Лучший антивирус голова и руки

Пропустим момент самого заражения, так как если Вы читаете этот пост, то либо уже заражены, либо просто добавьте его в закладки. Итак, если заражены то будете иметь такие признаки:

  1. Блокиратор Windows (баннер на рабочем столе), запрет на запуск программ
  2. Баннер в окне браузера
  3. Блокиратор сайтов
  4. Не открывание флэшек, долгий запуск Windows

Перед тем как бороться с этими вирусами, нужно запастись инструментом и это будет:

А теперь пройдемся по списку и приведем алгоритм действий направленных на удаление вирусов.
 

Блокиратор Windows (баннер на рабочем столе), запрет на запуск программ

Признаки WinLock вы увидите сразу, это будет баннер (с закосом под: системное приложение, порнобаннер, программу) с просьбой или требованием послать СМС на номер XXXX и текстом XXXXXXXXX.
Причем попытки запустить диспетчера задач или любой другое приложение окажутся тщетными. И уж если Вам повезло и Вы смогли запустить, какую нибудь программу, то значит Вам просто попалась старая версия вируса.

Сначала, если есть возможность то ищем ответные коды здесь:
Kaspersky DeBlocker
EsetNod32 UnLocker
Dr.Web UnLocker
VirusInfo

Если не получилось, запускаем реаниматор.
После запуска реаниматора первым делом открываем ERD Commander, возможно в поставке реаниматора будет другой вариант может называться Remote Regedit, главное подключиться к реестру нашей системы.
В ERD Commander перед тем как подключится к реестру, сначала надо подключиться к системе.

Выглядит это так:
 

image

 

image


После подключения к системе, подключаемся к реестру.

image


Теперь мы можем работать с реестром нашей системы, а именно увидеть что же включается при загрузке системы, а увидеть мы это можем этому пути:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon в этой ветке находим пункт
"Userinit"="C:\Windows\system32\userinit.exe,"

и если Вы видите только это строку значит вирус запускается каким то другим способом, но как правило именно этим.

image


Если же вы увидите там еще, что-то то оно как правило имеет путь
C:Documents and SettingsUserNameApplication DataVIRUSNAME.exe
C:Documents and SettingsUserNameГлавное менюVIRUSNAME.exe
C:Documents and SettingsUserNameГлавное менюАвтозагрузкаVIRUSNAME.exe
C:Documents and SettingsAll UsersApplication DataVIRUSNAME.exe
бывают также вирусы которые именуются подобно системным файлам например C:WindowsSystem32userinitI.exe

Не редко вирус прописывает себя в пункт
"Shell"="explorer.exe"
и получаем например вот это
"Shell"="explorer.exe, C:WindowsVIRSNAME.exe"

Теперь приводим эти записи в оригинальное состояние и не забываем найти по этим путям сами вирусы и удалить их. После перезагрузки никакого баннера быть не должно, а если есть ищем заново.
Бывают и совсем простые случаи когда вирус сидит просто в автозагрузке. Ищем по этим путям:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Если не знаете что удалить в этих ветках, то удаляйте все что считаете подозрительным или то чего не знаете, предварительно экспортируйте ветку реестра. Но это еще не все, редко бывает когда вирус вымогатель бывает один. Поэтому после того как мы удалили сам вымогатель, нужно проверить систему например Dr.Web CureIT.

Баннер в окне браузера

Как правило блокиратор браузера много вреда системе не наносит, если только в монитор не смотрит малолетний ребенок. Тут все зависит от вируса, есть разные вариации, от внедренного в систему (реестр) вируса, до простой надстройки или плагина для браузера.
Поэтому пристально изучаем конфиги браузера-(ов), если там все пусто, значит имеем дело с отдельным файлом внедренным в систему, как тихо себе сидит в автозагрузке.
Ищем подозрительные процессы в Диспетчере задач, и чистим автозагрузку. Как правило эти манипуляции приводят к успеху, если же нет, то пускаем в ход артиллерию сторонних производителей Dr.Web CureIT и ежи с ними. По крайней мере прочитать форумы и найти решение уже проще.

