Сегодня столкнулась с неожиданной проблемой - не могу войти на некоторые сайты, доступ блокируется. Начала в сети искать информацию - выяснилось - появился вирус, блокирующий доступ к сайтам.



Вирус - это программа, способная к самостоятельному размножению, выполнению команд, и др. действиям зачастую БЕЗ ВЕДОМА ПОЛЬЗОВАТЕЛЯ.

Как правило, это вредоносная программа, которая в лучшем случае пошутит над вами, мешая работать:

- Выдавать ложные ошибки\сообщения.
- Трясти курсор мыши.
- Подменять вводимые символы с клавиатуры.
- Вкл\выкл монитор\мышь\клавиатуру.
- Выдвигать лоток сдрома.
- Менять местами иконки рабочего стола.
- Изменять системное время.
- Перегружать\выключать компьютер.
- Загружать процессор\память на 100%.


... а как максимум - сделает ВСЁ, что в неё пропишет создатель, как то:

- Заразит ваши файлы, дописывая себя в конец каждого.
- Уничтожить\испортит ваши файлы\данные\операционную систему.
- Найдет\расшифрует\отловит ваши пароли доступа к чему-либо и отошлет хозяину.
- Выведет из строя "железные" составляющие: процессор\мат.плата\опер.память\жесткий диск\сдром...
- Откроет доступ к вашему компьютеру, превращая его в послушного зомби.



Подцепить заразу не так уж и сложно. Причем сам процесс заражения может быть выполнен как с вашим участием, так и без него.

Какая основная "прелесть" живет в сетке? Нет, не фильмы и музыка на сервере... а сетевые черви блуждающие в поисках подходящей жертвы. Атака и заражение происходит без вашего участия, так как червь использует уязвимые сетевые сервисы, запущенные на вашей машине. Как бороться с этой напастью - используем фаервол, однако речь сейчас о другом. Обнаружить и обезвредить уже приютившегося у вас зверька должен антивирус.

Все остальные вирусы обычно распространяются через зараженные файлы, которые пользователь открывает на своем компьютере. Наиболее часто поддвержены заражению исполняемые файлы с расширением *.exe, *.com, *.bat . А также в приложениях, имеющих встроенные языки (макросы).
Однако, современные вирусы где только не приживаться : Word(*.doc, *.xls), музыка (*.mp3), флэшки (*.swf), фильмы (*.avi), картинки (*.ipg, *.jpeg, *.gif, *.png, *.bmp), IE (*.htm, *.html, *.vbs, *.js, *.htt). При запуске такого файла, вирус начинает свое черное дело - выполняя свои деструктивные действия и заражая собой другие файлики.


========

Как узнать о том, заразились вы или нет? Давайте ознакомимся с основными признаками заражения:

1. Сильное торможение компьютера, ошибки в программах, зависание, перезагрузки (о виндоус :-] ).
2. Многочисленные сбои в работе программ.
3. Произвольный, без вашего участия, запуск на компьютере каких-либо программ;
4. Непонятные окошки, запрашивающие какие либо действия.
5. Частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
6. Исчезновение места\файлов\каталогов на жестком диске.
7. Появление новых файлов, особенно ссылок на них в автозагрузку.
8. Новые процессы в диспетчере задач (sys.exe, system.exe, sysdll.exe, fE5bD.exe).
9. Не стандартное поведение системы (медленная загрузка, выкл, и др).
10. При наличии на вашем компьютере межсетевого экрана(фаервола), появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в интернет, хотя вы это никак не инициировали.
11. Друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;


======= Инструкция

У МЕНЯ ВИРУС!!! Что мне делать?!! Вот руководство к действиям:

1. ВЫДЕРНИТЕ СЕТЕВОЙ КАБЕЛЬМОДЕМ и при возможности смените все важные пароли через комп друга\соседа, посколько в том случае, если вирус ориентировался на кражу такой информации, то он уже отправил данные хозяину - значит счёт идёт на минуты\секунды.

2. Если у вас не стоял антивирус до заражения, значит теперь есть повод поставить %) Выбираем, устанавливаем и настраиваем антивирус. Однако, зачастую вирус блокирует установку\запуск антивируса, поэтому прежде...

3. ...неплохо бы сразу проверить автозагрузку на наличие новых программ (если вы конечно в курсе, что там было до заражения). Для этой задачи потребуется прога Starter.

4. Жмем alt+ctrl+del и ищем подозрительный процесс (его имя совпадает с именем в автозагрузке). Убиваем его. Жестоко и беспощадно =]

5. Теперь найдём подозрительный файл и поищем, где он лежит. Попробуем переименовать\переместить его куда-нить или удалить.

6. Если вам не удается ни переименовать, ни завершить процесс - вирус хорошо защищен. Обычно при таком подходе вы едва ли сможете запустить антивирус. Вам не повезло и придется лечить винт, присоединив его к компу друга или с мультизагрузочного СД.


А теперь - вот вам кучка софта для реализации этих простых шести пунктов излечения. Программы вам скорее всего понадобяться, поскольку как правило виндовые утилиты уничтожаються\блокируються вредоносным кодом вирусного процесса.



