Сам себе антивирус

    Жизнь компьютера идет своим чередом, но в один прекрасный момент комп перезагружается, а потом на рабочем столе появляется надпись «У вас вирусы, антивирус качать тут». Кто-то скачивает и ставит, кто-то сносит винду, кому-то везет и его антивирус ловит заразу… А я вам попробую рассказать как решить проблему самому и зачем это нужно.


    Начну с того, зачем это нужно. Мотивировка эгоистичная — для того, чтобы узнать что-то новое и интересное, стать умнее и т.д. Мотивировка альтруистичная — помочь сотням и тысячам людей в подобной ситуации. Как — об этом ниже.

    Чтобы выловить заразу на компе нам потребуется… Самое главное — не бояться, все реально. Также нужна голова на плечах и минимальная компьютерная грамотность. Третий основной компонент — интернет. Возможно, с другой машины, с LiveCD, но он будет нужен. Подготовились? Начинаем!

    Первый шаг — обновление антивирусных баз имеющегося антивируса, загрузка в безопасном режиме и сканирование компьютера из него, причем при отключенной сети. Если невозможно выполнить первые два пункта, сканирование все равно нужно провести. Если зараза найдена и удалена, а проблема исчезла — вам повезло. Для сканирования рекомендую CureIt (брать тут www.freedrweb.com/cureit/?lng=ru). Полноценный антивирусный движок и базы, заточенность под работу на зараженной системе в условиях РЭБ со стороны противника :-) То есть при активном противодействии антивирусам со стороны троянов и прочей дряни.
    Антивирус не помог? Бывает, ни один продукт не гарантирует 100% защиты, а выловить неизвестный вирус — это еще сложнее. Значит, придется ручками…
    За исключением довольно редких случаев, вирусы и трояны должны быть представлены в виде файла, поэтому ловля заразы — это ловля файла. Все, вроде бы, просто, да только файлов на современном компьютере может быть несколько сотен тысяч. Итак, нам нужен хороший инструмент для работы с файлами. Рекомендую FAR (берется тут www.farmanager.com). Встроенные системные средства не подходят: в случае противодействия со стороны вируса вы не увидите нужный файл.

    Проблемы с флэшками/дисками
    Если при подключении к вашему компьютеру флэшки на ней начинают появляться левые файлы или диски не открываются по двойному щелчку — вероятен червь из семейства Win32.HLLW.Autoruner. Что делать? Запускаем FAR, лезем в корень всех дисков и ищем там файл autorun.inf Если файл найден, его необходимо открыть в любом текстовом редакторе (в FAR кнопкой F3) и посмотреть на внутренности. Типичный пример содержимого:
    [AutoRun]
    OPEN=setup.exe
    shellexecute=setup.exe
    shell\Auto\command=setup.exe

    То есть запуск программы setup.exe при подключении диска и попытке открыть. Для начала, отключаем автозапуск дисков (тут описано как www.izcity.com/faq/winxp/question1517.html), способ с групповыми политиками мне кажется более правильным. Отключение автозапуска — отличный способ профилактики таких заражений. Как поступить с найденными файлами — смотрите чуть ниже, но важен не столько autorun.inf, а то что в нем прописано. После отключения автозапуска и перезагрузки нужно удалить и autorun.inf и файлы в нем прописанные. С большой вероятностью, это поможет.

    Проблемы с IE
    Еще типовой вариант проявления заразы: вы по неизвестной причине используете IE и в нем начинает появляться всякая левая реклама, панели, кнопки… В общем, он ведет себя нехорошо.С большой долей вероятности проблема в BHO — Browser Helper Object. BHO это Plugin к эксплореру. Для получения списка BHO можно использовать разные программы. В ближайшем будущем ожидается выход в свет нашей тулзины DwShark, которая будет крайне полезна для поиска заразы. Пока же придется использовать что-то другое. Например, IceSword ( www.antirootkit.com/software/IceSword.htm), но это уже довольно серьезная программа, интерпретировать результаты надо умело и осторожно. И еще IceSword может в некоторых случаях привести к зависанию. В общем, в IceSword выбираете пункт BHO и получаете список из тех, что установлены в системе. Можно использовать HijackThis ( www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis), он формирует лог, в котором все BHO перечислены. Чтобы проверить легальность BHO есть сервис от CastleCops ( www.castlecops.com/CLSID.html), нужно ввести CLSID (строку вида 00000000-0002-53D4-0622-35EA0235778E). Если CLSID не найден по той базе — это серьезный повод для его удаления!
    Для профилактики — не использовать IE. И не только для профилактики таких случаев ;-)

