Как лечиться от вирусов и троянов. Инструкция

[tele]

Тему решил открыть потому, что часто вижу вопросы такого плана: "завелся зверь такой-то... антивирь не лечит, что делать?"
Поэтому прошу писать исключительно о лечении. Профилактика и выбор защиты - в других темах.
И еще....Есть одна программа, которая заменяет многих, это ФАР. Советую освоить всем, так как без нее геммороя намного больше, особенно при лечении своей любимой тачки.

Конкретно с каким зверем ни сталкивался, но метод борьбы всегда один
1. Смотрим список процессов, лучше в ФАРе - меньше гемороя
2. Убиваем процесс (или два) запущенныи зверем. 2 - ето потому, что они друг за другом следят. Если одного убьют, тогда дружок ето заметит и снова его запустит. Так обеспечивается неубиваемость и неизлечимость.
3. Смотрим список сервисов. Там наверняка тоже будет их сообщник. Останавливаем (тоже через ФАР - так спокойнее)
4. Теперь можно добить что не добито.
5. Самое главное. Перед тем как убить, смотрим по Ф3 инфу о процессе или сервисе. Там много чего, но нам надо только имена файлов и где они лежат.
6. В ДОСе убиваем все файлы етих зверей.
7 Идем пить пиво.

 

[ALEXRUS]

Ещё способ, но не все смогут им воспользоватся.

У кого неско ОСей стоит, то:
1. грузимся в другую ОСь
2.
а. Удаляем все ненужные файлы aka трояны и пр.
б. Проверяемся антивирусом или пр. программами для борьбы с троями и пр.
3. Радуемся
Скорее всего поможет.

 

[guryi]

а как же быть c svhost.exe, которы йкуда-то ломится пытается? как его полечить?

 

[Dutch]

а как же быть c svhost.exe, которы йкуда-то ломится пытается? как его полечить?

svhost.exe системный процесс, а вот кто под ним ломится действительно обнаружить сложно, иногда не возможно

 

[tele]

svhost.exe системный процесс, а вот кто под ним ломится действительно обнаружить сложно, иногда не возможно

Так в первом посте все и написано.
В списке процессов и сервисов все и увидишь.
А когда убьешь - тогда и любой антивирь заработает, и лечить начнет.

 

[guryi]

Удалить его конечно можно, вот только без него тоже полохо.

Вопрос возник такой - как в из дистрибута winXP sp2 выудить нормальный (незараженный) svchost.exe или он через другие .dll лезет и восстанавливать его нет смысла?

А антивири ничего не наводят.

 

[satanaclaus]

Мдя конечно. Но лучше их не лечить. А просто не пускать. Профилактика однако.
1. Могу посоветовать nod32(тока не надо начинать это ***ня, не ставте, сначала попробуйте, уже год хоть и триалка. Но вирусов не было, нет, и не будет.) - офф сайт eset.com - есть русский дистрибутив.
2. Конечно же фаервол. Для тех кому понравится nod32, 16 марта 2006 года выйдет релиз от eset.com. А пока могу посоветовать outpost.
3. Конечно же не забывайте о браузерах(они все корявые, даже опера(не держит java(вроде)).
4. Шпионы. Антивирусы на них не натасканы. Хоть и заявляют что могут найти(даже nod32). Могу посоветовать попробовать разных производителей.
Думаю не стоит обьяснять хо такое Adware/Spyware/Riskware
5. Да есче есть пара способов шо их обьяснять. Используйте прокси-серваки. Помогает. Особенно для клиентов ася etc

 

[tele]

Был у меня случай... Поймал зверя, а где его фаил лежит - не пойму. Оказалось - в реестре сволочь обосновался. Так прямо свой исполняемый код туда и записал. Ветка получилась килобайт на 20.
Поэтому проверяйте всегда откуда запуск идет.
В сервисах - это Binary Path
В процессах - Full path или modules
Все покажет FAR если плагинчик farsvc добавить
ftp://ftp.elf.stuba.sk/pub/pc/utilfile/farsvc.zip

 

[tele]

как в из дистрибута winXP sp2 выудить нормальный (незараженный) svchost.exe или он через другие .dll лезет и восстанавливать его нет смысла?

Идешь в фолдер I386 своего дистрибутива. Там увидишь файлы типа
SVCHOST.EX_
Ставишь курсор на файл и давиш (в ФАРе, конечно) Ctrl-PgDn
Попадаешь внутрь архива и видиш там родной SVCHOST.EXE
По F5 копируешь куда хочешь. Кто любит мышом елозить - может перетащить мышом

 

[tele]

FAR имеет способность наблюдать процессы на удаленном компе. Очень полезно, когда там сидит чел, неспособный на борьбу со зверями.

══════════════════════ Help - Список процессов ══════════════════════
Список процессов
─────────────────────────────────────────────────────────────────────
Этот модуль показывает список активных процессов. Можно
использовать F8 для удаления выбранных процессов, Enter для
переключения на окно процесса и F3 для просмотра дополнительной
информации о процессе.

Будьте осторожны с удалением процессов. Эта операция выполняется
немедленно, и любая не сохраненная информация данного процесса будет
потеряна. Поэтому удаление процессов должно использоваться только
при необходимости.

В плагине используются следующие дополнительные клавиши:

F6 Просматривать процессы на удаленном компьютере
Shift-F6 Вернуться на локальный компьютер
Shift-F1 Снизить приоритет текущего процесса
Shift-F2 Повысить приоритет текущего процесса
Shift-F3 Просмотреть информацию о процессе
с заданием опций просмотра
Alt-Shift-F9 Конфигурация плагина

См. также: Счетчики производительности NT
Специальные типы колонок

 

[Reload]

вскм сенк за помощь =)

 

[lastir]

Есть еще специализированные проги
Trojan Remover в настоящее время версия 6.4.7
http://www.simplysup.com
и Anti Trojan Elite 3.43
http://www.remove-trojan.com/
кряки легко находятся