Comments 41
Спасибо за статью. В принципе все это, наверное, знает каждый, кто искал и лечил вири на компе. Но знаем мы это вразнобой и урывками. А здесь приведена полноценная пошаговая инструкция. Так сказать методический материал. Отличная, юзабельная статья. Автору плюс
ошибка: Documents and settings
Неплохо.
По последнему пункту лучше использовать sfc /scannow.
По последнему пункту лучше использовать sfc /scannow.
Но простой чистки иногда будет недостаточно. Некоторые локеры изменяют настройки системы таким образом, что даже после удаления зловреда система останется неработоспособной.
После слов «запустить AVZ» дальше не читал.
Кто же вирусы лечит на рабочей машине?
1. Отключаем от сети
2. Сливаем критически важные данные на диск или флешку, с учетом того что там тоже могут быть вирусы
3. Загружаемся с диска с антивирусом от DrWeb или Кашперовского, пофиг.
4. Сканируем.
А вот дальше уже делаем всё то, что описано в статье.
Кто же вирусы лечит на рабочей машине?
1. Отключаем от сети
2. Сливаем критически важные данные на диск или флешку, с учетом того что там тоже могут быть вирусы
3. Загружаемся с диска с антивирусом от DrWeb или Кашперовского, пофиг.
4. Сканируем.
А вот дальше уже делаем всё то, что описано в статье.
речь идет о машинах, которые принесли саппортерам, и они «странные», скорее всего зараженные.
Они УЖЕ отключены от сети, с них УЖЕ забрали данные, если они там были.
Дальше вопрос один: или понять в чем дело и лечить, если это просто, или переустановить.
На это инструкция и направлена.
Они УЖЕ отключены от сети, с них УЖЕ забрали данные, если они там были.
Дальше вопрос один: или понять в чем дело и лечить, если это просто, или переустановить.
На это инструкция и направлена.
Всё равно лечить на загруженной системе — маразм.
А в случае когда принесли машину, с которой уже забрали данные, дешевле поставить систему с нуля.
А в случае когда принесли машину, с которой уже забрали данные, дешевле поставить систему с нуля.
Сканировать весь диск — очень долгое занятие. Часто этого времени нет. Абсолютное большинство зловредов примитивны и их можно за 10 минут выгнать с помощью AVZ и Sysinternals, ну а потом уже на ночь поставить полное сканирование.
Не буду я вам ничего доказывать. Сканируйте как хотите.
А я буду сканировать как надо.
А я буду сканировать как надо.
Вы sality лечить пробовали? Один exe не вылечен, и все сначала.
Я же сказал — большинство, а не все.
Да бесполезно им доказывать.
Когда мне приносят зараженный компьютер, я не трачу время на то, чтобы понять какого именно типа там вирус. Я сразу сканирую системный диск с livecd. Сначала только dll и исполняемые файлы. Потом перезагружаюсь и смотрю на результат. Если не помогает — полная проверка диска С.
Перед этим вычищаю все временные файлы и удаляю/переношу весь тяжелый контент (по согласованию).
Самое главное что надо сделать после лечения:
1. поставить антивирь, я рекомендую MSE
2. включить автоматическое обновление и накатить все обновления
3. сбросить настройки файрвола на дефолтные.
4. включить UAC если win7 и научить юзверя не слепо отвечать на вопросы, а думать
Но все равно было одно тело, которое каждый месяц носило мне системник с разными вирусами. Последний был SMS-lock, его я, кстати, вылечил вообще вручную.
Когда мне приносят зараженный компьютер, я не трачу время на то, чтобы понять какого именно типа там вирус. Я сразу сканирую системный диск с livecd. Сначала только dll и исполняемые файлы. Потом перезагружаюсь и смотрю на результат. Если не помогает — полная проверка диска С.
Перед этим вычищаю все временные файлы и удаляю/переношу весь тяжелый контент (по согласованию).
Самое главное что надо сделать после лечения:
1. поставить антивирь, я рекомендую MSE
2. включить автоматическое обновление и накатить все обновления
3. сбросить настройки файрвола на дефолтные.
4. включить UAC если win7 и научить юзверя не слепо отвечать на вопросы, а думать
Но все равно было одно тело, которое каждый месяц носило мне системник с разными вирусами. Последний был SMS-lock, его я, кстати, вылечил вообще вручную.