    Совсем простые и типовые случаи я рассмотрел. Теперь настал черед поиска неизвестно чего и неизвестно где… Процесс этот длительный и сложный. Раз уж у нас есть IceSword — пробегаем по всем вкладкам. На память сейчас не вспомню что там и как, но если в списке процессов что-то помечено красным — этот процесс скрыт, и исполняемый файл этого процесса — кандидат на проверку! В этой же софтине можно посмотреть открытые порты и кому они принадлежат. Крайне мощная штука — Rootkit Unhooker ( www.antirootkit.com/software/RootKit-Unhooker.htm), предназначена для поиска руткитов. Если будете делать ей отчет, снимите галочку с пункта «Files». Под подозрением — любые процессы что-то перехватывающие, скрытые драйвера. Аналог — GMER ( www.gmer.net/index.php). Ну и просмотр логов Хайджека: выполняющиеся процессы, автозапуск, сервисы.

    Я нашел странный файл...
    Как проверить, вирус это или нет? Есть множество разных способов. Например, посчитать MD5-сумму файла (софта — куча!) и провести поиск по ней у Bit9 ( fileadvisor.bit9.com/services/search.aspx), нужна регистрация. Сервис указывает из каких источников файл был получен. Если файл получен от крупных компаний — он чист наверняка. Еще способ — virustotal ( www.virustotal.com), но у него есть существенные минусы: более 50% антивирусов могут выдать ложные срабатывания, или, наоборот не определить вирус в файле.

    Я нашел файл с заразой
    Поздравляю! Теперь есть действия, которые просто необходимо выполнить. Вот тут habrahabr.ru/blogs/infosecurity/38149 добрые люди потрудились и составили список адресов антивирусных компаний, куда следует засылать новые вирусы. Пожалуйста, отправьте файл по ним (в архиве с паролем virus, пароль укажите в теле письма). Ну если не по всем, то хотя бы нам, в DrWeb ;-) Если от DrWeb пришел ответ, что это вирус новый, то для лечения нужно сделать следующее: подождать около 2 часов, потом обновить базы или скачать свежий CureIt (заново скачать! Там будут новые базы) и провести сканирование системы. Почему CureIt — см выше, это легковесная бесплатная и мощная софтина. Зараженный файл после отправки, в принципе, можно и удалить. Правда, в некоторых случаях удаление приведет к полной неработоспособности системы, пример — семейство FtpLich/Lich.
    Если отправленный вами файл будет добавлен в базу, тем самым вы предотвратите заражение других компьютеров и поможете вылечить уже зараженные. Подумайте о своей карме не только на хабре, о времени других людей.

    Если ничего не помогло
    Остаются специализированные форумы. Порекламирую, опять-таки наш: new-forum.drweb.com/mod/forum ;-)

    Полезные ссылки
    www.freedrweb.com/cureit/?lng=ru — CureIt, бесплатный антивирусный сканер на дрвэбовском движке и с его базами.
    www.farmanager.com — FAR, хороший файловый менеджер.
    www.izcity.com/faq/winxp/question1517.html — отключение автозапуска дисков в винде.
    www.antirootkit.com/software/IceSword.htm — IceSword, хорошая утилита мониторинга системы.
    www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis — hijackthis, аналогично.
    www.castlecops.com/CLSID.html — проверка легальности BHO по его CLSID
    www.antirootkit.com/software/RootKit-Unhooker.htm — RootKit Unhooker, крайне полезная штука для ловли руткитов
    www.gmer.net/index.php — GMER, аналогично.
    fileadvisor.bit9.com/services/search.aspx File Advisor, проверка файла по MD5.
    www.virustotal.com — проверка файла множеством антивирусов сразу.
    habrahabr.ru/blogs/infosecurity/38149 — адреса для отправки нового вируса антивирусным компаниям
    support.drweb.com/sendnew — отправка файла в DrWeb
    new-forum.drweb.com/mod/forum — форум DrWeb.

