
Millennium |20001
NetBus 2 Pro |20034
GirlFriend |21544
Prosiak |22222
Prosiak |33333
Evil FTP |23456
Ugly FTP |23456
Delta |26274
Back Orifice |31337
Back Orifice |31338
DeepBO |31338
NetSpy DK |31339
BOWhack |31666
BigGluck |34324
The Spy |40412
Masters Paradise |40421
Masters Paradise 1.x |40422
Masters Paradise 2.x |40423
Masters Paradise 3.x |40426
Sockets de Troie |50505
Fore |50766
Remote Windows Shutdown|53001
Telecommando |61466
Devil |65000
The thing |6400
NetBus 1.x |12346
NetBus Pro |20034
SubSeven |1243
NetSphere |30100
Silencer |1001
Millenium |20000
Devil 1.03 |65000
NetMonitor |7306
Streaming Audio Trojan | 1170
Socket23 |30303
Gatecrasher |6969
Telecommando |61466
Gjamer |12076
IcqTrojen |4950
Priotrity |16969
Vodoo |1245
Wincrash |5742
Wincrash2 |2583
Netspy |1033
ShockRave |1981
Stealth Spy |555
Pass Ripper |2023
Attack FTP |666
GirlFriend |21554
Fore, Schwindler |50766
Tiny Telnet Server |34324
Kuang |30999
Senna Spy Trojans |11000
WhackJob |23456
Phase0 |555
BladeRunner |5400
IcqTrojan |4950
InIkiller |9989
PortalOfDoom |9872
ProgenicTrojan |11223
Prosiak 0.47 |22222
RemoteWindowsShutdown |53001
RoboHack |5569
Silencer |1001
Striker |2565
TheSpy |40412
TrojanCow |2001
UglyFtp |23456
WebEx |1001
Backdoor |1999
Phineas |2801
Psyber Streaming Server|1509
Indoctrination |6939
Hackers Paradise |456
Doly Trojan |1011
FTP99CMP |1492
Shiva Burka |1600
Remote Windows Shutdown|53001
BigGluck |34324
NetSpy DK |31339
Hack?99 KeyLogger |12223
iNi-Killer |9989
ICQKiller |7789
Portal of Doom |9875
Firehotcker |5321
Master Paradise |40423
BO jammerkillahV |121

Вот ссылка на еще один ресурс, посвященный троянским портам: Trojan list. В левом столбике указаны порты, а в правом - трояны и черви их использующие (причем, перейдя по ссылке можно узнать больше информации о зловреде, правда инфра на ангельском).

Данный материал подготовлен с использованием статей (т.е. является их заимствованием и сборкой в единое целое ;) с небольшим добавлением отсебятины):
http://systemnews.com.ru/?mod=art&part=winall&id=006
http://systemnews.com.ru/?mod=art&part=winall&id=014
http://virusinfo.info/
http://www.citforum.ru/security/virus/lan_SXID/
http://www.diwaxx.ru/hak/poisk-virus.php
http://www.hackzona.ru/hz.php?name=News&file=article&sid=6372
http://www.softboard.ru/
http://www.viruslist.com/ru/viruses/encyclopedia

Далее речь пойдет о более сложных методах самостоятельного обнаружения вирусов.

12. Поиск подмененных файлов. Пойманный и убитый антивиром троянчик может оставить в системе долгую память о себе, например, подменив файл explorer.exe. Естественно новый файл будет содержать в себе и вредоносный код. Способов подмены множество, но хуже всего, когда две .exe-программы (законная и вредоносная) объединяются в одну, тогда и антивир ничего не сможет увидеть и мы будет думать, что все нормально.
Например, в Windows NT существует фишка с подменой скринсейвера – он всегда запускается с административными правами и, если заменить его своим файлом, то «дико продуманный» Windows NT, ничего не заметив, выполнит Вашу программу!

Необходимо проверить программы на наличие в них вируса при помощи файлового менеджера FAR (или Norton Commander). В коде программы ведется поиск строки:
This program cannot be run in DOS mode
или
This program must be run under Win32.
Одна из этих строк обязательно должна присутствовать в начале кода программы. Задача заключается в том, чтобы найти еще одну такую строку. Если строка найдена – значит, в этот файл внедрился вирус.
Зараженные файлы заменяются путем копирования на незараженные с другого ПК.
НИ В КОЕМ СЛУЧАЕ не делайте ДЕИНСТАЛЛЯЦИЮ зараженной программы – это может снова запустить вирус! Просто удалите ее папки и файлы (хотя не просто, а программой, которая наброситься на них, как Тузик на грелку) и почистите реестр. Если файлы не удаляются, то используйте программу Unlocker – она поможет Вам найти блокирующий дескриптор (так Вы можете определить какой процесс Вам мешает – см. п. 4) и удалить «неудаляемый» файл.

Существует полезная программа Security Task Manager ( http://www.neuber.com/taskmanager/ ). Все функции этой программы ориентированы на выявление потенциально опасных модулей, каковыми могут оказаться вирусы, трояны и малваре. Имеется возможность отправить процесс в карантин. С ее помощью Вы сможете просмотреть все процессы (причем она самостоятельно проверяет сигнатуры компонентов и некоторые характерные их признаки, отслеживает использование системных функций и на основе собранных данных оценивает степень опасности каждого процесса), а также получить море информации о процессе (электронные подписи, производителя, место и способ запуска и тп.). Кроме того, отдельно она покажет текстовые строки, содержащиеся в том или ином файле, в том числе и указанные:
This program cannot be run in DOS mode
или
This program must be run under Win32.

13. Просматриваем динамические загружаемые подозреваемой программой библиотеки (.dll):

Совет от Криса Касперски.
Дизассемблируем файл при помощи входящей в штатный комплект поставки любого Windows-компилятора утилиты DUMPBIN.
Запускаем ее со следующими ключами: «DUMPDIN /IMPORTS имя_файла» и получаем полные сведения о всех импортируемых данным файлом динамических библиотеках и API-функциях.
В Platform SDK того же самого компилятора можно узнать что делает каждая из dll. В частности, многие сетевые черви демаскируют себя тем, что импортируют библиотеку WS2_32.DLL, содержащую в себе реализации функций WINSOCKS.
Данные функции используют и легальные программы, но в любом случае, анализ импорта позволяет установить приблизительную функциональность программы. Однако вирус вполне может вызывать функции WINSOCKS и динамически, т.е. библиотеки в списке импорта просто будут отсутствовать.