UFO just landed and posted this here
Acronis True Image спасет от переустановки.
Обычно (но не всегда) я для начала отключал машину от сети. Потом запускал AVZ с AVZ-Guard выставлял настройки, примерно так же как описали вы, после чего сканировал и удалял найденную гадость. Далее использовал блокировку руткитов. Для облегчения использовал профили для AVZ (смотри хелп) и самописные скрипты (например, очистка временных папок, точек восстановления системы (нужно изменить права доступа к папке, предварительно) и т.п.). Так же использовал CCLeaner для чистки системы от мусора. Далее проверял Autoruns и ProcessExplorer, а так же аналогичные и другие пункты меню «сервис» в AVZ.
Так же пользовался утилитами от nirsoft, которые очень удобны для выгребания из системы всякого рода информации.
Чтобы каждый раз не выставлять настройки для Autoruns, ProcessExplorer и им подобных использовал скрипты, которые делают бэкап текущих настроек из реестра, если они есть, импортирует нужные мне, а после закрытия проги, восстанавливает настройки обратно из бэкапа.
Чтобы не качать каждый раз новые версии утилит, написал и использовал скрипт, который каждую ночь проверял и выкачивал новую версию, раскладывала все по папочкам, если что надо, то распаковывал, все лишнее удалял (readme и т.п.). Потом можно было загрузить нужное по сети или предварительно вставить в комп флешку и запустить сприпт, который сам обновит флешку или «создаст ее с нуля».
Если не очень помогает (например, после перезагрузки вири снова появляются в системе) грузился с Live Flash/CD с Linux и делал поиск по наиболее свежим файлам и подозрительные проверял через virustotal. Иногда использовал Kaspersky Rescue Disk.
Для важных компов делал образ с помощью CloneZilla (сразу после установки и настройки системы, а данные, которые надо сохранить, выгребал скриптами перед восстановлением из образа).
Для некоторых машин использовал принцип «запрещено все, что не разрешено явно», как когда-то описывал тут и, иногда, SteadyState.
Еще бывали случаи, когда сам писал маленькие утилитки для вычистки нечисти с потрохами. Обычно использовал AutoIT. Например, был случай на прошлой работе, когда пришло письмо из офиса, расположенного в другом городе, зараженное вирусом и сотрудник заразил свой комп, открыв вложение. Изучив и вычистив его комп, написал утилитку, для автоматизации процесса. Потом отправил в тот офис эту утилитку и поручил чтобы запустили на всех компах, так и был вычищен вирус удаленно (мне на мыло письма падали о каждом запуске утилитки и детализацией проверки).
Так же пользовался утилитами от nirsoft, которые очень удобны для выгребания из системы всякого рода информации.
Чтобы каждый раз не выставлять настройки для Autoruns, ProcessExplorer и им подобных использовал скрипты, которые делают бэкап текущих настроек из реестра, если они есть, импортирует нужные мне, а после закрытия проги, восстанавливает настройки обратно из бэкапа.
Чтобы не качать каждый раз новые версии утилит, написал и использовал скрипт, который каждую ночь проверял и выкачивал новую версию, раскладывала все по папочкам, если что надо, то распаковывал, все лишнее удалял (readme и т.п.). Потом можно было загрузить нужное по сети или предварительно вставить в комп флешку и запустить сприпт, который сам обновит флешку или «создаст ее с нуля».
Если не очень помогает (например, после перезагрузки вири снова появляются в системе) грузился с Live Flash/CD с Linux и делал поиск по наиболее свежим файлам и подозрительные проверял через virustotal. Иногда использовал Kaspersky Rescue Disk.
Для важных компов делал образ с помощью CloneZilla (сразу после установки и настройки системы, а данные, которые надо сохранить, выгребал скриптами перед восстановлением из образа).
Для некоторых машин использовал принцип «запрещено все, что не разрешено явно», как когда-то описывал тут и, иногда, SteadyState.
Еще бывали случаи, когда сам писал маленькие утилитки для вычистки нечисти с потрохами. Обычно использовал AutoIT. Например, был случай на прошлой работе, когда пришло письмо из офиса, расположенного в другом городе, зараженное вирусом и сотрудник заразил свой комп, открыв вложение. Изучив и вычистив его комп, написал утилитку, для автоматизации процесса. Потом отправил в тот офис эту утилитку и поручил чтобы запустили на всех компах, так и был вычищен вирус удаленно (мне на мыло письма падали о каждом запуске утилитки и детализацией проверки).