    PS. Надеюсь, кому-то прогодится. Дополнения приветствуются.
    PPS. Обсуждать тут конкретные случаи заражения не буду — вэлкам на форум.
    Поделиться публикацией
    Похожие публикации
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 139
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Хм, сейчас погуглю что это такое…
        • +1
          forums.microsoft.com/TechNet-RU/ShowPost.aspx? PostID=3117726&SiteID=40

          Судя по всему, можно поиметь проблемы с сетевыми дисками, так что осторожно надо…
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Авторанеры — это не проблема :-)
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  Как минимум третий вариант решения проблемы. Правда, не совсем понятно как это работает.
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • НЛО прилетело и опубликовало эту надпись здесь
                    • +1
                      «This hack tells Windows to treat AUTORUN.INF as if it were a configuration file from a pre-Windows 95 application. IniFileMapping is a key which tells Windows how to handle the .INI files which those applications typically used to store their configuration data (before the registry existed). In this case it says „whenever you have to handle a file called AUTORUN.INF don't use the values from the file. You'll find alternative values at HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist.“ And since that key, er, does not exist, it's as if AUTORUN.INF is completely empty, and so nothing autoruns, and nothing is added to the Explorer double-click action.»
                      отсюда э

          • 0
            Огромное Вам спасибо за подсказку насчет «MountPoints2». У меня раньше при попытке дабл кликом открыть примонтированный диск, вылетало какое-то сообщение о неправильной попытке установки. Никаких autorun.inf на диске небыло. Сейчас поискал в реестре, и на третьем шаге заметил, что только у этого диска в реестре есть параметр Autorun. Все потер и теперь замечательно открывается.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Не путайте классы программ :-) Cureit — полноценный антивирусный движок с базами, а AVZ — утилита для анализа системы, как я понял. Ну а ClamAv (если вы его имели в виду) по сравнению с вэбовским движком просто младенец.
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  ClamWin на движке ClamAV. У них качество детекта пока плоховато :-(
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • +1
                      Тесты — ловля сверического коня в вакууме :-( Для тестирования — вирустотал и свежак, который реально встречается в природе.
                      • НЛО прилетело и опубликовало эту надпись здесь
                        • 0
                          Наше руководство так вообще решило выйти из участия в VB100.
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • 0
                              Насколько мне известно, мы там не выловили всего 1% вирусов. Ну и вот ссылка на тему: info.drweb.com/show/3482/ru
                              • НЛО прилетело и опубликовало эту надпись здесь
                                • +1
                                  Да CureIt вообще-то бесплатный… Другое дело что это средство для олднократной проверки.
                                  • НЛО прилетело и опубликовало эту надпись здесь
              • +4
                Avz вспомнили, а ссылку дать забыли.

                www.z-oleg.com/secur/avz/download.php

                Если чуть подробнее, avz — инструмент для разностороннего анализа и администрирования системы, который чрезвычайно полезен опытным пользователям, но некоторые его возможности пригодятся и новичкам.

                Что делать новичку с avz?

                1. Скачать
                2. Обновить базы (в меню «файл» есть соответствующий пункт)
                3. Установить драйвер расширенного монитора процессов (меню AVZPM)
                4. Закладка параметры поиска — Все включаем, все на максимум
                5. Закладка «типы файлов» — отключаем проверку архивов (очень долго, а трояны в незашифрованных архивах почти не встречаются).
                6. В «методике лечения» справа — выбираем что делать с найденной заразой на свой вкус. Мой вариант — удалять все (сомнительные он все равно не тронет).
                7. Запускаем проверку.
                8. Когда проверка закончится, нажимаем кнопку с очками справа окна. Он выдаст список обнаруженных подозрительных объектов. Их изучаем вручную или отправляем для тестирования по соответствующим адресам (см. главный пост).
                9. Если удалить файл не удается, используем «файл->отложенное удаление файла.
                10. После всего этого запускаем „файл->мастер поиска и устранения проблем“, выбираем „системные проблемы“ и „все проблемы“, потом „пуск“, ставим все галочки кроме „автообновления системы“ (это — по желанию) и внизу „исправить выбранные проблемы“.
                11. „Файл-восстановление системы“, ставим все галочки, кроме тех, у которых написано „опасно“, и говорим „выполнить“.

                Предупреждаю сразу — штука опасная, использовать с осторожностью, все подозрительное не удалять, т.к. на максимальном уровне эвристики часто бывают ложные срабатывания.

                Если интересно, могу сделать отдельный пост, или даже серию постов, про более тонкие возможности avz (а их действительно много).
                • 0
                  От себя добавлю: выполнять скрипты для AVZ — опсано! Они могут быть вовсе для других случаев, по аналогии действовать вредно :-)
                  • +2
                    сделайте, будет интересно
                • 0
                  А я свою Флешку отформатнул в ntfs, создал там Autorun.inf (там мона прогу на запуск поставить), Total Commander'ом запретил изменение этого файла.

