Алгоритм лечения зловредов

1 Дек 2009
1,302
5
38
62
Схд, Ныда
#1
Алгоритм не претендует на абсолютную истину, можете править, поправлять, постить свои решения, конструктивная критика только приветствуется :).

Вылечить можно даже самую замусоренную Винду.

Краткий алгоритм:
1. качаем 2 программки AVZ & CureIt. Утилита AVZ - http://z-oleg.com/secur/avz_doc/. CureIt от дрВеб ищите сами, последний весит больше 40 мбайт. Свежий AVZ обычно содержит последние свои базы, но не мешает обновить, там есть кнопочка. CureIt обновлять не надо, он каждый раз загружается последний.
2. бросаем их в корень диска С: (непринципиально, можно на другой).
3. грузимся в безопасном режиме (F8 после прохождения Post). Следуя логике, в обычном режиме Винда - опасна! (хе-хе).
4. запускаем AVZ. Расставляем галки, там все по русски, пусть сперва сам посканит. Предварительно надо почитать про технологию AVZ и особенно AVZGuard на сайте разработчика. Поэтому и надо, шоб Винда грузилась в безопаске, AVZGuard запросто роняет Винду в синий экран (далее по тексту - БСОД, так короче).
5. По окончании что АВЗ найдет, пусть удаляет.
6. в AVZ запускаем AVZGuard. Из под AVZGuard как ДОВЕРЕННОЕ приложение запускаем CureIt. Выполняем в нем лечение в обычном порядке. Большие винты с большим количеством файлов и архивов будет шуршать долго, можно вообще на ночь поставить, предварительно задав действия автоматом чтоб лечил, удалял и т.д.

Т.к. CureIt удаляет те файлы, которые не может вылечить, возможно что некоторые программы после лечения не поднимутся, это нормально. Зависит от степени деструктивности вируса, инфо о котором можно прочитать на virusinfo.info

Бывает что зловред не дает грузить Винду в безопасном режиме, тогда алгоритм немного другой, но принцип тот же (AVZ - AVZGuard - CureIt)

Напишу чуть позже...просьба пока не постить тут, чтоб не размазывать тему на несколько страниц.

Продолжаем разговор:

Итак, зловред не дает загрузиться в сейф-мод, что делать?
Здесь нужен live-cd, так называемый живодиск, коих великое множество, каждый может выбрать на свой вкус.
Лично я использую "Цветочного мишку" (Flower Bear), но он у меня не на мини-сд, а на 512-мб бутовой флешке. Гугль дал ссылку на обновленный дистрибутив http://nnm.ru/blogs/xaserr/windowspe_full_usb_edition_sun_bear_06_10/#cut , наводку я дал, сам дистриб ищите, он существенно больше, полный 700 метровый CD, (мой весит 200 мб).
Плюсы флешки: возможность оперативного обновления баз AVZ и drWeb простым копи-пастом, возможность лечить нетбуки, планшеты и прочие девайсы, не имеющие двдюков, компактность. Выдам секрет: если в папке drWeb заменить екзешник drweb32.exe на свежескачанный вами CureIt, предварительно его переименовав в drweb32.exe (или как он там назывался) - то поднимется не drWeb, а CureIt.
Обновлять базы и производить замены в изошнике SunBear можно программой UltraISO, это если работа с двдромом вам более привычна.

Ну а дальше, если у вас есть бутовая флешка, все просто.
Идете в BIOS, выбираете в качестве загрузочного устройства ваш usb-hdd , кстати в BIOS он должен отображаться именно так, загружаетесь с него. Рекомендую скачать полный (full) дистриб, потому-что там 2 в 1-м, можно грузануть HirenBootCD (тест железа, утилиты hdd, mbr и т.д.), а можно WinPE.
И опять примечание: чтобы WinPE могла вносить изменения, а утилиты лечить и удалять - необходимо активировать опцию UnlockWin, найдете когда загрузите WinPE.

продолжение следует...
 
Последнее редактирование:
31 Май 2009
12,002
22
38
62
Салехард
#3
Device, давая ссылку на утилиту, нелишним будет предупредить юзеров, что применяя бесплатный софт, они рискуют посносить им многие лицензионные программы, даже на не заражённом компьютере.
В моём случае эта утилитка, запущенная для профилактики на не заражённом рабочем компе, убила около десятка экзешников лицензионных программ.
 
1 Дек 2009
1,302
5
38
62
Схд, Ныда
#4
Многие зададутся вопросом, а как же сделать флешку бутовой, т.е. загрузочной? в случае с WinPE mini-usb необходимый софт уже входит в комплект, только читайте приложенный FAQ или файл справки.
А вообще существует ресурс, который обязательно должен быть в закладках http://www.flashboot.ru/. Речь на нем идет не только о создании загрузочных флеш, но и о форматировании, восстановлении информации, программном ремонте и т.д.
Также есть неплохой ресурс, где постарались собрать фирменные утилиты флеш-накопителей http://www.rdm.kiev.ua/flashutil.php.
В каждом конкретном случае действия могут быть разными, более подробно можно почитать здесь http://o-raznom.ru/security/esli-popal-virus/.

2 pioner Скорее всего был задан слишком строгий поиск. В любой утилите действует принцип - "Не навреди!", потенциально опасное ПО обычно не удаляется, да и вирусы и зараженные файлы можно не удалять, а помещать в карантин с возможностью их восстановления. И все это делается перед запуском в настройках утилиты, если вы этого не сделали - глупо обвинять бесплатный софт. И вообще CureIt - это скорая помощь.
 
Последнее редактирование:

Device

Заблокирован
5 Сен 2010
519
0
16
#5
Device, давая ссылку на утилиту, нелишним будет предупредить юзеров, что применяя бесплатный софт, они рискуют посносить им многие лицензионные программы, даже на не заражённом компьютере.
В моём случае эта утилитка, запущенная для профилактики на не заражённом рабочем компе, убила около десятка экзешников лицензионных программ.
6.5. ПО предоставляется Вам "КАК ЕСТЬ" ("AS IS"), в соответствии с общепринятым в международной практике принципом. Это означает, что за проблемы, возникающие в процессе эксплуатации Вами экземпляра ПО (в том числе: проблемы совместимости с другими программными продуктами (пакетами, драйверами и др.), проблемы, возникающие из-за неоднозначного толкования Вами справочной информации в отношении ПО, несоответствия результатов использования ПО Вашим ожиданиям и т.п.), Правообладатель ответственности не несет.
6.6. Вы самостоятельно несете ответственность за возможные негативные последствия, вызванные несовместимостью или конфликтами ПО с другими программными продуктами, установленными на той же ЭВМ (компьютере). Экземпляр ПО не предназначен и не может быть использован в информационных системах, работающих в опасных средах либо обслуживающих системы жизнеобеспечения, в которых сбой в работе ПО может создать угрозу жизни и здоровью людей.

Это из лицензионного соглашения, которое нужно подтвердить, перед тем, как скачать утилиту. По русски читать умеют все.
Выполняем в нем лечение в обычном порядке. Большие винты с большим количеством файлов и архивов будет шуршать долго, можно вообще на ночь поставить, предварительно задав действия автоматом чтоб лечил, удалял и т.д.
А вот это действительно очень опасный совет. Процесс лечения нельзя пускать на самотёк.
 
Последнее редактирование: