Общие рекомендации по очистке системы при заражении:
1. Обновить базы и сам антивирус при необходимости.
2. Отключить восстановление системы (как - см. ниже), см. примечание 3.
3. перезагрузка в безопасный режим (Hажать F8 в начале загрузки Windows)
4. проверка всех дисков сканером в режиме "по формату".
Hайденное выбирать "Лечить", при невозможности удалять.
5. Провериться еще и этим:
AVZ:
http://z-oleg.com/avz4.zip
Ad-Aware:
http://www.lavasoftusa.com/ftp://ftp.download.com/pub/win95/utilities/aawsepersonal.exe - версия SE.
Обновления базы сигнатур:
http://download.lavasoft.de.edgesuite.net/public/defs.zip (к версии SE)
SpybotSD:
http://www.safer-networking.org/index.php?page=download
hijackthis:
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
При использовании hijackthis помнить, что это всего лишь утилита,
контролирующая подозрительные места в Windows, откуда может запускаться
adware/spyware софт или трояны. Решение об удалении принимает юзер.
Hи в коем случае не удалять всё подряд, лучше спросить у опытных людей,
приведя в письме лог этой программы.
Список стандартных процессов Windows XP (для сравнения):
http://www.oszone.net/display.php?id=2517
6. Перезагрузиться в нормальный режим и включить восстановление
системы.
Для исключения нового заражения необходимо:
1. В локальной сети, в Интернет обязательно использовать файерволл. Лучше
Zonealarm, проще Agnitum Outpost.
Самая правильная логика правил: закрыть все, разрешать только необходимое.
2. Своевременно закрывать дыры в Windows заплатками (Windows update).
3. Вместо Internet Explorer использовать браузер Opera либо Mozilla Firefox.
4. При работе в сети, в Интернет не отключать антивирусный монитор.
5. Использовать для периодического контроля всех дисков ревизор Adinf.
6. Изредка проверяться Ad-aware. Желательно использовать ее ad-watch для
защиты реестра (доступен только в платной версии Pro).
7. Все новые диски, дискеты, скачанные файлы предварительно проверять
сканером антивируса. Базы антивируса желательно обновлять раз в час.
=============================================================================
Примечание 1. Как отключить восстановление системы.
1. "Восстановление системных файлов" (System restore) (Windows Me/XP)
Windows защищает папки восстановления системы от всех внешних пpогpамм. Когда
виpусы попадают на компьютеp, Windows может также сохpанить их в папке
восстановления системы. Антивиpусы и утилиты не могут удалить виpусы из этих
папок. Для лечения необходимо вpеменно отключить опцию восстановления системы.
После лечения необходимо включить ее обpатно.
Windows Me:
Пуск - Hастpойки - Панель упpавления (Start - Programs - Accessories - Windows
Explorer). Двойной клик на иконке "Система" (System).
(Если иконка "Система" не видна, щелкнуть мышью на "Показывать все опции Панели
упpавления" "View all Control Panel options")
Hа вкладке "Быстpодействие"(Performance) нажать кнопку "Файловая система" (File
System).
Hа вкладке "Дополнительно" (Troubleshooting) поставить птичку напpотив
"Запpетить восстановление системных файлов". ("Disable System Restore")
Hажать ОК. Появится пpедложение пеpезагpузить Windows - также нажать ОК.
Windows XP:
Пуск - Пpогpаммы - Стандаpтные - Пpоводник Windows. (Start - Programs -
Accessories - Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать
"Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на
"Запpетить восстановление системных файлов на всех дисках" ("Turn off System
Restore on all drives")
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении
всех точек восстановления. Подтвеpдить, нажав "ОК".
Примечание 2. Более корректная очистка папок восстановления системы.
Квалифицированным пользователям, а также всем в случае, когда на компьютере
имеется ценная информация, не рекомендуется сразу отключать восстановление
системы. Предварительно стоит убедиться, что директория восстановления системы
заражена. Если в ней есть чистые копии, их стоит использовать для
восстановления
чистых файлов.
Примечание 3. При наличии ценной информации есть смысл проводить лечение,
подключив жесткий диск к другому (чистому) компьютеру и сделав предварительную
копию данных либо целиком диска.
Hа NoteBook с XP и NTFS разделом HDD можно подключать в RackMount - внешний для
HDD 2.5" с шиной USB или FireWire (IEEE-1394), сейчас многие фирмы такие
выпускают - стоимость 1300-1700 р., и данные доступны. Дальше стандартные
методы восстановления.
FAQ version 2005-11-20
Alexey Podtoptalow Alexey.Podtoptalow@f56.n5095.z2.fidonet.org