                  И теперь вставляя в зараженную машину флешка не заражается Autorun вирусами.
                  • 0
                    как именно стоит запрет на изменение? Просто ReadOnly в аттрибутах файла?
                    • НЛО прилетело и опубликовало эту надпись здесь
                    • +1
                      а проще сделать пробуй: (на любой фс) создаешь папочку autorun.inf, ставишь ей бит скрытности дабы глаза не мусолила и обо всяких авторанах забываешь навсегда.
                      • 0
                        Shift зажимаешь когда вставляешь флешку или диск, тогда отключается автозапуск. (Windows)
                        • 0
                          Вирус весит в памяти и всё равно засирает корень флешки, так что Shift спасёт на своей машине.
                      • 0
                        Статья интересная…
                        Вот интересно… Касперский тоже начнёт писать тут))?
                        • 0
                          Было бы интересно, конечно. Но у них уже есть свой блог :-)
                        • 0
                          последние пять лет работаю без антивируса, решил на днях ради интереса проверить Касперским, вирусов нет :) на самом деле антивирусы имхо нужны для домохозяек, а также для людей, много проводящим времени за порнушкой сомнительного качества.
                          От, скажем так, коммерческого вируса вас не спасет ни одни антивирь, ну а от остальных достаточно включать защиту от дурака и проблем не будет. Да и «коммерческие» вирусы пишутся далеке не для России и СНГ, а для несколько более развитых стран )
                          • 0
                            Ну не от всякой заразы можно еберечься… У каспера тоже есть недостатки, типа ложных срабатываний…
                            • 0
                              касперского я привел лишь в качестве примера
                          • 0
                            Чтобы отключить автозапуск, нужно в командной строке ввести gpedit.msc, далее зайти Политика «Локальный компьютер» -> Административные шаблоны -> Система -> Отключить автозапуск, выбрать вариант «Отключить автозапуск на ВСЕХ ДИСКОВОДАХ» и поставить свойство «Включен».

                            DrWeb не самый лучший антивирус, я раньше его использовал. Но после буйства одного особого опасного вируса поставил себе Kaspersky. CureIt — полезная программа, в первую очередь потому, что бесплатная и содержит свежие базы DrWeb.
                            • 0
                              Каспер тоже далеко не сахар: юзер шлет им чистый файл, который они находят, его там якобы «анализируют» и говорят да, это вирус который мы знаем. Ложные срабатывания на упакованных и модифицированных вручную файлах… Хватает у них проблем.
                              • 0
                                По крайней мере, судя по виденным мною тестам, Kaspersky находился в первой тройке, а DrWeb плелся где-то в конце. Для меня у Касперского один главный недостаток, с ним притормаживает даже мой неслабый комп.

                                Я лично сталкивался с 2 вирусами, на которые не реагировал DrWeb, но которые находил Касперский. Большего сказать не могу, потому что у меня было совсем немного вирусов. :)
                                • 0
                                  Про тесты я тут уже кинул ссылку. А насчет того, что кто-то детектит, а кто-то нет — это всегда так будет. Я каждый день добавляю в базы детект для десятка файлов, которые каспер еще не детектит, и у них также…
                                  • 0
                                    Собственно, тесты тут не при чем… Если ваш антивирус не справляется со своей работой, но вы находите другой, который лечит вирусы успешнее, это естественная реакция — перейти на новый антивирус. Я пользовался DrWeb полгода, но против первого же попавшегося вируса он ничего не смог сделать. Так что, к DrWeb уже вряд ли когда-либо вернусь.
                                  • +3
                                    Ну сколько я видел тестов, там Каспера наоборот все опускают.
                                    Вообще тестировщики Каспера не очень любят и порой предвзято относятся к нему.
                                    Действительно, он тормозил раньше, но сейчас вроде как в новой версии побыстрей работает.
                                    И вообще: антивирус — это хорошо, а антивирус и нормальная голова — лучше.
                                    • 0
                                      Нормальную голову ещё никто не отменял… :)