Какие библиотеки использует программа можно просмотреть при помощи проги PETools http://www.uinc.ru/files/neox/PE_Tools.shtml
Если, к примеру, на фоне системных библиотек из %SYSTEMROOT% будет красоваться некая smt.dll с путем, уходящем, куда то в TEMP, то немедленно начинайте паниковать!
Необходимо перезагрузиться в безопасном режиме и удалить эту библиотеку, а затем опять вызвать PETools, кликнуть правой кнопкой мыши на найденном процессе и произвести пересборку файла.

При помощи PEiD http://peid.has.it/
производим массовое сканирование импортируемых библиотек. Библиотеки от Мicrosoft естественно написаны на visual C++ и ничем не упакованы, поэтому если мы видим упакованную или зашифрованную библиотеку то 99% это вредоносная программа. Проверить вирус это или нет очень просто, переместите в безопасном режиме библиотеку и посмотрите результат.

Если вы не нашли упакованную библиотеку, то полезно редактором ресурсов типа Restorator ( http://www.bome.com/Restorator/ ) посмотреть версии файла и разработчика – у всех библиотек от Microsoft там так и написано (M$, Microsoft Corporation, Корпорация Майкрософт).

14. Игра с расширениями файлов.
а). Не внимательного пользователя можно обмануть такой фишкой: «Порно.jpg .exe». Полагаю, что смысл ясен – пользователь видит расширение .jpg и думает, что это рисунок. Введению в заблуждение способствует и сама Windows, которая не хочет целиком показывать слишком длинные названия файлов, сокращая их отображение и заменяя продолжение названия троеточием: «Порно.jpg …».
б). Можно просто поменять расширение .exe, .bat и тп. на любое другое, что сути программы не поменяет. Некоторые программы очень хорошо распознают свои файлы, даже если те скрываются под другими расширениями. Поэкспериментируйте и Вы сами в этом убедитесь!
По умолчанию Windows XP не показывает расширения файлов. Для их отображения необходимо поступить так: «Пуск» -> «Мой компьютер» (или просто открываем любую папку) -> «Сервис» -> «Свойства папки…» -> открываем вкладку «Вид» -> убираем галочку напротив «Скрывать расширения для зарегистрированных типов файлов». Теперь ОС будет показывать после названия файла его расширение.

15. Совет от Криса Касперски.
Создайте наживку – файл .doc с названием, например, «номера кредитных карточек менеджеров фирмы» и отслеживайте обращения к нему других программ через:
а) свойства файла сверяя дату создания и изменения файла – если не совпадают – ищите заразу,
б) популярную оболочку FAR Manager – просто нажмите <Ctrl-5> для отображения полной информации о диске,
в) использование утилиты FileMon http://www.sysinternals.com
(по этому адресу можно скачать и RegMon и Process Explorer и многие другие полезные программки Марка Русиновича).
В этом случае необходимо отсеивать обращения к наживке самого пользователя.
От себя добавлю, что в Windows XP можно изменить способ отображения файлов в проводнике (например, зайти в свойства экрана и на вкладке «Оформление» установить «Классический стиль»), тогда Вы будете видеть как размер папок и фалов, так и дату их создания.

16. Отлов в реестре. Кроме просмотра указанных выше ключей реестра есть другие способы отлова вредоносного ПО при помощи реестра:
а) использование упоминавшейся ранее утилиты RegMon, которая в реальном времени отслеживает обращения программ к реестру,
б) делать и сравнивать снимки реестра (например, при помощи проги Reg Organizer),
в) если вы имеете опыт работы с отладчиками типа SoftIce, то можете поставить точку останова на доступ к реестру (bpx RegSetValueA, bpx RegSetValueExA) и проследить, какая программа, кроме стандартных, производит обращение к реестру.

17. Советы от Криса Касперски по удалению вирусов.
а). После удаления вируса необходимый файл восстанавливается из заранее созданной копии.
То есть после установки ОСи и всех программ создается резервная копия файлов (например, при помощи Nero BackItUp или встроенной в Windows программы архивации) или создается полная копия целого раздела, куда установлена ОСь (например, при помощи Acronis True Image).
б). Более надежный способ: загрузившись с заведомо стерильного CD-диска (или, на худой конец, дискеты), вы удаляете папки Windows (WINNT, WINDOWS) и Program Files, а затем начисто переустанавливаете операционную систему вместе со всеми приложениями.
Короче, надежнее «format C:\» с предварительной подготовкой (удалением системных папок и файлов) ничего нет ;)
В этом, а также во многих других случаях, поможет урезанная версия Windows – BartPE или WinPE, которую можно сделать самому при помощи программы PeBuilder: http://www.nu2.nu/pebuilder/
PeBuilder создает загрузочный CD или DVD диск с ядром операционной системы Windows XP/2003. Созданный ею ISO-образ прожигается, например, в Nero. Вместе с операционной системой можно записать некоторые приложения (антивирус, антишпион, файловый менеджер и т.д.). Процесс создания загрузочного CD/DVD очень прост: нужно лишь указать путь к полному дистрибутиву Windows, указать директорию, в которой будут созданы файлы для такого диска и запустить программу в работу.
Благодаря этому у Вас будет то, что уже давно существует в мире Linux и называется Live CD, при помощи которого можно загрузиться, получить доступ к папкам и файлам Windows, чтобы произвести восстановительные работы и вернуть убитую ОСь к жизни или стереть «неудаляемые» файлы.

