Тревожный чемоданчик админа

Со скуки решил проявить не свойственный мне альтруизм и написать немножко о живых деньгах, точнее средствах их зарабатывания. Не секрет, что большинство левака у мало мальского одмина, приходится на криворуких, но любопытных, как суслики, пользователей. И основная часть всех вопросов сводится к фразе- я что то поймал в интернете, мне что то прислали по почте, я прошел по ссылке в аське, я на что то нажал в интернете, а теперь у меня ничего не грузится, вообщем OMFG!!!1 я поймал

вирус !

Итак вирусы: если бы их не было, их стоило бы придумать именно для того, что бы админы могли зарабатывать на домики для юных эникейщиков. Естественно, когда ты сидишь в своем офисе, вытравливая эту заразу второй день подряд, ты четко понимаешь, что попадись тебе тот упырь, что наваял сие творение программистской мысли- придушил бы гада, собственными руками. Но когда ты чинишь домашний комп очаровательной секретарше, на которую давно пускал пузыристые слюни, то осознаешь, что только благодаря ему родимому, ты смог пробраться в святая святых. Хмм.. мне кажется я немного отвлекся- ну вообщем это было вступление.

Собственно вири бывают всякие: трояны и всякие малвари лечатся стандартными средствами, гораздо более цепкие прокси и боты требуют основательного и детального подхода. За последние 5 лет шаманства, я только один раз столкнулся со спам-ботом которого не смог выкурить приведенными ниже средствами, но, как оказалось, достаточно было подождать недельку, а не переставлять всю винду, и с новым апдейтом я бы смог пофиксить и его.
Для начала перегружаем машину в безопасный режим, т.е на загрузке F8 и выбор безопасного режима. После этого смотрим что у нас сидит в автозагрузке.
Для этого я пользуюсь двумя программами:

HijackThis - чрезвычайно удобная прога с помощью которой можно посмотреть все стартапы, начиная от стартовых страниц IE и заканчивая сервисами. Также из неё можно грохнуть сервис, просмотреть hostfile, удалить файл на перезагрузке.
Starter - крайне удобная прога наглядно показывающая из какой ветки реестра что стартует, а также запущенные процессы, и имеющиеся в системе сервисы.

Естественно, что при отключении запускаемых процессов нужно четко знать и понимать, что именно вы отключаете, чтобы случайно не вынести что нибудь типо winlogon.exe, и обращать внимание на пути до стартующих сервисов: т.е что то запускаемое из корня windows или подпапок Documents and Settings с большой вероятностью является бякой.
После того, как отключили все не нужное, перегружаемся и снова зайдя в безопасный режим, используем тяжелую артиллерию, чтобы собственно выжечь напалмом всю заразу:

Avz4 – на мой взгляд самая лучшая программа для уничтожения всяких вирусных пакостей, разработанная Олегом Зайцевым. У программы огромное количество функций, поэтому настоятельно рекомендую ознакомиться с сайтом создателя и потратить пару часов на то, чтобы разобраться во всех хитростях утилиты- вы не пожалеете потраченного времени и не уподобитесь стреляющему из пушки по воробьям. В ней так же имеются утилиты для правки winsock’а, т.е. аналог программы LSPFix, к которой следует прибегать в случае всяческих проксей.
Dr.Web® CureNet!™ – замечательная, быстрая утилита для поиска, изничтожения и лечения вирусов, обычно я запускаю её вместе с AVZ и со спокойной совестью иду пить чай, ну или проставленный когнак. Программа обновляется путем скачивания новой версии с офф.сайта, т.ч. прежде чем запускать, стоит проверить актуальность вирусной базы на рабочей машине, что кстати относится всецело и к AVZ.

Обычно этих четырех программ хватает для того чтобы привести в чувство любой зоопарк, но иногда складываются ситуации когда нужно несколько больше, для этого я использую:

Tcpview – оконная замена netstat, показывающая открытые на машине порты
TDIMON – программа отслеживающая все соединения на машине в режиме он-лайн, с её помощью можно вычислить вирусы использующие сетевые сервисы, например тот же спам-бот
Autoruns – программа выводящая информацию о всех загружаемых файлах, будь то драйвер или ваш любимый скринсейвер. Пробежавшись по полному списку можно отключить не нужное, или потенциально опасное, но опять же надо понимать что именно ты отключаешь, т.к. у системных файлов порою бывают довольно странные названия
AnVir Task Manager – тоже довольно удобная утилита просмотра системных процессов, и используемых файлов. Но никаких особых ноу-хау я в ней не нашел.

Собственно в конце пару слов о противоборстве вирусам, кои являются прописными истинами: минимум прав для пользователя, в последнем опыте, в офисе на ~100 машин, отбив админские права, ребятки получили порядка 80% снижения заражений.
Для защиты я использую, что на подшефных машинах, что у себя, причем на своей машине за последние 5 лет работы данной связки не было ни одного случая заражения, тьфу-тьфу.
Антивирус: всем известный и на мой взгляд лучший на данный момент ESET NOD32, либо в виде Antivirus, либо на что я перевожу в последнее время Smart Security. Проблему лицензирования, я оставлю на вашу совесть.
Хостовой фаервол: долго время я использовал Agnitum Outpost, но где то с год назад он имел проблему конфликта с Firefox на двухядерных машинах, отправлявших тачку в радостный BSOD, т.ч. в данный момент я использую COMODO Firewall, абсолютно бесплатный, но от этого совершенно не страдающий брандмауэр, признанный лучшим по итогам 2008 года.
Надеюсь, что эта свалка фактов сможет как то облегчить кому нибудь жизнь. В случае коммерческого использования к комментам с благодарностями, не возбраняется прикреплять бумажки с грантом.

Теги: IT безопасность, вирусня