                                      Да у меня старая версия Каспера (7.0.0.125), она тормозит (проц Core 2 Duo E6750), поэтому обычное состояние моего антивируса — отключенное. Включаю, только когда нужно какой-нибудь файл проверить с crack.am. :)
                                      Раньше 3 года без антивируса как-то жил, но сейчас на всякий случай антивирь нужен… мало ли что
                                      • +3
                                        Ставь нового, он побыстрее малость…
                                        Хотя у меня он тоже часто отрублен
                              • 0
                                Я думаю у пользователей хабра в основном вирусов нет, но вот бороться с вирусами им приходится часто, помогать друзьям, знакомым, так что статья полезная. +
                                • 0
                                  Ну для этого, в общем, и писалось.
                                  • +2
                                    завуалировал, чертяка ))
                                • 0
                                  Кто, интересно, первый напишет: «юзайте мак, и забудьте об этой херне» ;)
                                  • +1
                                    Линух. Но зараза есть везде, так что не панацея.
                                    • 0
                                      О черт, не успел…
                                    • 0
                                      Живу без антивируса года 2 и никаких проблем. Из любопытства проверял недавно портативной версией, резульат — «чисто». Просто пользуюсь контентом из проверенных источников.
                                      • +2
                                        Если антивирус ничего не находит — не факт, что ничего и нет. Сколько Русток безнаказанно на компах жил, прежде чем его смогли найти…
                                        • 0
                                          Читал, антивирусы детектят щас примерно 30% от существующих вирусов.
                                          Еще, говорят, не работать под Администратором очень помогает (правда, так же и очень затрахивает).
                                    • –3
                                      юзайте линух (сори мак), и забудьте об этой херне
                                      • –2
                                        Ща прибегут и заминусуют :-)
                                        • –1
                                          ну всЁ лучше чем не просто ноль )))
                                      • 0
                                        Еще два способа борьбы с autorun'ами:

                                        mechanicuss.livejournal.com/159455.html
                                        forum.ixbt.com/topic.cgi? id=22:70508

                                        • 0
                                          Еще два способа борьбы с autorun'ами:

                                          mechanicuss.livejournal.com/159455.html
                                          clck.ru/ny

                                          Прошу прощения, в первый раз парсер испортил ссылку.
                                          • 0
                                            Важно отметить, что
                                            — способ с удалением раздела MountPoints2 начинает работать после перезагрузки системы
                                            — это нужно проделывать под каждым пользователем, или добавить bat-файл с нужными командами в автозагрузку всем пользователям
                                            (не так изящно, зато надежно)
                                            • 0
                                              Нужно сделать набор файлов, который будет плодится как эти самые авторанеры, но при этом отключать автозапуск на компьютерах ;-)
                                          • 0
                                            Вопрос — есть системный файл, тот-же эксплорер. Допустим, его мы видим заражённым. И как его исправить, учитывая непонятки с установочным диском от M$?

                                            Я искал на диске, который делал тузлой bart pe. Там есть многие системные файлы в конечном образе, но хочется алгоритм вытаскивания любого с установщика виндовс.
                                            • 0
                                              Прислать в антивирусные компании, чтобы там сделали процедуру лечения. У вас на системе могут стоять всякие там багфиксы, сервиспаки и прочее, так что explorer на диске и в системе — это могут две большие разницы. А действительно есть зараженный эксплорер? ;-)
                                              • 0
                                                Нету. XD Но зато есть небольшая коллекция вирков. На всякий случай… Выловлены с флешек и прочего добра.

                                                А вообще удобно прослеживать жалкие попытки так, как говорит товарищ Billiard, но добавив к этому прогу CORE FORCE…
                                            • 0
                                              В реальной жизни все шораздо проще!

                                              Ставим AnVir Task Manager, который предупредит нас о тех паразитах, которые прописались или захотят прописаться в «автозагрузку».

                                              А для очистви совести периодически сканим систему AVZ4.

                                              Живых вирусов не видел уже лет 5… ))

                                              PS: Чуть не забыл. Надеюсь, что открывать левые письма со спамом и фишингом мы уже научились?!
                                              • +1
                                                Автозапуск приложений может быть осуществлен из сотни, наверное, мест. И сомневаюсь, что есть тулзина, которые их все мониторит. Например, AppInit_DLLs предлагаемое средство проверяет? Если какое-то средство спрашивает «разрешить/запретить», то самым слабым звеном будет человек. Так что я считаю это не лучшей идеей.
                                                • +1
                                                  А чтоб не сомневаться, поставь и попробуй…
                                                  Утилитка маленькая, но очень полезная!

                                                  А человек? Куда ж его денешь?
                                                  Для этого существует элементарная компьютерная грамотность.
                                                  Без нее все равно ни один антивирусный вариант не даст 100-процентной гарантии.