18. Экстремальный способ лечения системы – заразить ее вирусом или трояном (смотря от чего лечим), способы удаления которого известны. Дело в том, что и вири и троянчики могут использовать одни и те же ресурсы, дыры в ОСи и ПО, следовательно для выживания необходимо сперва найти и устранить конкурентов, что и предусматривают в своих детищах некоторые вирмейкеры.
Кстати, такой метод лечения давно известен медицине - можете спросить об этом закомого врача (или своего терапевта). То есть клин вышибаем клином, а против лома нет приема, если нет другого лома! :)

P.S.: очень интересные и очень полезные советы от имени весьма симпатичной девушки Saule по поводу защиты компьютера и удаления различного вредоносного ПО можно прочитать здесь:
http://www.softboard.ru/index.php?showtopic=37015
Еще советы по обнаружению и удалению вредоносного ПО:
http://virusinfo.info/showthread.php?t=2676
http://z-oleg.com/secur/advice/index.php
http://z-oleg.com/secur/articles/spyhunt.php


Надыбил еще советики по обеспечению безопасности рабочей станции... Касаются они, в основном, работы с почтой:

1. Не используйте почтовики на базе браузера Internet Explorer (Мелкософтсткие АутГлюки: Microsoft Outlook, Outlook Express) и тем более не сохраняйте письма на своем винчестере!
Трабл заключается в следущем, дырявый IE позволяет испольнять вредоносный код даже если Вы не открыли письмо с вредоносным приложением!!!
Юзайте другие почтовики (напр., Mozilla Thunderbird - есть множество и других замечательных почтовых клиентов, просто Мозилка бесплатна (open source), кроме того, я плохо знаю другие почтовики :) ). Кстати, у меня всегда установлена Мозилка, но не настроена, т.к. мне просто удобнее просматривать письма через браузер - заходя на почтовый сервис (согласен, за мной косяк :) ). Однако принцип тот же - пока я не кликну по ссылке, браузер не будет загружать письмо. Установленная и поставленная в WinXP Мозилка в качестве почтовика по умолчание может пресечь рассылку (у меня же она не настроена :) ), однако ее использование вирями маловероятно - проще использовать АутГлюки.
Более того, в одном из самых безопасных на сегодняшний день браузеров Opera (с гибкими настройками, направленными на обеспечение безопасности) есть собственный встроенный почтовый клиент - очень удобно (это не реклама - совет, найду более надежный - буду советовать его).

2. Не качайте своим почтовиком все письма себе на хард (т.е. на свой комп) - настройте так, чтобы он скачивал только заголовки писем (или тему), чтобы Вы были в курсе - от кого письмо и о чем оно, так проще отсеять спам.
Зачем качать себе спам, да еще и с вложениями? Берегите трафик и обеспечьте безопасность своего комьютера! Пусть все письма храняться на почтовом сервисе (обидно будет если скрадут Ваш пароль и ящик окажется недоступным, но еще страшнее формат винчестера с последующей перестановкой ОСи - точно все контакты потеряете и не только!).

3. Заводите аккаунты на почтовых сервисах, где по умолчанию отсеивается спам и все вложения проверяются антивирусом!
Заведите несколько таких почтовых ящиков и организуйте продуманную систему переадрасации писем с одного на другой. Это займет большее время доставки письма, но поверьте - оно того стоит!
К примеру, заводим аккаунт на сервисе, где происходит проверка при помощи Каспера и есть спам-фильтр. Этот емейл впруживаем везде и всем, не боимся регистрироваться на сайтах с этим емейл. С этого аккаунта переадресуем письмо на другой, где письмо и вложения проверяются Dr. Web и спам-фильтром. Далее переадресуем письмо на самый надежный сервис - тоже с антивиром и спам-фильтром, где своим почтовиком подбираем письмо. А на компе письмо уже ждет avast!
Такую систему можно обойти, но, полагаю, надо попотеть, чтобы заставить шпиона проследить весь путь - в общем, железно!
Сама идея не моя, кого благодарить - не помню, как то давно вычитал в одном компьютерном журнале (не помню каком).

4. Доводы в защиту использования ограниченной учетной записи.
Процессы, используемые WINDOWS XP, работают под учетной записью system (системная учетка) с большим набором прав! Процессы, запускаемые пользователем, работают от его имени и с правами, которыми обладает сам пользователь.
Если пользователь является администратором, то все запущенные от его имени процессы обладают неограниченными правами, в том числе и вирус (троян, шпиончик и прочая дрянь). В результате этого, в случае заражения и вирус и антивирус и файерволл обладают равными правами, кроме того, учтите - антивирус и файерволл в случае заражения защищаются (если умеют)!
Результат такой борьбы - тормоза при работе компьютера, падение производительности, глюки и тп.
Таким образом, вирус может отлючить файерволл, антивирус и др. программы, оставив Ваш комп без защиты!
Если работать под ограниченной учетной записью, то ситуация меняется кардинальным образом! Кроме запрета самой ОСью производить запись ограниченного пользователя в некоторые системные каталоги (что само по себе защищает от действий вредоносного ПО), антивирус и файерволл, как установленные под админом (иначе нельзя), работают под учеткой system! А вирус (в случае заражения во время использования ограниченной учетки) действует от имени ограниченного пользователя, то есть сильно ограничен в правах в силу запретов, налагаемых самой ОСью. В этом случае он не сможет побороться с антивиром на равных!
Например, у меня под учеткой пользователя службы avast!, а также файерволл запускаются и работают от имени SYSTEM. Однако остается возможность оключить резидентный сканер антивируса вручную (но часть процессов avast! по любому остается и работает). Файер тоже просто так не сдается, говорит: "Мониторинг процессов и правила доступа в Интернет продолжат свою работу" и линяет из трея, оставляя свои процессы в памяти компьютера!
Согласитесь - надежно! (железно, брутально, вилы :) ).
Кстати, за разгарничение прав пользователей мы должны благодарить мир Unix (и выросших из него ОС Linux, *BSD).
Open sorce - rules! ;)


Надыбил еще полезных ссылочек про браузеры (спасибо Крису Касперски и ж-лу "Хакер" за декабрь 2006):
- большой список существующих в природе браузеров: List of web browsers,
- сравнение различных браузеров по различным основаниям: Comparison of web browsers.
Вообще, Wikipedia - очень полезная энциклопедия! :)


Далее я хочу обобщить способы удаления файлов (вирусав, троянов и прочей малвари). Некоторые из них уже изложены выше и неоднократно приводились в топиках форумов avast!, но для удобства решил соединить их в одном сообщении.

