Ручной поиск и удаление вирусов.

Лихтейнштейн

Если вы подозреваете, что ваш компьютер заражен, несмотря на работающую антивирусную программу, то эта статья подскажет где именно и как можно начать поиски.
Признаков заражения может быть множество:

Стартовая страница Вашего браузера меняется постоянно?
Антивирусная программа перестает запускаться, фаервол операционной системы выдает неизвестные сообщения?
Выход в интернет внезапно стал очень медленным?
Лампочка жесткого диска беспрестанно моргает?
Ваши знакомые, которым Вы передавали файлы со своего компьютера сказали, что в Ваших файлах были вирусы?
На вашем жеством диске исчезают файлы или появляются те, которых Вы не создавали?

Лихтейнштейн

1. Автостарт
Все паразиты хотят выжить неизбежный рестарт операционной системы. "Выжить" для них значит запуститься при старте снова, что и является одним из их самых слабых пунктов.

Для начала всегда стоит обратить внимание на программы, которые стартуются вместе с системой.
Сделать это можно в основном в двух местах, msconfig от Microsoft, или же Autoruns от Sysinternals.

Первый вариант весьма слабоват, но упускать его не стоит:
Нажмите на Старт, и затем на Выполнить/Ausführen/Run (или же просто Windows+R).
В появившемся окошке наберите msconfig и нажмите на ок.
Далее нажмите на Systemstart / Автозагрузка

В этом окошке вы видите программы, запускающиеся при старте операционной системы. Часто там находятся и вирусы. Да и вообще, интересно туда взглянуть, чем меньше там галочек - тем быстрее ваш компьютер.
Допустим выделенные программы я деактивировал специально - ну не пользуюсь я неро и акробатом постоянно.
Просмотрите все записи в этом окошке. Неизвестные вам, и особенно в папках windows\ system32\ system\ , стоит записать куданибудь на листочек, для чистки и определения. Даже на загруженных программами компьютерах, в папке system32 должен бы быть только ctfmon.exe, остальное - подозрительно.
Записали? Посмотрим на второй вариант.

Второй вариант более мощный, и гарантированно покажет как минимум то, что показал первый. Для него придется скачать небольшую программу фирмы Sysinternals:
http://download.sysinternals.com/.../Autoruns.zip (500кб)

При старте программа покажет много чего..ненужного. Чтобы хоть както ограничить количество файлов учавствующих в загрузке, нужно поставить две галочки (см. картинку) и нажать на кнопку "Актуализировать".

Список значительно уменьшится. Записи с словом Verified, скорее всего не опасны, но обратить на них внимание стоит все равно.
Особенно стоит обратить внимание на те записи, у которых вообще нет Publisher.
Опять же, запишите подозрительные вам файлы.

Кстати вернемся к msconfig, зайдите теперь в Dienste/Службы, поставьте галочку снизу как на картинке. Тут вы видите процессы которые не отображаются как отдельный процесс, а собраны в процессы svchost.exe. Более хитрые вирусы могут поселиться и тут, так что стоит заглянуть и сюда.
На первой картинке у меня может показаться подозрительной служба NMIndexingService..поиск в google даст ответ, что это безопасная служба программы неро.

_________________
счастливый :)

Лихтейнштейн

2. Сеть / Плагины

Вирусы любят коммуницировать. Более того, у большинства из них есть функция обновления, некоторые могут самостоятельно распространяться по компьютерным сетям и рассылаться по электронной почте от Вашего имени. Поэтому стоит по мере возможности отключить зараженный компьютер от всех компьютерных сетей, и возможно, выключить его, на время пока Вы будете отсутствовать или изучать информацию о вирусе с другого компьютера. Это задержит действия вируса на вашем компьютере.

Коммуникация как правило не проходит безследно, что дает еще одну возможность найти паразита.
Для начала понадобится программка от Sysinternals - TCPView
http://download.sysinternals.com/.../TcpView.zip (95kb)
Запустите ее, она покажет вам все входящие / выходящие соединения вашего компьютера.

Те процессы, у которых стоит State - Established, активно коммуницируют с сетью. В моем случае это мсн-мессенжер и оутлук. Просмотрите вообще, нет ли неизвестных и подозрительных вам процессов где State - Established. Если есть - запишите их.
Так же стоит уделить внимание процессам, которые прослушивают сеть (Listening).

В моем случае это alg.exe, безопасный процесс операционной системы.
Кстати, можно всегда проверить, чего ждет этот процесс. Для этого нужно зайти в консоль (Start - Ausführen/Выполнить - cmd), в консоли набрать telnet localhost port, в моем случае у процесса alg.exe порт 1416. Реакция должна быть отрицательной, тоесть - не удалось соединиться. Если вдруг у вас запросят имя и пароль - то этот процесс очень и очень подозрителен и возможно является трояном ожидающим входящего соединения.
(Только для ХР, на Виста телнет отключен стандартно)

Так же вирусы любят блокировать обновления антивирусных программ.
Делают они это с помощью файла hosts:

Откройте его в едиторе/нотепаде, в идиальном случае, в нем должна стоять только помеченная мною строка. Строчки у которых спереди стоит знак # не считаются.