                                                  За много лет я перепробовал на себе и пользователях практически все известные антивиручы и остановился на самом простом варианте, который имеет следующие преимуства:

                                                  1. Простота (не грузит систему всяким непотребством)
                                                  2. Дотупность (бесплатность и простота использования)
                                                  3. Результативность (хорошие результаты в течение длительного времени)
                                                  • 0
                                                    На Linux дома она не встанет, а на работе мне антивирусы и иже с ними будут только мешать, так что не выйдет.

                                                    Открою, кстати, тайну: 100% гарантии не даст ни один антивирус. Если только компьютер не будет выключен ;-)
                                                    • 0
                                                      Именно! Антивирусы только мешают работать…
                                                      Это ясно всем, кто разобрался хотя бы в общих принципах.
                                                      А про гарантии — какая ж это тайна? Констатация факта и не боле того.
                                              • 0
                                                Реклама — это хорошо. Но вот почему ваш антивирус до сих пор не умеет лечить экзешники, зараженные примитивной Neshta.a — для меня загадка.
                                                Извините за оффтопик.
                                                • +1
                                                  Хм… А вот давайте на форум, создавайте тему про Нешту. Есть у меня смутные подозрения, что это как раз случай леченых файлов, на которые некоторые антивирусы (уж непонятно почему) реагируют как на вирусы. Я тут на днях такой вот Win.CIH видел. Вылеченный файл, разве что кусок вируса внутри, но он не активен. А остальные антивирусы ругаются…
                                                  • 0
                                                    Ок, напишу счас абузу :)
                                                    • 0
                                                      Но если нет такого «зараженного» файла, конструктивного разговора не будет, без файлов мы ничего сделать не можем.
                                                      • 0
                                                        А я не говорил, что он «зараженный». Он криво вылечен. Счас ребутнусь в винду, поищу зараженный экземпляр и попробую вылечить. В общем, скоро отпишусь. Спасибо за участие.
                                                        • 0
                                                          Давайте на форум. И сделайте где-нибудь копию исходного файла, а то будет сложно без него.
                                                • –2
                                                  Слава Джобсу. Читаю и еще сильнее люблю свой мак.
                                                  • 0
                                                    Уязвимости и косяки есть везде, панацея — выключенный компьютер.
                                                    • +1
                                                      … завёрнутый в бинты и смазанный эпоксидной смолой
                                                  • 0
                                                    Джобс тут ни при чем, благодарите создателей UNIX
                                                    • 0
                                                      А кто ж мак не любит? Хорошая трава (ой, компьютер). Я Макинтоши тоже люблю, но считаю упоминание здесь о них (и о линухах) неуместным. Это всеравно что в теме про автомобили, говорить что велик лучше, ибо бензина на него не надо, права не нужны и т.п.
                                                      • 0
                                                        Если бы в названии или хотя бы тексте статьи было указано, что речь идет о Windows — тогда конечно. А не прочтя статью, вовсе не очевидно, что речь идет именно об автомобилях.
                                                    • 0
                                                      спасибо за инфу… полезно

                                                      хотя ни троянов ни вирусов давно не видел… только на работе сотрудники ловят…
                                                      на винде у меня стоит связка Stop!, SpywareTerminator, Comodo BoClean
                                                      ну а мак с eeepc на никсах… там проблем нет
                                                      • 0
                                                        Спасибо. Пару ссылок оказалось полезными.
                                                        • 0
                                                          Кстати CureIt сказал, что мой антивирь является вирусом… это как?
                                                          • 0
                                                            Давайте на форуме нашем обсудим?
                                                        • 0
                                                          а что с вирусом в файле printer.exe на флешке?
                                                          • 0
                                                            Старая известная зараза. Мы посмотрели, не видно там кода, чтобы флэшку лочить. Нужно ее разлочить, п ротом повторить заражение. А вот с разлочкой пока проблемы…
                                                            • 0
                                                              вобщем тебе ещё одну приносить надо :) свежезаражённую так сказать, без попыток вылечить :)
                                                          • –1
                                                            Хорошо пропиарил свой drWeb, но для полноты картины надо было бы и на других конкурентов ссылки дать — у всех есть бесплатные аналоги :)
                                                            И для надежности лучше всеми сканерами прогнать.
                                                            Вот например ссылка на онлайновый сканер от F-Secure: support.f-secure.com/enu/home/ols.shtml
                                                            А тут есть куча бесплатных программ для удаления частовстречающихся вирусов: www.f-secure.com/download-purchase/tools.shtml
                                                            • 0
                                                              Не знал про F-Secure…
                                                              • 0
                                                                конкурентов нужно знать :)
                                                                написал у вас на форуме…
                                                                тишина…
                                                                • 0
                                                                  Это у меня сетка по непонятной причине минут на 5 вылетела :-(
                                                          • +2
                                                            Кстати, почему не кто не пишет про защиту от Comodo? Раньше да, были проблемы… даже винду переставлял… сейчас очень хорошо работает и, главное, все бесплатно
                                                            • 0
                                                              Ставил я её, какая-то она недоработанная.
                                                              • 0
                                                                Напишите, будет интересно.
                                                                • 0
                                                                  ну пиши не пиши — вопрос удобства…
                                                                  странно просто, что никто не пробует…