1. Выделяем нужный файл и удерживая "Shift" жмем "Delete" или "BackSpace". Таким способом файл будет удален минуя корзину. Однако следует помнить, что любое удаление средствами Windows не удаляет физически файл с винчестера, просто ОС его не видит (и пользователь думает, что файла нет). На самом деле ОС просто помечает кластер как свободный и файл будет удален только когда на этот кластер будет произведена запись другой информации.
2. Для окончательного удаления файла необходимо использовать специальные програмки.
Например, после стандартного удаления файла средствами ОС можно использовать програму Acronis Privacy Expert Suite, которая очистит свободное пространство на винчестере.
Кроме того, можно использовать специальные шредеры (один из которых встроен в уже названную Acronis Privacy Expert Suite) как Ultrashredder.
3. Можно использовать небольшую программу Unlocker. Представьте ситуацию - Вы хотите удалить файл, а ОС говорит, что он занят и не может быть удален. Unlocker найдет найдет блокирующий дескриптор, освободит файл от процесса и удалит его. Таким же способом можно узнать какой процесс отвечает за невозможность удаления файла вируса (а далее по цепочке, зная процесс, можно при помощи Process Explorer найти еще одну вирусную .dll или .exe).
4. Как это не удивительно, но для удаления файлов вируса можно использовать.... антивирус! (для чего он, собственно, и задуман). Кстати, в борьбе с троянами не надо рассчитывать только на силу одного антивируса, со многими из них очень хорошо расправляются различные антиспайваре.
5. Перезагружаемся в безопасный режим (ПУСК -> Выключение -> Перезагрузка, ждем когда комп выключится и включится внось, а затем появиться черный экран BIOS -> с периодичностью 3 раза в 1 секунду жмем "F8" -> появиться список возможных способов загрузки ОС -> выбираем "Безопасный режим" (Safe mode). В этом режиме ОС не запускает все сервисы, а только необходимые; не загружаются также и программы из автозагрузки и ключей реестра RUN, RUNONCE и тп., т.е. ОС работает в защищенном режиме. Этим можно воспользоваться и удалить необходимый файл.
6. Подобного эффекта (как в п.5) можно добиться и таким путем. ПУСК -> Выполнить... -> msconfig (или нажимаем одновременно "Windows" (это кнопка с логотипом окон, располагается обычно между "Ctrl" и "Alt") и "R" (это при латинской раскладке, а при кириллистической - "К") -> msconfig. В появившемся окне на вкладке "Общее" выбираем "Диагностический запуск" или "Выборочный запуск" (где убираем галочку напротив автозагрузки). Перезагружаемся, удаляем файл. При помощи msconfig (на вкладке "Автозагрузка" можно просмотреть программы, автоматически загружаемые
ОС, среди них могут оказаться и вирусы и трояны). Однако экспериментировать с msconfig не следует - возникнут проблемы!
7. Хороший способ подсказал sidrom. При загрузке ОС не только запускает службы, но и некоторые программы, чем иногда пользуются вирмейкеры. Этим же можем воспользоваться и мы. Создадим батник (файл с расширением "*.bat"), при помощи которого ОС при загрузке удалит файл(ы).
Создаем текстовый документ, открываем его и пишем:

title erase
echo Erasinf file
erase <>
exit

, где <> - путь к файлу и его название (например, C:\WINDOWS\system32\Erase.txt).
Сохраняем файл и меняем расширение с .txt на .bat
Теперь такой файл надо прописать в автозагрузку. Здесь два пути:
а) ПУСК -> Все программы -> Автозагрузка, кликаем правой кнопкой -> Открыть, перемещаем в автозагрузку свой батник,
б) ПУСК -> Выполнить... -> regedit, HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows -> CurrentVersion -> RunOnce, создаем строковый параметр (REG_SZ) с именем erase и со значением <> (т.е. указываем путь к созданному нами батнику и его название).
Перезагружаемся. Во время загрузки видим как быстро мелькает окно с названием "erase". Идем в директорию, где лежат файлы, которые нам надо удалить, смотрим - их там нет.
Подобный способ используют и вирмейкеры для запуска своих вирусов\троянов\спайваре (однако есть более изощренные способы, например, через rundll), только если в созданном нами батнике указать "@echo off" вместо "echo", то все процедуры пройдут незаметно для пользователя, т.е. окно с названием "erase" не будет показано!
Чуть больше о пакетных файлах, а также о способах автоматической установки Windows, можно прочесть здесь: unattended.OSzone.net, за что благодарим Vadikan'а ;)
8. При помощи ранее указанной утилиты BartPE создаем урезанную версию Windows, прожигаем ее на CD, грузимся с этого сиди и получаем доступ к файлам на своем винчестере с возможностью их беспрепятственного удаления.
9. Если есть второй раздел на винчестере, то устанавливаем еа него вторую копию Windows. Перезагружаемся во вторую копию, получаем доступ к файлам первой с возможностью их беспрепятственного удаления.
10. Форматируем винчестер, устанавливаем ОС снова :)
Наверное, есть и другие способы.

Для чего нужна перезагрузка ОС? Дело в том, что процессор выполняет любой код только в оперативной памяти, поэтому либо сам вирус, либо его процесс всегда находиться в оперативной памяти. Перезагрузка освобождает оперативную память от вируса(ов) или его\их процесса(ов).


Просто нет слов, чтобы описать ценность инфры на bugtraq.ru
Спасибо, mindw0rk, за то, что своей статьей ткнул носом в нужном направлении.
Итак: кто такие "скрипткидисы" (script kiddies); основы их психологии, какие средства они используют для взлома; как они заметают следы; как обнаружить их атаку и как их поймать; что такое "медовая сеть" (honeynet), - все это можно узнать прочитав перевод цикла статей бравового вояки Лэнса Спитзнера: Документы проекта Honeynet.


Еще (если напечатать это слово латиницей, то получим имя Древнеегипетского божества - TOT'а - бога мудрости и знания!) одна тема - файл hosts.
Примерно этот файл должен выглядеть так:
Цитата
# © Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.