======= Файловая система

Непосредственно проследить хождение виря по ващей файловой системе помогут следующие утилиты.
Вы сможете определить место нахождение тела вируса, отследить его размножение, определить местопоожение лог-файла в случае кейлогера.
Также программы помогут разблокировать файл, выгрузить инжектированную в процесс вредоносную длл и многое другое.

Filemon v6.*
http://www.sysinternals.com/ntw2k/source/filemon.shtml
Логирование всех операций с файлами - открытие, запись, чтение... Есть система фильтров.

Unlocker 1.*
http://ccollomb.free.fr/unlocker/
Утилита позволяющая разблокировать файл, занятый другим процесом.
Работает в полуавтоматическом режиме. Не всегда справляеться с задачей.

Advanced Process Manipulation
http://www.diamondcs.com.au/index.php?page=apm
Позволяет делать давольно сложные вещи, такие как выгрузка отдельных модулей процесса.

DLL Control by Sanja
http://virusinfo.info/soft/DllCtrl.zip
Программа коммандной строки позволяющая загружать и выгружать dll.
Классика жанра - внедриться в процесс и вызвать "изнутри" этого процесса
Использование:
DllCtrl.exe -unloadall c:\virus.dll
DllCtrl.exe -unload 1234(pid) c:\virus.dll
DllCtrl.exe -unload notepad.exe c:\virus.dll -resolve



======= Реестр

Выследить прописку вируса в реестре вам также не составит труда. Даже самый изощрённый автозапуск будет отслежен.
С помощью этих утилит вы также можете ограничить доступ к реестру, исключая его повреждение, либо восстановить его после вирусной атаки из резервной копии.

Regmon v7.*
http://www.sysinternals.com/ntw2k/source/regmon.shtml
Логирование всех операций с реестром - открытие, запись, чтение... Есть система фильтров.

RegProtector
http://sec-123.narod.ru/rgp10.exe
Монитор реестра. Логирует все изменения, может блокировать доступ, ограничивать только на чтение и др.

RegKey LastWriteTime Scaner
http://russian.softpicks.net/software/RegKey-LastWriteTime-Scaner_ru-22416.htm
Крохотная программа для поиска в реесте ключей, измененных/созданных в выбранном интервале времени.
Найденные ключи можно быстро открыть в regedit.

ERUNT 1.*
http://aumha.org/downloads/erunt.zip
http://www.larshederer.homepage.t-online.de/erunt/
Утилита для сохранения и восстановления файла реестра, работающая через командную строку.
По этой причине идеально подходит для настройки автоматического бэкапа с помощью планировщика заданий.
Прога проста как две копейки, но работает великолепно.



======= Процессы

Процессы - самая интересная и важная часть. Чем быстрее вирусный процесс будет уничтожен, тем меньше дров зверь успеет наломать в системе.
Приведённые программы способны не только обнаружить скрытый процесс, но и уничтожить его.
Гарантия уничтожения - 100% - ничто не устоит и не скроеться. Процессы антивирусов и фаерволов тоже отлично гасятся =]

ProcViewer
http://www.virusinfo.info/soft/ProcViewer1.rar
Простая, но эффективная альтернатива таскменеджеру - показывает запущенные процессы.
Видит скрытые процессы троянов, которые невозможно обнаружить при помощи большинства существующих просмотрщиков процессов.

Advanced Process Termination
http://www.diamondcs.com.au/index.php?page=apt
Програмка убивающая любые процессы. Может быть полезна что бы убить процессы созданные вирусами.

DelayDel
http://www.virusinfo.info/soft/delaydel.rar
Консольная программа сля удаления "неудаляемых" файлов после перегрузки.
Использование: delaydel.exe

Kernel PS v0.4
http://www.virusinfo.info/soft/knlps04.rar
Если не справились предыдущие - эта прога не подведёт. Просто зверь - убъёт ЛЮБОЙ процесс.
Программа работает с командной строкой. Позволяет получить список всех запущенных процессов, в том числе и скрытых. Не работает на Win9x/ME.
Так же позволяет убить любой процесс, в том числе и защищённый системой, а так же процессы руткитов.



======= Автозагрузка

Оперативно просмотреть основные и не только основные ключи и места автозагрузки вам помогут эти программы.
Крайне полезны не только для борьбы с заразой

Autoruns
http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml
Программа позволяющая просмотреть список программ запускающихся при старте Windows.
Большое приемущество данной программы, это опция скрыть компоненты Windows имеющие цифровую подпись Microsoft.
Это значительно облегчает поиск ненужных и вредных программ.

Auto Start Control 2.*
http://www.asc.h11.ru/
Знает очень много ключей автозапуска, в т.ч. недокументированных или плохо документированных.
И может показать их (только непустые) для всех пользователей, имеющих учетные записи на данном компьютере.

Silent Runners.vbs
http://www.silentrunners.org
Скриптик для анализа автозагрузки. Знает некоторые нестандартные методы запуска программ.

