У МЕНЯ ВИРУС!!! Что мне делать?!! Вот руководство к действиям:
1. ВЫДЕРНИТЕ СЕТЕВОЙ КАБЕЛЬ\МОДЕМ и при возможности смените все важные пароли через комп друга\соседа, посколько в том случае, если вирус ориентировался на кражу такой информации, то он уже отправил данные хозяину - значит счёт идёт на минуты\секунды.
2. Если у вас не стоял антивирус до заражения, значит теперь есть повод поставить %) Выбираем, устанавливаем и настраиваем антивирус. Однако, зачастую вирус блокирует установку\запуск антивируса, поэтому прежде...
3. ...неплохо бы сразу проверить автозагрузку на наличие новых программ (если вы конечно в курсе, что там было до заражения). Для этой задачи потребуется прога Starter.
4. Жмем alt+ctrl+del и ищем подозрительный процесс (его имя совпадает с именем в автозагрузке). Убиваем его. Жестоко и беспощадно =]
5. Теперь найдём подозрительный файл и поищем, где он лежит. Попробуем переименовать\переместить его куда-нить или удалить.
6. Если вам не удается ни переименовать, ни завершить процесс - вирус хорошо защищен. Обычно при таком подходе вы едва ли сможете запустить антивирус. Вам не повезло и придется лечить винт, присоединив его к компу друга или с мультизагрузочного СД.
А теперь - вот вам кучка софта для реализации этих простых шести пунктов излечения. Программы вам скорее всего понадобяться, поскольку как правило виндовые утилиты уничтожаються\блокируються вредоносным кодом вирусного процесса.
======= Файловая система
Непосредственно проследить хождение виря по ващей файловой системе помогут следующие утилиты.
Вы сможете определить место нахождение тела вируса, отследить его размножение, определить местопоожение лог-файла в случае кейлогера.
Также программы помогут разблокировать файл, выгрузить инжектированную в процесс вредоносную длл и многое другое.
Filemon v6.*
http://www.sysinternals.com/ntw2k/source/filemon.shtml
Логирование всех операций с файлами - открытие, запись, чтение... Есть система фильтров.
Unlocker 1.*
http://ccollomb.free.fr/unlocker/
Утилита позволяющая разблокировать файл, занятый другим процесом.
Работает в полуавтоматическом режиме. Не всегда справляеться с задачей.
Advanced Process Manipulation
http://www.diamondcs.com.au/index.php?page=apm
Позволяет делать давольно сложные вещи, такие как выгрузка отдельных модулей процесса.
DLL Control by Sanja
http://virusinfo.info/soft/DllCtrl.zip
Программа коммандной строки позволяющая загружать и выгружать dll.
Классика жанра - внедриться в процесс и вызвать "изнутри" этого процесса
Использование:
DllCtrl.exe -unloadall c:\virus.dll
DllCtrl.exe -unload 1234(pid) c:\virus.dll
DllCtrl.exe -unload notepad.exe c:\virus.dll -resolve
======= Реестр
Выследить прописку вируса в реестре вам также не составит труда. Даже самый изощрённый автозапуск будет отслежен.
С помощью этих утилит вы также можете ограничить доступ к реестру, исключая его повреждение, либо восстановить его после вирусной атаки из резервной копии.
Regmon v7.*
http://www.sysinternals.com/ntw2k/source/regmon.shtml
Логирование всех операций с реестром - открытие, запись, чтение... Есть система фильтров.
RegProtector
http://sec-123.narod.ru/rgp10.exe
Монитор реестра. Логирует все изменения, может блокировать доступ, ограничивать только на чтение и др.
RegKey LastWriteTime Scaner
http://russian.softpicks.net/softwa...er_ru-22416.htm
Крохотная программа для поиска в реесте ключей, измененных/созданных в выбранном интервале времени.
Найденные ключи можно быстро открыть в regedit.
ERUNT 1.*
http://aumha.org/downloads/erunt.zip
http://www.larshederer.homepage.t-online.de/erunt/
Утилита для сохранения и восстановления файла реестра, работающая через командную строку.