                                                                  www.comodo.com/products/free_products.html
                                                                  есть AntiVirus, Firewall, Anti-Malware и еще много чего…
                                                                  постоянно обновляется, выходят новые версии…
                                                                  если верить софтпедии очень хорош, но не идеален правда
                                                                  www.softpedia.com/get/Antivirus/Comodo-AntiVirus.shtml

                                                                  CureIt! кстати в софтпедии набрал меньше голосов, не в обиду :)
                                                                  • 0
                                                                    Читал в каком-то тесте буквально следующее: «такие экзотические продукты как DrWeb». У них там зарубежом совершенно другой софт имеет распространение. И китай — тоже отдельный разговор. Не пробуют — потому что не знают.
                                                                    • 0
                                                                      я же не спорю :) просто говорю об альтернативе

                                                                      кстати, сейчас очень модно выдавать вирусы за антивирусы :)
                                                                      много читал про это…
                                                                      • 0
                                                                        А я, блин, всю эту шайку вижу почти каждый день :-( Надо сказать спасибо коллегам — они существенно сократили количество недетектируемых файлов с этими ложными антивирусами.
                                                                        • 0
                                                                          кстати, было бы интересно список увидеть не антивирусов… есть такое?
                                                                          • 0
                                                                            Слишком большой список будет. Я как-то начал составлять, но там чуть ли не 10 названий за 3-4 дня получилось…
                                                                            • 0
                                                                              скиньте, если не жалко… а то люблю эксперименты ставить… мало ли :)
                                                                              • 0
                                                                                vilgeforce.livejournal.com/490105.html список там. Только вы это, осторожно, ладно? Некоторые из них за собой длинный хвост могут тянуть :-)
                                                                                • 0
                                                                                  ну ессно ставить их не буду :)
                                                                                  вроде ничего знакомого не встретил :)
                                                                                  значит не ставил…

                                                                                  хотя как можно непроверенное ставить?
                                                                                  я сначала кучу форумов изучаю, потом только пробую
                                                                                  но так и не могу остановиться… все равно в поиске :)

                                                                                  хотя и Stop! радует — не напрягает систему, все время обновляется… ни разу не глючил…
                                                                                  • 0
                                                                                    Да, гугление по их названиям сразу дает понять, что они левые. Но у них стратегия распространения интересная: вылезает окно «Вы заражены, скачать защиту тут». И еще довольно интересная особенность у людей есть: если какой-то антивирус находит вирусы, там где другие не находят — он лучше.
                                                                                    • 0
                                                                                      это да… так ламерье и цепляет вирусы с троянами
                                                              • +2
                                                                Столько шума, столько человеческого труда создателей антивирусов, столько заработанных на этом денег, столько разочарований пользователей, столько портаченного людьми времени…
                                                                И все это по большей части из-за уязвимости продукта известных разработчиков. Такова жизнь?
                                                                • 0
                                                                  Есть и другой путь!
                                                                  • +2
                                                                    Подавляющее большинство современной заразы использует дыру не в том самом продукте, а в пользователе. Программисты пишут программы, которые нормально работают только под админом, юзер из-за этого под админом и сидит. Вот и вся дыра :-)
                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                    • +2
                                                                      Кстати забыли упомянуть о ручных средствах: Autoruns, Process Explorer («мега-продвинутый» диспетчер задач), Process Monitor (FileMon, RegMon). Скачать можно на http://technet.microsoft.com/en-us/sysinternals/default.aspx.
                                                                      Находить и прибивать мелкую вирусню с помощью этих софтин проще простого.
                                                                      • 0
                                                                        А, точно, Process Explorer забыл… :-( Есть еще тулзина, которая по окну PID и имя файла породившего процесс выдает.
                                                                        • 0
                                                                          В Windows XP в комплекте идет программа tasklist. Тоже полезная вещь.
                                                                          >которая по окну PID и имя файла породившего процесс выдает.
                                                                          Через нее можна сделать например так: tasklist /FI «WINDOWTITLE eq Opera» /V
                                                                          Через Process Explorer это делается через иконку с изображением цели.