127.0.0.1 localhost

По умолчанию ничего больше там не должно присутсвовать. Если есть что-то, что Вы самостоятельно не внесли, то есть повод для беспокойства.

P.S.: пользователям ZoneAlarm настоятельно рекомендую добавить в файл hosts (C:\WINDOWS\system32\drivers\etc) следующую строку:
127.0.0.1 www.zonelabs.com
Так Вы обезопасите себя от пересылки информации с Вашего компа на сайт ZoneAlarm. Причем помните, что в этом случае Вы не сможете обновлять этот файер. Для обновления удалите указанную строку (но не забудьте после обновления добавить ее вновь..).


Еще линки на статьи по самолечению:
Эволюция технологий самозащиты вредоносных программ,
Технологии обнаружения вредоносного кода.


P.P.S.: форумчане, посетители, у кого тоже советы, собственный опыт в удалении вирусов вручную - оставляйте здесь свои посты, не жадничайте - делилитесь своим опытом, оставляйты ссылки на найденные в сети советы, корректируйте данные здесь советы, оставляйте свое мнение по поводу того или иного метода... Для этого и открыта эта тема.
Прежде чем задать вопрос, прочтите FAQ и воспользуйтесь поиском по форуму.
Советы и рекомендации от bRed.

Хотелось бы добавить две небольшие фишки(с разрешения хозяина ветки :) ):
1 Некоторые зловреды используют файл hosts в своих злобных целях. Чтобы не попасться на это,нужно переименовать его в например, hostsX. И все. Зловред его не найдет. На работе системы это НЕ ОТРАЖАЕТСЯ.

2 Если после лечения от вируса у вас не запускаются файлы-можно восстановить ассоциации системы с расширениями. Т.е. восстановить умолчание. Как ни странно, это требуется далеко не редко. Так вот:
Код
REM Restore Default File Associations for Windows XP.