Блокиратор сайтов

Аудитория сайтов Одноклассники и Вконтакте очень большая, прямо таки скопление людей, следовательно представляет интерес для вымогателей.
Наверняка Вам звонила мама и говорила что не может выйти в Одноклассники. Как бы ни было, блокираторы сайтов не менее противны в искоренении чем блокираторы Windows. И тут я хочу их разделить на 3 группы по степени воздействия. Эти группы объединяет одно, они вымогают СМС.

Группа №1:
Самая простая группа вирусов, некий файл делает запись в файл
C:windowssystem32driversetchosts
решается приведением к оригинальному виду то есть из адресов должен остаться только
# 127.0.0.1 localhost
Можно также вообще удалить этот файл. Следующим шагом будет поиск "некоего файла", как правило Cure IT поможет.

Группа №2:
Совсем недавно столкнулся с интересным вирусом, и даже это не вирус, а пакетный CMD файл. После того как узрел, что файл hosts пуст, я оторопел, быть такого не может. Сайты просто не открывались, а открывалась страница ведущая на сайт который ненавязчиво предлагал купить скрипт очистки от вируса, опять же за СМС.
Решение было простое, пакетничег тупо изменил записи DNS серверов.
Таким образом проверяем настройки соединения с интернет, и приводим их к оригинальному виду, рекомендуемому вашим провайдером.

Группа №3:
Самая паршивая группа вирусов, они не делают записей в файл hosts. В систему внедряется вирус на подобие блокиратора Windows. Вирус точно также пишет себя в автозагрузку, сидит как правило в c:Documents and SettingsAll UsersApplication DataVIRUSNAME.exe
c:Documents and SettingsUserNameApplication DataVIRUSNAME.exe
вирус внедряется в системные файлы Windows.
Решение состоит в попытке удалить сам вирус с помощью консольной программы DelayDel, копируем delaydel.exe в папку с вирусом, из CMD вводим команду delaydel.exe virusname.exe
Появится сообщение о том что файл virusname.exe Marked, перезагружаемся, и проверяем доступность сайтов.
Такое решение может и не помочь, тогда поможет AVZ с готовым скриптом для этого вируса. Как правило готовые скрипты есть на http://virusinfo.info/.

Не открывание флэшек, долгий запуск Windows

Как правило у этих признаков есть один источник, вирус примерно похож на вирусы Группы №3. Признаки, левые процессы в Диспетчере задач, не открывание флэшек, и даже если вы открыли ее и удалили левые файлы, при следующей вставке, они появятся снова.
Действуем как описано для вирусов группы №3.

Примечание: VIRUSNAME.exe - как правило имеет примерно такой вид qwdut.exe, bsdid.exe и т.п.

Выводы:

  1. Эра вирусов которые тупо портили файлы прошла, сейчас эра вирусов которые вымогают деньги.
  2. Ни один антивирус (хоть платный, хоть бесплатный) вам не поможет, пока у Вас административные привилегии, а так как большинство из простых юзеров, не ограничивают свои права, и свято верят в силу антивируса - производители антивирусов буду обогащаться.
  3. Я не против коммерческих продуктов, я против того что производители не приучают пользователей к ограниченным правам, и даже если и делают это, то очень ненавязчиво.
  4. Если же Вы все таки хотите работать под админом, то считаю выбрасыванием денег на ветер, покупая антивирус.
  5. Исходя из 2 пункта, не вижу смысла юзать платный ломаный антивирус.
  6. Считаю, что производители антивирусов , все таки могут влиять на проблему административных прав, например можно было бы внедрить антивирусный комплекс, параллельно с системой, то есть Антивирусный Live CD на диске C: с возможностью запуска, наподобие безопасного режима.
  7. Режим UAC в Windows 7, полная чушь проверял, свеженьким WinLock'ом, UAC даже не пикнул что производятся нехорошие операции.

 

Рейтинг качества антивирусов

Место №1 - Avira Antivir Free - использую именно его.
Место №2 - AVG - хороший антивирус, но очень ограничивает опытного пользователя, тем что не дает себя отключить.
Место №3 - Avast - Очень не надежный антивирус, не использую его, но если ничего нет, то уж лучше он.
 

September 7th, 2011