                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                        • +2
                                                                          О, а вот и альтернативно-одаренные набежали…
                                                                        • 0
                                                                          Для ручного убивания «заразы» очень помогает ProcessExplorerNT и Unlocker
                                                                          главное не убить ничего лишнего
                                                                          на моём опыте было убийство VirtuMonde — такой скажем поп-апер Not.A.Virus
                                                                          первый раз с последствиями — убил себе winlogon
                                                                          второй раз обошлось бсодом при перезагрузке после удаления, благо есть бекап :)))
                                                                          • 0
                                                                            Да, виртумоды — дрянь редкостная :-(
                                                                          • 0
                                                                            Лучше все таки использовать антивирус, чем ковыряться потом черт знает где :)
                                                                            • 0
                                                                              не всегда в даже самых новых базах есть новые тела руткитов, адварей и иже с ними, даже антивирус в связке с фаерволом и антишпионским ПО не даёт 100% гарантии :)
                                                                          • 0
                                                                            А я бы все таки рекомендовал для начала использовать AVZ вкупе с HiJack + обыкновенный таск менеджер, паралелльно с хорошим антивирусом, рекомендую юзать Avira… Сам в свое время писал кратенькую стетейку :-)
                                                                            • –5
                                                                              > За исключением довольно редких случаев, вирусы и трояны должны быть представлены в виде файла, поэтому ловля заразы — это ловля файла.

                                                                              Автор ошибается. Сильно ошибается.
                                                                              • 0
                                                                                Автор имеет статистику: из нескольких сотен (если не тысяч уже) образцов заразы, прошедших через мои руки, только 1 (один) образец был загрузочным вирусом и тем самым был не в файле.

                                                                                Мимо меня, возможно, проходит какой-то большой пласт не_файловых вирусов и троянов, поэтому хотелось бы примеров от вас.
                                                                                • 0
                                                                                  А, есть довольно редкие трояны, которые скачивают файл и запускают его без сохранения на диск. А также бэкдоры, которые исполняемый код получают и выполняют без сохранения. Но это — единичные случаи.
                                                                                • 0
                                                                                  А у меня самый лучший антивирус — Убунту =)
                                                                                • 0
                                                                                  Могу предложить одну «одминскую» методику защиты Windows, которую я обычно применяю на машинах, на которые приносят всякие левые файлы (например, в типографиях/фотосалонах тачка, в которую тыкают все клиентские флэшки с фотками на печать). Может и для Интернета пригодиться. Одно важное НО: пользователь машины должен знать о такой настройке, обдумать свои ограничения хорошенько и полностью принять их, в противном случае беда будет хуже чем с вирусами (т.к. злодеем теперь окажется доброхот-админ).

                                                                                  Всё просто. В групповых политиках Windows запрещаем запуск исполняемых модулей из всех локаций, которые могут соответствовать смонтированным флэшкам. Теперь пока сам что-то на жесткий диск не скопируешь, не сможешь запустить даже намеренно.

                                                                                  Можно также обрубить запуск программ из Temporary Internet Files.

                                                                                  Да, еще одно ограничение получается — винда вроде должна быть XP Pro, щас не помню точно.
                                                                                  • 0
                                                                                    И еще, жду-не дождусь, когда лечилки от конкретного червя будут распространяться через ту же уязвимость и тем же методом, что и сам червь. И уязвимость за собой закрывать.
                                                                                    • 0
                                                                                      Делать что-то без ведома пользователей — зло!
                                                                                    • +3
                                                                                      позабавило:
                                                                                      «
                                                                                      Еще типовой вариант проявления заразы: вы по неизвестной причине используете IE и в нем начинает появляться всякая левая реклама, панели, кнопки…
                                                                                      »
                                                                                      • 0
                                                                                        Да уж, написал хорошо :-)
                                                                                        • 0
                                                                                          А я вот например IE не ползуюсь, просто однажды в FF перестали грузится некоторые сайты, сначало подумал, что баг, а потом как-то случайно открыл IE, и о чудо! Сколько новых тулбаров, да и Избранное само закладками пополнилось. Я бы сказал, что проверять IE если есть подозрения на вирусы нужно, но отключившись от интернета.

                                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.