Общие рекомендации по очистке системы при заражении.

1. Обновите Вашу антивирусную программу, если она у Вас есть. Если нет, то предлагаем скачать и установить последнюю версию DrWeb с лицензионным ключом для сотрудников университета http://centre.psu.ru/index.php?page=security (ключ действителен до 2005-11-04). Если у Вас проблемы с обновлением антивируса, то проверьте файл hosts. Файл hosts находится в ХР и 2000 ..\WINDOWS\system32\drivers\etc\hosts в 98 ..\windows\hosts
По умолчанию этот файл содержит всего одну запись:
127.0.0.1 localhost
Все непонятные для вас записи нужно удалить, кроме строк начинающихся со знака #
В примечании 5 приведено нормальное содержание файла hosts в Windows XP

2. Скачайте программу Ad-Aware SE http://centre.psu.ru/index.php?page=security и обновите её базу данных. Подробная инструкция по использованию Ad-Aware SE находится тут: http://virusinfo.info/index.php?board=28;action=display;threadid=26

3. Скачайте программу Spybot-S&D http://centre.psu.ru/index.php?page=security и обновите её базу данных

4. Скачайте Антивирусную утилиту AVZ (http://centre.psu.ru/index.php?page=security или http://z-oleg.com/secur/avz.htm) и последнюю базу вирусов к ней. Данная программа обезвреживает наиболее распространённые вирусы и другие вредоносные программы.

5. Если у Вас не установлен межсетевой экран (firewall), то включите встроенный в Windows XP, либо скачайте любой другой. Рекомендации смотрите в примечании 3. Не устанавливайте его до окончания сканирования компьютера.

6. Отключите восстановление системы (Windows Me/XP). Если не знаете как, смотрите примечание 1 ниже.

7. Отключите компьютер от локальной сети, или интернета, если у Вас постоянное соединение. (Физически отключите сетевой кабель)

8. Перегрузите компьютер в защищённом режиме (safe mode Нажать F8 в начале загрузки Windows, если не загружается можно также удерживая клавишу Ctrl. F8 работает не на всех компьютерах)

9. Просканируйте компьютер антивирусом, Ad-Aware, Spybot-S&D, AVZ и удалите всё, что они найдут.

10. Перегрузите компьютер.

11. Установите межсетевой экран (firewall).

12. Включите восстановление системы.

13. Только теперь можно подключить сетевой кабель или присоединяться к интернету.

14. Скачайте и установите все критические обновления на Windows.



Если проблема не исчезла, то:
1. Отключите компьютер от локальной сети, или интернета, если у Вас постоянное соединение. (Физически отключите сетевой кабель)
2. Обратитесь к сетевому администратору
или
1. Скачайте программу HijackThis http://www.tomcoyote.org/hjt/
2. Просканируйте компьютер(ничего не удаляйте!)
3. Сохраните лог.
4. Откройте тему с кратким описанием проблемы в заголовке, подробным описанием проблемы в теме и логом HijackThis в следующем разделе http://virusinfo.info/index.php?board=26

На форуме постараются помочь Вам.


Примечание 1. Как отключить восстановление системы.
"Восстановление системных файлов" (System restore) (Windows Me/XP)
Windows защищает папки восстановления системы от всех внешних программ. Когда вирусы попадают на компьютер, Windows может также сохранить их в папке восстановления системы. Антивирусы и утилиты не могут удалить вирусы из этих папок. Для лечения необходимо временно отключить опцию восстановления системы. После лечения необходимо включить ее обратно.

Windows Me:
Пуск > Hастpойки > Панель упpавления (Start > Programs > Accessories > Windows Explorer). Двойной клик на иконке "Система" (System).
(Если иконка "Система" не видна, щелкнуть мышью на "Показывать все опции Панели упpавления" "View all Control Panel options")
Hа вкладке "Быстpодействие"(Performance) нажать кнопку "Файловая система" (File System).
Hа вкладке "Дополнительно" (Troubleshooting) поставить птичку напpотив
"Запpетить восстановление системных файлов". ("Disable System Restore")
Hажать ОК. Появится пpедложение пеpезагpузить Windows - также нажать ОК.

Windows XP:
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs >
Accessories > Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать
"Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на
"Запpетить восстановление системных файлов на всех дисках" ("Turn off System Restore on all drives")
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

Примечание 2. Более корректная очистка папок восстановления системы.
Квалифицированным пользователям, а также всем в случае, когда на компьютере имеется ценная информация, не рекомендуется сразу отключать восстановление системы. Предварительно стоит убедиться, что директория восстановления системы заражена. Если в ней есть чистые копии, их стоит использовать для восстановления чистых файлов.

Примечание 3. Firewall или межсетевой экран. Нужен для защиты от вирусов, использующих уязвимости операционной системы для заражения компьютеров, подключённых к интернету. Антивирусы от таких вирусов не спасают.
Советую использовать Аgnitum Outpost Firewall http://www.agnitum.com/ У данного Firewallа существует бесплатная версия (1.0). Очень простая, но дающая минимальную необходимую защиту. Есть так же платная, более продвинутая версия 2.1.
Очень советую устанавливать firewall сразу после установки системы, до первого выхода в интернет, т.к. без него подхватить вирус можно в считанные минуты, а потом уже придётся расхлёбывать последствия.
Если ваш компьютер находится в локальной сети, в которой возможно есть заражённые компьютеры, то очень советую отключить сетевой кабель до тех пор пока не будет установлен и запущен firewall
Форум на русском языке, в котором можно задать вопросы по использованию данного firewall-а http://forum.five.mhost.ru/


Примечание 4. При наличии ценной информации есть смысл проводить лечение, подключив жесткий диск к другому (чистому) компьютеру и сделав предварительную копию данных либо целиком диска.