Если вдруг там стоят строчки типа

Лихтейнштейн

3. Процессы

Не совсем умные вирусы/трояны, работают как обычные программы/процессы, тоесть их можно заметить в списках запущенных программ. Есть две возможности посмотреть какие программы запущены - никчемный диспетчер задач виндовса (task manager), или же более мощный ProcessExplorer от Sysinternals
http://download.sysinternals.com/.../ProcessExplorer.zip (1, 5mb)

Запустите программу, у нажмите сразу после старта Strg/Ctrl+D. Или же на выделенную мной кнопку на картинке.
Программное окошко разделится на 2 части. В верхней части вы видете список програм запущеных на данный момент. Примечательно то, что при наведение мышкой на них вам сразу покажут и где программа на ходится.
Просмотрите, нет ли подозрительного процесса. Можно щелкнуть по процессу правой кнопкой и послать запрос в интернет, см. вторую картинку. Обычно среди результатов поиска можно моментально определить - известный и безопасный этот процесс, или нет.
В нижней части находятся все программы/плагины/файлы которые помеченная прорама использует. Просмотреть и проверить их всех - не реально. Но стоит обращать внимание на файлы выделенные фиолетовым цветом как у меня Totalcmd в верхнем окне. Это компримированные файлы, чем часто пользуются и вирусы.

_________________
счастливый :)

Лихтейнштейн

4. Проверка и отсеивание

Ну вот поиск кандидатов и закончен. Если у вас на листочке нет ни одной записи - поздравляю, или вы что то просмотрели, или комп действительно чист

Если же есть пара записей-файлов, то теперь их нужно проверить.
Для того, чтобы не скачивать дополнительные антивирусные программы, есть весьма изящный способ проверить подозрительные файлы на онлайн-сканерах.
Следующие две страницы пропустят ваших кандидатов через минимум 18(!) антивирусных программ. Если 4-5 или больше из них найдут вирус - то скорей всего это он и есть. Если только одна - то возможно это ошибка сканера. Ну а если ниодной - то возможность что это вирус ничтожна.

http://www.virustotal.com/ и http://virusscan.jotti.org/ проведут скан скан с более чем 20тью антивирусами. Выберите подозрителный файл, нажмите на SendFile. Придется немного подождать. Когда подойдет ваша очередь - вы увидите как один за другим выскакивет результат проверки. Ниже приведен пример проверки. Вы видите, что только процентов 30-40 узнало вирус. В этом результате сомневаться не стоит:

_________________
счастливый :)

Лихтейнштейн

5. Чистка

Подозрительные файлы оказались вирусами? - Плохо.
Прежде чем заняться "уборкой", нужно хорошо все взвесить и задаться вопросом - не установить ли всю систему снова? Причина для этого шага одна - если нет специальных removal tools для вируса, то руками его убрать хоть и можно, но повреждения что он нанес (открытые порты итд..) найти и исправить практически невозможно.

Если не лень и хотите быть на безопасной стороне - переустановите систему.
Если хочется попробовать убрать вирус, то придется собирать всю возможную информацию о нем.

Нужно найти как минимум:

Какие файлы относятся к вирусу
Какие изменения в системе делает вирус

Кроме того оптимально было бы найти инструкцию по удалению, или в лучшем случае removal tool, программку которая сделана для удаления этого вируса.

Весьма хороший способ найти и убрать вирусное тело - загрузочные диски, о которых можно прочесть тут: http://forum.rc-mir.com/viewtopic1868967_0.html (спасибо

point за статью)

Стандартного способа чистить компьютер я не знаю. Нужна помощь - обращайтесь сюда, с подробным описанием проблемы и желательно лог-файлом от hijackthis ( http://forum.rc-mir.com/topic1791629.html )

Так же, если были найдены вирусы, советуется прочитать эту статью: http://forum.rc-mir.com/topic32284.html ( спасибо

wld )
_________________
счастливый :)

Россия

Спасибо

_________________
У меня непритязательный вкус. Мне вполне достаточно самого лучшего.

Германия

Привет Всем!

Для всех кто имеет № аськи
Откройте эту ссылку и прочтите
http://www.utro.ru/.../746129.shtml
Только не подумайте что я рассылаю вирус.Как раз наоборот
И делаю это только ради своих друзей
Пока Пишите Не пропадайте

Заблокируйте этот № 12111

Узбекистан

это смотря какой анти-вирус
у меня вопрос а если сам вирус заразил анти-вирус что надо делать в таком случаи

Исландия

Ценные сведения. Спасибо.

_________________
Без мазы упоминать об этих летучих мышах, - подумал я. - Бедный ублюдок довольно скоро сам увидит их во плоти.