По этой причине идеально подходит для настройки автоматического бэкапа с помощью планировщика заданий.
Прога проста как две копейки, но работает великолепно.
======= Процессы
Процессы - самая интересная и важная часть. Чем быстрее вирусный процесс будет уничтожен, тем меньше дров зверь успеет наломать в системе.
Приведённые программы способны не только обнаружить скрытый процесс, но и уничтожить его.
Гарантия уничтожения - 100% - ничто не устоит и не скроеться. Процессы антивирусов и фаерволов тоже отлично гасятся =]
ProcViewer
http://www.virusinfo.info/soft/ProcViewer1.rar
Простая, но эффективная альтернатива таскменеджеру - показывает запущенные процессы.
Видит скрытые процессы троянов, которые невозможно обнаружить при помощи большинства существующих просмотрщиков процессов.
Advanced Process Termination
http://www.diamondcs.com.au/index.php?page=apt
Програмка убивающая любые процессы. Может быть полезна что бы убить процессы созданные вирусами.
DelayDel
http://www.virusinfo.info/soft/delaydel.rar
Консольная программа сля удаления "неудаляемых" файлов после перегрузки.
Использование: delaydel.exe <file>
Kernel PS v0.4
http://www.virusinfo.info/soft/knlps04.rar
Если не справились предыдущие - эта прога не подведёт. Просто зверь - убъёт ЛЮБОЙ процесс.
Программа работает с командной строкой. Позволяет получить список всех запущенных процессов, в том числе и скрытых. Не работает на Win9x/ME.
Так же позволяет убить любой процесс, в том числе и защищённый системой, а так же процессы руткитов.
======= Автозагрузка
Оперативно просмотреть основные и не только основные ключи и места автозагрузки вам помогут эти программы.
Крайне полезны не только для борьбы с заразой
Autoruns
http://www.sysinternals.com/ntw2k/f.../autoruns.shtml
Программа позволяющая просмотреть список программ запускающихся при старте Windows.
Большое приемущество данной программы, это опция скрыть компоненты Windows имеющие цифровую подпись Microsoft.
Это значительно облегчает поиск ненужных и вредных программ.
Auto Start Control 2.*
http://www.asc.h11.ru/
Знает очень много ключей автозапуска, в т.ч. недокументированных или плохо документированных.
И может показать их (только непустые) для всех пользователей, имеющих учетные записи на данном компьютере.
Silent Runners.vbs
http://www.silentrunners.org
Скриптик для анализа автозагрузки. Знает некоторые нестандартные методы запуска программ.
Starter 5.*
http://www.lemnews.com/dl/Starter.rar
Очень полезная утилитка от CodeStuff (http://codestuff.mirrorz.com/).
Программа позволяет управлять запуском программ при старте Windows (из мест типа Автозагрузка и реестра) и процессами при работе - все как на ладони, видно кто и что использует.
Установка не требуется, все очень информативно и удобно. К тому же красиво. Может пригодиться при чистке реестра от вирусов.
======= Сторожи
Парочка утилит, которые работают в качестве сторожей и просто не позволят вирю забуриться, вовремя его остановив.
Рекомендуються к применению. Более подробно данный класс программ рассмотрен здесь:
ВЫБЕРИ СВОЙ Anti-spy
Security Task Manager 1.6C
http://www.neuber.com/taskmanager/
кряк под неё есть на wwwkeygen.ru
Накрученный до предела task manager:
- показ степени опасности запущенных процессов для системы
- анализ инфы о производителе
- путь к файлу
- время запуска процесса
- степень загрузки проца, его тип
- тип окна: обычное окно, невидимое окно, библиотека, плагин для IE, и т.д.
- сертификация процесса
- анти-кейлогер
- время запуска проги в симбиозе с запущеной
На основе выше написанной информации расчитывает рейтинг опасности.
WinTasks Pro v 5.0
Примерно тоже самое.
Качественный анализ и оценка процессов в системе, подробнейшая информация о них.