Starter 5.*
http://www.lemnews.com/dl/Starter.rar
Очень полезная утилитка от CodeStuff (http://codestuff.mirrorz.com/).
Программа позволяет управлять запуском программ при старте Windows (из мест типа Автозагрузка и реестра) и процессами при работе - все как на ладони, видно кто и что использует.
Установка не требуется, все очень информативно и удобно. К тому же красиво. Может пригодиться при чистке реестра от вирусов.



======= Сторожи

Парочка утилит, которые работают в качестве сторожей и просто не позволят вирю забуриться, вовремя его остановив.
Рекомендуються к применению. Более подробно данный класс программ рассмотрен здесь:
ВЫБЕРИ СВОЙ Anti-spy

Security Task Manager 1.6C
http://www.neuber.com/taskmanager/
кряк под неё есть на www.keygen.ru
Накрученный до предела task manager:
- показ степени опасности запущенных процессов для системы
- анализ инфы о производителе
- путь к файлу
- время запуска процесса
- степень загрузки проца, его тип
- тип окна: обычное окно, невидимое окно, библиотека, плагин для IE, и т.д.
- сертификация процесса
- анти-кейлогер
- время запуска проги в симбиозе с запущеной

На основе выше написанной информации расчитывает рейтинг опасности.


WinTasks Pro v 5.0
Примерно тоже самое.
Качественный анализ и оценка процессов в системе, подробнейшая информация о них.



======= Сетевая активность

Теперь несколько программ, мониторящих сетевые подключения. Они позволят вам получить минимальную информацию о сетевой активности.
С помощью них, вы будете информированы о сетевых подключениях, состоянии подведомственных вам машин в сети.

TCPView v2.*
http://www.sysinternals.com/Utilities/TcpView.html
Мониторинг TCP\UDP соединений. В Windows NT, 2000 и XP TCPView даже отображает имя процесса, отображение адресата\отправителя. Включает в себя tcpvcon.

TCPVcon v2.*
http://www.sysinternals.com/Utilities/TcpView.html
Показывает все открытые сокеты. Работает из под командной строки.

TDIMon v1.*
http://www.sysinternals.com/Utilities/TdiMon.html
TCP/IP МОНИТОР

ShareEnum v1.*
http://www.sysinternals.com/Utilities/ShareEnum.html
Сканирует вашу сеть и мониторит параметры безопасности, указывает на дыры.

Remote Recover v2.*
http://www.sysinternals.com/Utiliti...oteRecover.html
Имея доступ к системам через LAN или WAN, вы можете системным дискам x86 NT.
Вы можете востанновить данные. При доступе на запись можно проверять chkdsk'ом, форматировать диски.





======= Контроль целостности файлов

MD5summer
http://www.md5summer.org/
Отличная утилита, позволяющая подсчитать в указанной папке чек-сумму всех файлов по алгоритму md5\sh1. А затем при надобности - провести сравнение.
Крайне полезная вещь - после установки на винду всех патчей делаешь чек-снимок файлов в C:\WINDOWS
Очень мне помогла однажды, когда коварный трой умело спрятался в системе и возрождался как ни в чём ни бывало после перезагрузки...
Если вдруг происходят подозрительные явления - проводишь сравнение - выявляешь изменённые файлы.
Ну, далее в зависимости от опыта и желания - либо расковырять их дизассемблером, либо просто сменить на старые из зараннее сделанного бэкапа.



======= В борьбе с руткитами

Несколько программ, способных отлавливать самых опасный и изощрённый тип вируса - руткиты.
Руткит опасен тем, что он тщательно прячеться, скрывает своё пребывание в системе.
Антивирусы против них зачастую бессильны.

RootkitRevealer
http://www.sysinternals.com/ntw2k/f...kitreveal.shtml
Программа для обнаружения руткитов от Sysinternals

VICE
http://www.rootkit.com/project.php?id=20
Программа для обнаружения руткитов

Phunter
http://www.virusinfo.info/soft/phunter.zip
Программа для поиска скрытых процессов.

Antikit
http://anti-virus.by/download_files/antikit.zip
Програмка отлавливающая руткиты, обнаружить которые не может большинство антивирусов. Запуск из командной строки.



======= Откат на точку восстановления

Виндовыми средствами эту процедуру лучше не делать - возможности слабенькие и функциональности никакой.
Используем спец-утилиты:

ShadowUser Pro 2.*
http://www.shadowstor.com
Включив программу, можно делать что угодно - тестировать вирусы и трояны, мучать системные настройки, проверять сомнительные программы.
После перезагрузки все изменения будут отменены, а предыдущее состояние восстановлено.
Помимо режима автоматического отката после каждой перезагрузки, в ShadowUser есть режим ручного выхода.
Отличие от RestoreIT :
- не требует наличия собственного скрытого раздела на винчестере
- мгновенная скорость отката

RestoreIT v 6.*
http://www.farstone.com
Превосходная система защиты компьютера от вирусов, программных сбоев и ошибок пользователя.
Фиксируешь текущее состояние машины путем создания контрольной точки, а программа отслеживает и сохраняет в защищенном разделе диска все изменения файловой системы.
При необходимости прорамма возвратит требуемый диск в одно из ранее зафиксированных состояний.
Отличие от ShadowUser :
- не требует перезагрузки

Конец!!!