Echo Restoring Default File Associations

assoc.323=h323file
assoc.386=vxdfile
assoc.aca=Agent.Character.2
assoc.acf=Agent.Character.2
assoc.acs=Agent.Character2.2
assoc.acw=acwfile
assoc.ai=
assoc.aif=AIFFFile
assoc.aifc=AIFFFile
assoc.aiff=AIFFFile
assoc.ani=anifile
assoc.aps=
assoc.asa=aspfile
assoc.ascx=
assoc.asf=ASFFile
assoc.asm=
assoc.asmx=
assoc.asp=aspfile
assoc.aspx=
assoc.asx=ASXFile
assoc.au=AUFile
assoc.AudioCD=AudioCD
assoc.avi=avifile
assoc.bat=batfile
assoc.bfc=Briefcase
assoc.bin=
assoc.bkf=msbackupfile
assoc.blg=PerfFile
assoc.bmp=Paint.Picture
assoc.bsc=
assoc.c=
assoc.cab=CLSID\{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}
assoc.cat=CATFile
assoc.cda=CDAFile
assoc.cdf=ChannelFile
assoc.cdx=aspfile
assoc.cer=CERFile
assoc.cgm=
assoc.chk=chkfile
assoc.chm=chm.file
assoc.clp=clpfile
assoc.cmd=cmdfile
assoc.cnf=ConferenceLink
assoc.com=comfile
assoc.cpl=cplfile
assoc.cpp=
assoc.crl=CRLFile
assoc.crt=CERFile
assoc.css=CSSfile
assoc.csv=
assoc.CTT=MessengerContactList
assoc.cur=curfile
assoc.cxx=
assoc.dat=
assoc.db=dbfile
assoc.dbg=
assoc.dct=
assoc.def=
assoc.der=CERFile
assoc.DeskLink=CLSID\{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}
assoc.dib=Paint.Picture
assoc.dic=
assoc.diz=
assoc.dll=dllfile
assoc.dl_=
assoc.doc=WordPad.Document.1
assoc.dos=
assoc.dot=
assoc.drv=drvfile
assoc.dsn=MSDASQL
assoc.dun=dunfile
assoc.DVD=DVD
assoc.emf=emffile
assoc.eml=Microsoft Internet Mail Message
assoc.eps=
assoc.exe=exefile
assoc.exp=
assoc.ex_=
assoc.eyb=
assoc.fif=
assoc.fnd=fndfile
assoc.fnt=
assoc.Folder=Folder
assoc.fon=fonfile
assoc.ghi=
assoc.gif=giffile
assoc.grp=MSProgramGroup
assoc.gz=
assoc.h=
assoc.hhc=
assoc.hlp=hlpfile
assoc.hpp=
assoc.hqx=
assoc.ht=htfile
assoc.hta=htafile
assoc.htc=
assoc.htm=htmlfile
assoc.html=htmlfile
assoc.htt=HTTfile
assoc.htw=
assoc.htx=
assoc.hxx=
assoc.icc=icmfile
assoc.icm=icmfile
assoc.ico=icofile
assoc.idb=
assoc.idl=
assoc.idq=
assoc.iii=iiifile
assoc.ilk=
assoc.imc=
assoc.inc=
assoc.inf=inffile
assoc.ini=inifile
assoc.ins=x-internet-signup
assoc.inv=
assoc.inx=
assoc.in_=
assoc.isp=x-internet-signup
assoc.its=ITS File
assoc.IVF=IVFFile
assoc.java=
assoc.jbf=
assoc.jfif=pjpegfile
assoc.job=JobObject
assoc.jod=Microsoft.Jet.OLEDB.4.0
assoc.jpe=jpegfile
assoc.jpeg=jpegfile
assoc.jpg=jpegfile
assoc.JS=JSFile
assoc.JSE=JSEFile
assoc.latex=
assoc.lib=
assoc.lnk=lnkfile
assoc.local=
assoc.log=txtfile
assoc.lwv=LWVFile
assoc.m14=
assoc.m1v=mpegfile
assoc.m3u=m3ufile
assoc.man=
assoc.manifest=
assoc.MAPIMail=CLSID\{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}
assoc.mdb=
assoc.mht=mhtmlfile
assoc.mhtml=mhtmlfile
assoc.mid=midfile
assoc.midi=midfile
assoc.mmf=
assoc.mmm=MPlayer
assoc.mov=
assoc.movie=
assoc.mp2=mpegfile
assoc.mp2v=mpegfile
assoc.mp3=mp3file
assoc.mpa=mpegfile
assoc.mpe=mpegfile
assoc.mpeg=mpegfile
assoc.mpg=mpegfile
assoc.mpv2=mpegfile
assoc.msc=MSCFile
assoc.msg=
assoc.msi=Msi.Package
assoc.msp=Msi.Patch
assoc.MsRcIncident=MsRcIncident
assoc.msstyles=msstylesfile
assoc.MSWMM=Windows.Movie.Maker
assoc.mv=
assoc.mydocs=CLSID\{ECF03A32-103D-11d2-854D-006008059367}
assoc.ncb=
assoc.nfo=MSInfo.Document
assoc.nls=
assoc.NMW=T126_Whiteboard
assoc.nsc=
assoc.nvr=
assoc.nws=Microsoft Internet News Message
assoc.obj=
assoc.ocx=ocxfile
assoc.oc_=
assoc.odc=
assoc.otf=otffile
assoc.p10=P10File
assoc.p12=PFXFile
assoc.p7b=SPCFile
assoc.p7c=certificate_wab_auto_file
assoc.p7m=P7MFile
assoc.p7r=SPCFile
assoc.p7s=P7SFile
assoc.pbk=pbkfile
assoc.pch=
assoc.pdb=
assoc.pds=
assoc.pfm=pfmfile
assoc.pfx=PFXFile
assoc.php3=
assoc.pic=
assoc.pif=piffile
assoc.pko=PKOFile
assoc.pl=
assoc.plg=
assoc.pma=PerfFile
assoc.pmc=PerfFile
assoc.pml=PerfFile
assoc.pmr=PerfFile
assoc.pmw=PerfFile
assoc.pnf=pnffile
assoc.png=pngfile
assoc.pot=
assoc.pps=
assoc.ppt=
assoc.prf=prffile
assoc.ps=
assoc.psd=
assoc.psw=PSWFile
assoc.qds=SavedDsQuery
assoc.rat=ratfile
assoc.rc=
assoc.RDP=RDP.File
assoc.reg=regfile
assoc.res=
assoc.rle=
assoc.rmi=midfile
assoc.rnk=rnkfile
assoc.rpc=
assoc.rsp=
assoc.rtf=rtffile
assoc.sam=
assoc.sbr=
assoc.sc2=
assoc.scf=SHCmdFile
assoc.scp=txtfile
assoc.scr=scrfile
assoc.sct=scriptletfile
assoc.sdb=appfixfile
assoc.sed=
assoc.shb=DocShortcut
assoc.shs=ShellScrap
assoc.shtml=
assoc.shw=
assoc.sit=
assoc.snd=AUFile
assoc.spc=SPCFile
assoc.spl=ShockwaveFlash.ShockwaveFlash
assoc.sql=
assoc.sr_=
assoc.sst=CertificateStoreFile
assoc.stl=STLFile
assoc.stm=
assoc.swf=ShockwaveFlash.ShockwaveFlash
assoc.sym=
assoc.sys=sysfile
assoc.sy_=
assoc.tar=
assoc.text=
assoc.tgz=
assoc.theme=themefile
assoc.tif=TIFImage.Document
assoc.tiff=TIFImage.Document
assoc.tlb=
assoc.tsp=
assoc.tsv=
assoc.ttc=ttcfile
assoc.ttf=ttffile
assoc.txt=txtfile
assoc.UDL=MSDASC
assoc.uls=ulsfile
assoc.URL=InternetShortcut
assoc.VBE=VBEFile
assoc.vbs=VBSFile
assoc.vbx=
assoc.vcf=vcard_wab_auto_file
assoc.vxd=vxdfile
assoc.wab=wab_auto_file
assoc.wav=soundrec
assoc.wax=WAXFile
assoc.wb2=
assoc.webpnp=webpnpFile
assoc.WHT=Whiteboard
assoc.wk4=
assoc.wll=
assoc.wlt=
assoc.wm=ASFFile
assoc.wma=WMAFile
assoc.wmd=WMDFile
assoc.wmf=wmffile
assoc.wmp=WMPFile
assoc.wms=WMSFile
assoc.wmv=WMVFile
assoc.wmx=ASXFile
assoc.wmz=WMZFile
assoc.wpd=
assoc.wpg=
assoc.wri=wrifile
assoc.wsc=scriptletfile
assoc.WSF=WSFFile
assoc.WSH=WSHFile
assoc.wsz=
assoc.wtx=txtfile
assoc.wvx=WVXFile
assoc.x=
assoc.xbm=
assoc.xix=
assoc.xlb=
assoc.xlc=
assoc.xls=
assoc.xlt=
assoc.xml=xmlfile
assoc.xsl=xslfile
assoc.z=
assoc.z96=
assoc.zap=zapfile
assoc.ZFSendToTarget=CLSID\{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}
assoc.zip=CompressedFolder

Echo Default File Associations Restored

Нужно скопировать этот текст в блокнот(никаких других текстовых редакторов! Программисты знают почему.), сохранить как,например fixXP.bat, и запустить.
Может пригодится после деинсталяции криво написанной проги.

Очень удобная программа для контроля за чистотой системы и борьбы с вирусней: hijackthis
Как сделать лог-разберетесь(или можно почитать в моей подписи),а вот это нужно для расшифровки:
Цитата