После очередной волны заболеваний домашних машин друзей/родственников (WinXP) выработалась своя схема. На таких машинах что-то переставлять себе дороже, потом начинается — пароль от skype/icq, «а верните мне ту программку которой я что-то там делала, а у меня был тут ярлычок …» и т.д…
Схема грубая, и местами брутальная, но большой процент лечится:
1. BootCD с windows portable, например hiren's bootCD. Таким способом не даем заразе жить, блокировать антивирус, таск менеджер, «прятаться» и активничать в целом.
2. Очистка всех tmp мест, плюс грохаю целиком попки recycler, System Volume Information. Хотя там вроде как живут точки восстановления, но этим механизмом никогда не пользуюсь.
3. Если есть время — бегло просматриваю Docs&Sets на предмет подозрительных файлов.
4. Ну и DrWeb CureIT, или аналог. В зависимости от сложности заболевание иногда достаточно прогнать только System32, для уверенности FullScan, или если зараза заражает exe файлы.
5. Если винда болезненно перенесла обширное заражение часто помогает накат (откат-накат) сервиспак3
Хотя однажды убивал порно-банер, который не ловился ничем, изучил System32, названия файлов, даты, описания. Так и нашел, файл скрыт — в System32 таких очень мало, и описание файла “Лаборатория Касперского”, на машине где касперского никогда не было.
Схема грубая, и местами брутальная, но большой процент лечится:
1. BootCD с windows portable, например hiren's bootCD. Таким способом не даем заразе жить, блокировать антивирус, таск менеджер, «прятаться» и активничать в целом.
2. Очистка всех tmp мест, плюс грохаю целиком попки recycler, System Volume Information. Хотя там вроде как живут точки восстановления, но этим механизмом никогда не пользуюсь.
3. Если есть время — бегло просматриваю Docs&Sets на предмет подозрительных файлов.
4. Ну и DrWeb CureIT, или аналог. В зависимости от сложности заболевание иногда достаточно прогнать только System32, для уверенности FullScan, или если зараза заражает exe файлы.
5. Если винда болезненно перенесла обширное заражение часто помогает накат (откат-накат) сервиспак3
Хотя однажды убивал порно-банер, который не ловился ничем, изучил System32, названия файлов, даты, описания. Так и нашел, файл скрыт — в System32 таких очень мало, и описание файла “Лаборатория Касперского”, на машине где касперского никогда не было.
Первым делом всегда гуглю на предмет решения проблемы сходу, а потом уже все остальное.
что-то про uVS ни слова. нехорошо. всегда им чищу (даже когда не нужно) с загрузочной флешки. чудесно, чудесно
так напишите. Если никто не знает, то вам и карты в руки. Расскажите как и что делаете, и чем она хороша?
можно и написать.
а пока просто ссылку кину dsrt.dyndns.org/uvs.htm
а пока просто ссылку кину dsrt.dyndns.org/uvs.htm
Самописная тулза, да?
Исходники открывать не собираетесь? На данный момент у меня доверия, к сожалению, не вызывает.
Исходники открывать не собираетесь? На данный момент у меня доверия, к сожалению, не вызывает.
она не моя.
а AVZ открыт? почему вы ему доверяете?
подобные проги вряд ли когда будут открыты
а AVZ открыт? почему вы ему доверяете?
подобные проги вряд ли когда будут открыты
1. AVZ известная утилита
2. Олег Зайцев (автор AVZ) работает в лаборатории касперского
3. Я общался с Олегом
4. Я долгое время читал Хакер, где Олег писал много дельных статей, которые меня многому научили в свое время.
Как минимум по этим причинам я ей и доверяю.
А uVS у меня не вызывает доверия как минимум потому что лежит у кого-то на домашней тачке, скорее всего, в Омске. Я конечно понимаю, что автор пишет, скорее всего, для себя. Но все же, зачем держать на домашней тачке сайт, когда куча хотингов есть, в т.ч. бесплатных. К тому же я при быстром гуглеже на нашел упоминаний о ней на авторитетных ресурсах.