======= Сетевая активность
Теперь несколько программ, мониторящих сетевые подключения. Они позволят вам получить минимальную информацию о сетевой активности.
С помощью них, вы будете информированы о сетевых подключениях, состоянии подведомственных вам машин в сети.
TCPView v2.*
http://www.sysinternals.com/Utilities/TcpView.html
Мониторинг TCP\UDP соединений. В Windows NT, 2000 и XP TCPView даже отображает имя процесса, отображение адресата\отправителя. Включает в себя tcpvcon.
TCPVcon v2.*
http://www.sysinternals.com/Utilities/TcpView.html
Показывает все открытые сокеты. Работает из под командной строки.
TDIMon v1.*
http://www.sysinternals.com/Utilities/TdiMon.html
TCP/IP МОНИТОР
ShareEnum v1.*
http://www.sysinternals.com/Utilities/ShareEnum.html
Сканирует вашу сеть и мониторит параметры безопасности, указывает на дыры.
Remote Recover v2.*
http://www.sysinternals.com/Utiliti...oteRecover.html
Имея доступ к системам через LAN или WAN, вы можете системным дискам x86 NT.
Вы можете востанновить данные. При доступе на запись можно проверять chkdsk'ом, форматировать диски.
Для более полноценного изучения трафика рекомендуеться применять специализированные сниферы:
Сниферы и их совместимость
Сниферы. Защита и нападение
Локальные Войны
======= Контроль целостности файлов
MD5summer
http://www.md5summer.org/
Отличная утилита, позволяющая подсчитать в указанной папке чек-сумму всех файлов по алгоритму md5\sh1. А затем при надобности - провести сравнение.
Крайне полезная вещь - после установки на винду всех патчей делаешь чек-снимок файлов в C:\WINDOWS
Очень мне помогла однажды, когда коварный трой умело спрятался в системе и возрождался как ни в чём ни бывало после перезагрузки...
Если вдруг происходят подозрительные явления - проводишь сравнение - выявляешь изменённые файлы.
Ну, далее в зависимости от опыта и желания - либо расковырять их дизассемблером, либо просто сменить на старые из зараннее сделанного бэкапа.
======= В борьбе с руткитами
Несколько программ, способных отлавливать самых опасный и изощрённый тип вируса - руткиты.
Руткит опасен тем, что он тщательно прячеться, скрывает своё пребывание в системе.
Антивирусы против них зачастую бессильны.
RootkitRevealer
http://www.sysinternals.com/ntw2k/f...kitreveal.shtml
Программа для обнаружения руткитов от Sysinternals
VICE
http://www.rootkit.com/project.php?id=20
Программа для обнаружения руткитов
Phunter
http://www.virusinfo.info/soft/phunter.zip
Программа для поиска скрытых процессов.
Antikit
http://anti-virus.by/download_files/antikit.zip
Програмка отлавливающая руткиты, обнаружить которые не может большинство антивирусов. Запуск из командной строки.
======= Откат на точку восстановления
Виндовыми средствами эту процедуру лучше не делать - возможности слабенькие и функциональности никакой.
Используем спец-утилиты:
ShadowUser Pro 2.*
http://www.shadowstor.com
Включив программу, можно делать что угодно - тестировать вирусы и трояны, мучать системные настройки, проверять сомнительные программы.
После перезагрузки все изменения будут отменены, а предыдущее состояние восстановлено.
Помимо режима автоматического отката после каждой перезагрузки, в ShadowUser есть режим ручного выхода.
Отличие от RestoreIT :
- не требует наличия собственного скрытого раздела на винчестере
- мгновенная скорость отката
RestoreIT v 6.*
http://www.farstone.com
Превосходная система защиты компьютера от вирусов, программных сбоев и ошибок пользователя.
Фиксируешь текущее состояние машины путем создания контрольной точки, а программа отслеживает и сохраняет в защищенном разделе диска все изменения файловой системы.
При необходимости прорамма возвратит требуемый диск в одно из ранее зафиксированных состояний.
Отличие от ShadowUser :