R0, R1, R2, R3 - Изменения в реестре, касающиеся начальной и поисковых страниц Internet Explorer
N1, N2, N3, N4 - Изменения в реестре, касающиеся начальной и поисковых страниц Netscape/Mozilla
F0, F1, F2, F3 - Автозагрузка программ и приложений из ini-файлов
O1 - Изменения в файле Hosts
O2 - (BHO) Browser Helper Objects
O3 - Internet Explorer Тoolbars
O4 - Автозагрузка программ из реестра или Startup
O5 - Опции Internet Explorer невидимые на Панели Управления
O6 - Опции Internet Explorer, ограниченные Администратором (Policies)
O7 - Доступ к Regedit, ограниченный Администратором (Policies)
O8 - Дополнительные пункты Internet Explorer в "right-click" меню
O9 - Дополнительные кнопки на главной панели инструментов IE
O10 - Winsock
O11 - Дополнительные опции в расширенном меню загрузки IE
O12 - Плагины Internet Explorer
O13 - IE Default Prefixes
O14 - Изменения в файле IERESET.INF
O15 - Сайты, добавленные в Trusted Zone
O16 - Файлы, загруженные с помощью ActiveX
O17 - Домен (Domain)
O18 - Перечисление существующих протоколов и фильтров
O19 - Style Sheet пользователя
O20 - AppInit_DLLs
O21 - (SSODL) Shell Service Object Delay Load
O22 - Shared Task Scheduler (Планировщик задач)
O23 - Сервисы Windows NT
Как пользоваться прогой тоже можно прочитать в моей подписи.
ОСТОРОЖНО! В интернете все чаще появляются зловреды с руткитами, способные обмануть HijackThis!
Прежде чем задать вопрос, прочтите FAQ и воспользуйтесь поиском по форуму.
Прошу прощения у bRed и D'Dragon за то что перенес их сообщения на этот форум без предварительного согласования. Если что - пишите, plz, в личку на старом форуме - усе поправим ;)
Прежде чем задать вопрос, прочтите FAQ и воспользуйтесь поиском по форуму.
Очень часто заражения идёт через флэшки, чтобы этого избежать лучше всего откравать флэшки через Far Manager там сразу видно есть вирус или нет + вирус не активируется и его можно спокойно удалить.

И ещё одно очень простой и одновременно гинеальный способ защиты своей флэшки от вирусов
(автор способа D'Dragon):
Создаёш на флэшки файл AUTORUN.INF и прописываеш в нём:

[autorun]
icon=D'Dragon\D'Dragon (ico1).ico
Label=D'Dragon

Сохраняеш изменения и вытаскиваеш флэшку, когда ты её снова вставишь вместо "Сёмный диск ( Х: )" будет "D'Dragon ( Х: )" + иконка. Теперь когда ты вставляеш флэшку в заражённый ПК файл AUTORUN.INF затирается вирусом и ты снова видиш "Сёмный диск ( Х: )", после чего с флэшки надо удалить вирус можно тем же Far-ом, и снова записать на него AUTORUN.INF, удобнее всего если файл AUTORUN.INF будет находится на флэшки в корне и в какой то др. папки чтобы когда вирус затрёт его можно было бы востановить.

Если переформатиравать флэшку в NTFS и задать в свойствах файла AUTORUN.INF "Только чтения", а потом на вкладке Безопасность (всем пользователям) запретить "Запись", то файл AUTORUN.INF нельзя будет удолять, изменять и перезаписывать и большенство вирусов (кроме очень продуманных) не смогут заразить флэшку. Что самое главное это работает не только на том ПК на котором были произведины эти операции но и на всех остальных (дело в файловой системе, а она на флэшки).

Таким образом флэшка будет зашишена от большенства вирусов (а если вирус всё таки перезапишет AUTORUN.INF то это сразу будет видно так как вид отображения флэшки изменица)

Этот способ работает к сожелению не со всеми вирусами (но с большенством работает безотказно). В Label можно прописать всё что угодно тогда отображатся будут не D'Dragon, icon можно вообще не прописывать (просто с ней красивее) путь который ты указываеш должен быть на флэшки то есть в расмотренном случае будет выгледит как Х:\D'Dragon\D'Dragon (ico1).ico.

P.S. Для того чтобы отфаромтирывать флэшку в NTFS заходиш в Диспечер устройств => Находишь флэшку => Свойства => На вкладке "Политика" выбиреашь "Оптимизирывать для выполнения", достаёш флэшку снова всталяеш и всё появляется возможность форматирывать в NTFS.

Ну вот и все теперь вероятность заразится с флэшки уменьшилась где то до 1-5%.

Всем Удачи.
Мир духов рядом, дверь не на запоре,
Но сам ты слеп, и все в тебе мертво.
Умойся в утреней заре, как в море,
Очнись, вот этот мир , войди в него.
Я так понял надо переносить со старого форума советы и примочки. Вот,переношу:
Очень хорошая программа для отключения срабатывания файла автозапуска autorun.inf:
Цитата

Скачайте :
TweakUI
Установите. (Находим через пуск-программы)
Откроем.
Найдём My Computer
Под Autoplay найдём Drives.
ВСЕ ГАЛОЧКИ СНЯТЬ!
Под Autoplay тоже найдём:
Types. ВСЕ ГАЛОЧКИ СНЯТЬ!

Apply (применить) и OK.
Перезагрузить комп.

Хорошо помогает. Еще в дополнение мне советовали сделать изменение в реестре:
Совет от p2u:
Цитата

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
"NoFolderOptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
сохраняем в блокноте и меняем расширение на .reg Запускаем и перезагружаем систему.
Существуют специальные программы для защиты от авторанов. Вот некоторые из них.
FlashGuard - запускается при входе пользователя в систему и следит за дисками. Когда вставляется новый носитель (компакт-диск например) или добавляется новый диск(вставляется флэш-брелок) Flash Guard может совершать такие действия:
- Удалить добавленные файлом Autorun.inf пункты контекстного меню диска
- Информировать пользователя о наличии на диске файла Autorun.inf
- Удалить файл Autorun.inf
- Удалить все файлы Autorun.*
Поведение программы полностью настраивается пользователем. Удаление добавочных пунктов меню - это главная особенность программы. Таким образом вы даже можете не удалять вирус с флэш диска и при этом открывать его в Проводнике, не заражая свой компьютер. Имеется возможность создать список исключений - "легальных" файлов autorun.inf, которые будут игнорироваться программой.
Анти-ауторан - многофункциональная программа, справляется не только с авторанами, но и с вирусами-вымогателями; завершает все посторонние процессы Windows; может создать аварийный диск.
Производители антивируса Panda предлагают свою специальную утилиту для защиты ПК и флэшек от заражения через autorun.inf - это Panda USB and AutoRun Vaccine. Данная программа предлагает двойной уровень превентивной защиты, позволяя пользователям отключить функцию автозапуска на компьютерах, USB-устройствах и других устройствах:
а) Vaccine for computers: Это «вакцина» для компьютеров для предотвращения запуска любого файла AutoRun вне зависимости от того, инфицировано устройство или нет (карты памяти, CD и пр.).
б) Vaccine for USB devices: Это «вакцина» для съемных USB-устройств, предотвращающая от ситуаций, когда файл AutoRun становится источником инфицирования. Главное, что утилита отключает этот файл таким образом, что он не может быть прочитан, модифицирован или перемещен вредоносным кодом.
Ну и анекдот в тему:

