Мой опыт по определению/удалению вирусов под системами Windows.
1. Мой набор программ для выявления заразы:
Anvir_Ru _http://anvir.com/index_ru.htm
FAR
clrav.com _http://www.kaspersky.ru/faq?qid=146226903 (там есть ссыла)
Антивирусы: NOD, AVP, Нортон.
OutpostPro2_225
Дополнительный комп для поиска в инете и подключения в случае надобности винта с обследуемой тачки.
2. Загружаем обследуемый компьютер. Устанавливаем Anvir. Запускаем. Смотрим процессы и автозапуски на наличие подозрительных/незнакомых программ. Заметили заразу? Надо определить что это. Идем например на _http://www.viruslist.com/viruslist.html.
3. Если определили что это за вирус то в зависимости от того как он прописывается в системе удаляем его из системы:
А) Если просто прописан в автозапуске, то сносим все процессы связанные с вирусом, удаляем запись из автозапуска, затем удаляем сам вирус. Перегружаемся и прогоняем всю тачку «любимым» антивирусом.
Б) Если эта зараза подменяет собой шел запуска, то вот тут нам поможет clrav.com… Он по умолчанию восстанавливает стандартное значение в реестре.
При этом в комплекте есть setassoc.reg. Он если что поможет
Сносим все процессы связанные с вирусом. Удаляем сам вирус FARом. Перегружаемся и прогоняем всю тачку «любимым» антивирусом.
При этом в обоих случаях перед перегрузкой желательно еще раз проверить АнВиром Автозапуск и список процессов!
При этом ИМХО – NOD хорошо ловит червяков, макровские вирусы. Очень быстрый антивирус!
КАВ – хорошо ловит трояны, джава скрипты и прочую лабуду. Но медленный
Нортон ловит и то и другое но надо обновлять базы, что иногда ИМХО проблемно
По скорости что то среднее между НОДом и КАВом. Я им не пользуюсь. Хватает связки NOD+KAV.
4. Не нашли вирус в известных? Берем эту заразу и пробуем онлайн проверку это файла на сайтах производителей антивирусов. Если определился то возвращаемся к пункту 3.
5. Если и Онлайн-проверка не помогла то вот тут нам пригодится ОутПост (может другой аналог). Надо определить что этот вирус делает. (в основном последнее время попадаются вирусы с Интернет активностью, и редко с деструктивной активностью).
6. Далее действия такие. Так как мы сами не не программисты вирусологи
то придется этот фаил/вирус/заразу отправлять в сервисную службу производителей антивирусов (например на
newvirus@kaspersky.com). При этом для упрощения их работы я делал следующее:
А) Если вирус с Интернет активностью то в письме указывал что он делает и куда ломится.
Б) Копировал все ссылки из реестра на данный фаил в письмо.
В) Прикрепляем сам фаил к письму.
И ждем ответа
Таким образом я нашел уже 2 новых вируса
Примечание:
При выполнение пункта 6 надо учесть следующие не все программы загруженные в памяти ЯВЛЯЮТСЯ вирусами! ИМХО несколько раз проверти что это за файл и что он делает (входит ли он в дистрибутив Виндовс), прежде чем его запакуете и отправите по указанному адресу
На профессионала не претендую, но может кому пригодится
Цитата:
|
Сообщение от apoc
А вот знает ли кто как боротся с тем что бат иногда получает письмо зараженное, а потом его авп находит и не может вылечить??? что делать? письмо хранится в тбк... фигня какая-то...  |
Не забудь сжать папки в The Bat'e
Тела писем остаются в базе пока не сожмешь