2. Олег Зайцев (автор AVZ) работает в лаборатории касперского
3. Я общался с Олегом
4. Я долгое время читал Хакер, где Олег писал много дельных статей, которые меня многому научили в свое время.
Как минимум по этим причинам я ей и доверяю.
А uVS у меня не вызывает доверия как минимум потому что лежит у кого-то на домашней тачке, скорее всего, в Омске. Я конечно понимаю, что автор пишет, скорее всего, для себя. Но все же, зачем держать на домашней тачке сайт, когда куча хотингов есть, в т.ч. бесплатных. К тому же я при быстром гуглеже на нашел упоминаний о ней на авторитетных ресурсах.
1. AVZ не стал популярной и известной программой сразу :)
так что остальное субъективно. мне абсолютно всё равно по какой причине автор не выкладывает своё творение на нормальном хостинге.
к сожалению я не помню на каком конкретно сайте я читал про эту программу, ни то virusinfo, ни то safezone, лично у меня они доверие вызывают.
я предлагаю вопросы доверия к разрабочтику задавать в другом месте, если когда-нибдуь кто-нибудь про его программу здесь напишет :) я же просто сказал, что она существует и делает своё дело отлично. от всяких винлоков она избавляет за 5 минут. такой факт
так что остальное субъективно. мне абсолютно всё равно по какой причине автор не выкладывает своё творение на нормальном хостинге.
к сожалению я не помню на каком конкретно сайте я читал про эту программу, ни то virusinfo, ни то safezone, лично у меня они доверие вызывают.
я предлагаю вопросы доверия к разрабочтику задавать в другом месте, если когда-нибдуь кто-нибудь про его программу здесь напишет :) я же просто сказал, что она существует и делает своё дело отлично. от всяких винлоков она избавляет за 5 минут. такой факт
я регулярно всей семье (более 5 компов) чистил комы от вирусов, переустанавливал системы и пр.
А потом, 4 года назад, поставил Аваст. Бесплатный, самообновляемый.
О вирусах просто забыл. Нет их.
За всё это время — одна промашка. Два года назад вовремя не обновился и схватил смерть вирус. Он стёр важный виндовый файлик, пришлось вручную его с дистрибутива восстанавливать. И всё.
Не рекламы ради, а опыта для.
А потом, 4 года назад, поставил Аваст. Бесплатный, самообновляемый.
О вирусах просто забыл. Нет их.
За всё это время — одна промашка. Два года назад вовремя не обновился и схватил смерть вирус. Он стёр важный виндовый файлик, пришлось вручную его с дистрибутива восстанавливать. И всё.
Не рекламы ради, а опыта для.
UFO just landed and posted this here
Касперский (и ломаный и купленный), доктор веб и ещё что-то экзотическое.
UFO just landed and posted this here
На разных компах — разные антивирусы. разной степени «пролеченности». Итог — постоянные проблемы с обновлениями, «тормоза», некоторые вирусы не обнаруживались.
Не хочу холивар разводить. Просто если мне нужно обезопасить комп, и не платить за это денег — я ставлю бесплатный аваст.
Думал тут на днях купить уже лицензию купить, но не понял, чем платный от бесплатного отличается. Там практически нет плюсов.
Не хочу холивар разводить. Просто если мне нужно обезопасить комп, и не платить за это денег — я ставлю бесплатный аваст.
Думал тут на днях купить уже лицензию купить, но не понял, чем платный от бесплатного отличается. Там практически нет плюсов.
Вы переустанавливаете windows по 3 раза в день? Каждая переустановка занимает 20 минут?
еще CureIt хорошо помогает
Посмотреть, какие драйвера загружены в системе в данный момент, можно программрй DriverView. Все время пользуюсь при подозрении на вирусы.
Статья в целом неплохая, но вместо утилит Autoruns и PE предпочитаю использовать AnvirTaskManager. Быстро, просто и удобно. Начинаю процесс лечения именно с ее установки и просмотра автозагрузки, запущенных процессов и служб. Можно вычислить не удаляемый файл, кем используется и т.п. Вообщем незаменимая штука в подобных делах. AVZ использую редко и в основном для поправки винды после локеров.
Sign up to leave a comment.
Опытные мелочи-9, или «Вы больны! Как лечить будем?»