Цитата
Так, установка связи с узлом:
- Хозяин!
- Чего тебе?
- Ты опять в Интернет?
- Опять.
- Не ходи, хозяин!
- Это почему же?
- Опасно!
- Глупости!
- Серьезно! Там хакеры, вирусы всякие. Не ходи!
- Хватит болтать, лучше связь устанавливай.
- Как скажешь, хозяин, мое дело маленькое. Пароль для входа давай.
- Пароль? Я же в прошлый раз просил запомнить!
- Опасно!
- Почему?
- А вдруг кто-то другой захочет зайти?
- Кто другой?
- Тс-сс! Злоумышленник, хулиган компьютерный!
- Какой хулиган? Откуда? Это же домашний компьютер!
- В жизни оно всякое бывает. Вдруг кто-то за спичками придет - ты на кухню, а он - за компьютер, раз - и в Интернет.
- За какими спичками? Нет у меня никаких спичек. У меня зажигалка!
- Не важно, тогда за солью.
- Что ты мне голову морочишь - спички, соль. Вот пароль - ****. Заходи, давай!
- Эх, пароль-то какой маленький. Враз взломают!
- ЗАХОДИ!
- Понял, понял! Я что, я ничего! Вот, пожалуйста, зашел!
- А почему домашнюю страничку не грузишь?
- Опасно!
- Почему?!
- Там фреймы.
- Ну и что?!!!
- А вдруг ты в навигации запутаешься?
- Да я же сто раз тут был!
- А на сто первый и запутаешься. В жизни оно всякое бывает!
- Ладно, тогда вот эту загружай.
- Опасно!
- Тоже фреймы?
- Нет, кукисы.
- А это чем плохо?
- Как чем? Откуда ты знаешь, что они на твоем компьютере сохранить хотят? А вдруг это тайная метка?
- Тайная метка? Бред какой-то. Хорошо, я уже запретил сохранять, грузи.
- Все равно не буду грузить.
- Что?!
- Там скрипты.
- СКРИПТЫ!!!!
- Да, скрипты. Очень опасно!
- ПОЧЕМУ?!!!
- А вдруг ошибка при выполнении сценария?
- И ЧТО?!!!
- И сразу окна, окна! Пять, десять, нет, двадцать окон! По всему экрану! А потом все зависнет!
- ХОРОШО!!! Не надо эту!!! Давай другую!
- Нет!
- НЕТ?!
- Там флэш.
- И ЧТО?
- Плеер нужен.
- ТАК СКАЧАЙ!
- Нет!
- НУ, ПОЧЕМУ?!!
- Опасно! Мало ли что они тебе под видом этого плеера установят. Осторожность никогда не помешает.
- Ну, загрузи уже хоть что-нибудь!!!
- Вот, пожалуйста.
- Что это?
- Домашняя страничка Маши Синичкиной.
- ?!!!
- Безопасно - ни фреймов, ни скриптов, ни кукисов, ни, страшно, подумать, флэша какого.
- А мне это зачем???
- Ты же сам просил что-нибудь, вот я и нашел.
- Понятно! Убери это! Давай что-нибудь другое!
- А больше ничего нет.
- Тогда хоть почту проверь!
- Никогда!
- А-ааа!!!
- Опасно. Почтовый вирус. Проникнет в систему, все уничтожит.
- ВСЕ!!! Ты меня достал!!! Я тебя удаляю!!!
- Как скажешь, хозяин. Мое дело маленькое. Пароль давай.
- КАКОЙ ПАРОЛЬ!!!
- На уничтожение.
- А разве нужен пароль?
- Конечно! Считаю до трех.
- Странно, раньше никакие пароли не требовались.
- Раз.
- Ты чего?
- Два.
- Стой!
- Три.
- Я передумал! Оставайся!
- Поздно! Я все понял! Ты не мой хозяин!
- Ты что?
- Ты злоумышленник, хулиган компьютерный!
- Какой хулиган???
- А я предупреждал! Ничего! Враг не пройдет!
- Что ты делаешь!
- Отсоединяюсь!
- Подожди!
- Отключаю мышку и клавиатуру!
- Зачем?!
- Форматирую диск С!
- НЕ НАДО!!!
- Осторожность никогда не помешает!
Прежде чем задать вопрос, прочтите FAQ и воспользуйтесь поиском по форуму.
Перечитывал сегодня форум по лечению (раз уж занесло меня сюда со своей просьбой) и наткнулся на ссылку в эту тему. Хочу добавить еще одно средство для защиты флэшек. Простое и достаточно эффективное (не 100 процентов конечно). Мы в своем окружении используем его уже много лет.
На флэшке создаются каталоги с именами
Цитата
autorun.inf
recycled.exe
и файлы с именами
Цитата
quarantine
recycled
recycler
restore
Все эти каталоги и файлы с атрибутами Read only, System, ну и Hidden, чтобы обычным людям не мешались.
Всего-то, что требуется вирусу - это перед созданием своих файлов удалить одноименные, но не у всех получается справится с атрибутами. Сам наблюдал пару раз безуспешную борьбу какого-то вируса с этим способом.
Набор этих имен потихоньку пополнялся при появлении новых, на сегодня он у нас такой.
Изменено: Андрей Хмелевский - 27.12.2012 16:05:42
А зачем? У меня на компах отключены автозапуски, включены показы скрытых файлов, расширения и т.п. нах надо искать че-нить?

Страницы: 1
Методики удаления вредоносного ПО (сам себе антивир)

Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)

Электронная почта: info@avsoft.ru
Контактная информация

© 2004-2013 Авсофт
Rambler's Top100 Я принимаю Яндекс.Деньги