Как лечиться от вирусов и троянов. Инструкция

tele

Member
Joined
Feb 25, 2004
Messages
259
Reaction score
28
Age
73
Тему решил открыть потому, что часто вижу вопросы такого плана: "завелся зверь такой-то... антивирь не лечит, что делать?"
Поэтому прошу писать исключительно о лечении. Профилактика и выбор защиты - в других темах.
И еще....Есть одна программа, которая заменяет многих, это ФАР. Советую освоить всем, так как без нее геммороя намного больше, особенно при лечении своей любимой тачки.

Конкретно с каким зверем ни сталкивался, но метод борьбы всегда один
1. Смотрим список процессов, лучше в ФАРе - меньше гемороя
2. Убиваем процесс (или два) запущенныи зверем. 2 - ето потому, что они друг за другом следят. Если одного убьют, тогда дружок ето заметит и снова его запустит. Так обеспечивается неубиваемость и неизлечимость.
3. Смотрим список сервисов. Там наверняка тоже будет их сообщник. Останавливаем (тоже через ФАР - так спокойнее)
4. Теперь можно добить что не добито.
5. Самое главное. Перед тем как убить, смотрим по Ф3 инфу о процессе или сервисе. Там много чего, но нам надо только имена файлов и где они лежат.
6. В ДОСе убиваем все файлы етих зверей.
7 Идем пить пиво.
 
Last edited by a moderator:

ALEXRUS

Member
Joined
Oct 16, 2004
Messages
980
Reaction score
56
Age
37
Location
Russia, Moscow
Ещё способ, но не все смогут им воспользоватся.

У кого неско ОСей стоит, то:
1. грузимся в другую ОСь
2.
а. Удаляем все ненужные файлы aka трояны и пр.
б. Проверяемся антивирусом или пр. программами для борьбы с троями и пр.
3. Радуемся
Скорее всего поможет.
 
G

guryi

а как же быть c svhost.exe, которы йкуда-то ломится пытается? как его полечить?
 

Dutch

Member
Joined
Feb 22, 2004
Messages
130
Reaction score
3
Age
52
Location
Coffieshop
guryi said:
а как же быть c svhost.exe, которы йкуда-то ломится пытается? как его полечить?

svhost.exe системный процесс, а вот кто под ним ломится действительно обнаружить сложно, иногда не возможно
 

tele

Member
Joined
Feb 25, 2004
Messages
259
Reaction score
28
Age
73
Dutch said:
svhost.exe системный процесс, а вот кто под ним ломится действительно обнаружить сложно, иногда не возможно
Так в первом посте все и написано.
В списке процессов и сервисов все и увидишь.
А когда убьешь - тогда и любой антивирь заработает, и лечить начнет.
 
G

guryi

Удалить его конечно можно, вот только без него тоже полохо. :)

Вопрос возник такой - как в из дистрибута winXP sp2 выудить нормальный (незараженный) svchost.exe или он через другие .dll лезет и восстанавливать его нет смысла?

А антивири ничего не наводят.
 
S

satanaclaus

Мдя конечно. Но лучше их не лечить. А просто не пускать. Профилактика однако.
1. Могу посоветовать nod32(тока не надо начинать это ***ня, не ставте, сначала попробуйте, уже год хоть и триалка. Но вирусов не было, нет, и не будет.) - офф сайт eset.com - есть русский дистрибутив.
2. Конечно же фаервол. Для тех кому понравится nod32, 16 марта 2006 года выйдет релиз от eset.com. А пока могу посоветовать outpost.
3. Конечно же не забывайте о браузерах(они все корявые, даже опера(не держит java(вроде)).
4. Шпионы. Антивирусы на них не натасканы. Хоть и заявляют что могут найти(даже nod32). Могу посоветовать попробовать разных производителей.
Думаю не стоит обьяснять хо такое Adware/Spyware/Riskware
5. Да есче есть пара способов шо их обьяснять. Используйте прокси-серваки. Помогает. Особенно для клиентов ася etc
 

tele

Member
Joined
Feb 25, 2004
Messages
259
Reaction score
28
Age
73
Был у меня случай... Поймал зверя, а где его фаил лежит - не пойму. Оказалось - в реестре сволочь обосновался. Так прямо свой исполняемый код туда и записал. Ветка получилась килобайт на 20.
Поэтому проверяйте всегда откуда запуск идет.
В сервисах - это Binary Path
В процессах - Full path или modules
Все покажет FAR если плагинчик farsvc добавить
ftp://ftp.elf.stuba.sk/pub/pc/utilfile/farsvc.zip
 

tele

Member
Joined
Feb 25, 2004
Messages
259
Reaction score
28
Age
73
как в из дистрибута winXP sp2 выудить нормальный (незараженный) svchost.exe или он через другие .dll лезет и восстанавливать его нет смысла?
Идешь в фолдер I386 своего дистрибутива. Там увидишь файлы типа
SVCHOST.EX_
Ставишь курсор на файл и давиш (в ФАРе, конечно) Ctrl-PgDn
Попадаешь внутрь архива и видиш там родной SVCHOST.EXE
По F5 копируешь куда хочешь. Кто любит мышом елозить - может перетащить мышом
 
Last edited by a moderator:

tele

Member
Joined
Feb 25, 2004
Messages
259
Reaction score
28
Age
73
FAR имеет способность наблюдать процессы на удаленном компе. Очень полезно, когда там сидит чел, неспособный на борьбу со зверями.

══════════════════════ Help - Список процессов ══════════════════════
Список процессов
─────────────────────────────────────────────────────────────────────
Этот модуль показывает список активных процессов. Можно
использовать F8 для удаления выбранных процессов, Enter для
переключения на окно процесса и F3 для просмотра дополнительной
информации о процессе.

Будьте осторожны с удалением процессов. Эта операция выполняется
немедленно, и любая не сохраненная информация данного процесса будет
потеряна. Поэтому удаление процессов должно использоваться только
при необходимости.

В плагине используются следующие дополнительные клавиши:

F6 Просматривать процессы на удаленном компьютере
Shift-F6 Вернуться на локальный компьютер
Shift-F1 Снизить приоритет текущего процесса
Shift-F2 Повысить приоритет текущего процесса
Shift-F3 Просмотреть информацию о процессе
с заданием опций просмотра
Alt-Shift-F9 Конфигурация плагина

См. также: Счетчики производительности NT
Специальные типы колонок
 
Top