Тема: Антивирусные лечащие утилиты & Ko

Антивирусные лечащие утилиты

Лечащие утилиты - бесплатные антивирусные сканеры на основе ядра антивирусной программы, которые могут проверить и вылечить компьютер без установки самого антивируса.
Работают без инсталляции.

Предназначены для обнаружения и нейтрализации вредоносного программного обеспечения. Они могут помочь в случаях, когда установка/работа штатного антивируса оказывается невозможной в результате действий вирусов.

Использование: проверьте компьютер с помощью любой утилиты в безопасном режиме. К найденному следует применять действие "Лечить", а неизлечимые перемещать (карантин). После этого перезагрузитесь в обычный режим.

• AVPTool (около 35 Мб) - Лаборатория Касперского (Локальная ссылка).
• CureIt! (около 12 Мб) - Доктор Веб (Локальная ссылка).

За локальные ссылки спасибо pilot-ac. Подробнее.

* Выбирайте утилиту, исходя из того, какой антивирус установлен на Вашем компьютере. Например, если Вы используете КАВ/КИС – загрузите утилиту Dr.Web, и наоборот. Если у Вас установлен другой антивирус, или его нет вообще, используйте любую из утилит на Ваш выбор.
* Расплата за бесплатность: в программу не входит модуль автоматического обновления вирусных баз, поэтому для того, чтобы просканировать компьютер в следующий раз с самыми последними обновлениями вирусных баз, нужно будет снова ее скачать.

Диагностические инструменты

AVZ (около 4 Мб) - инструмент исследования и восстановления системы (антивирусная утилита Зайцева).
Отдельно архив, содержащий всю базу - avzbase.zip (в случае проблем с автоматическим обновлением баз).
Локальные ссылки (Подробнее): AVZ, обновления pilot-ac или Витал.
Основное назначение заключается в автоматическом или ручном поиске и удалении шпионских/рекламных модулей, троянов и червей.
Умеет восстанавливать ряд системных настроек, поврежденных вредоносными программами.
Утилита не лечит программы, зараженные компьютерными вирусами.
В настоящее время, хотя утилита уже принадлежит Лаборатории Касперского, Олег Зайцев остаётся её единственным разработчиком (некоторые используемые в ней наработки и технологии используются и в AVPTool).

SysInspector - диагностический инструмент для систем на платформе Windows NT от ESET.
32-bit/64-bit (около 4 Мб)

HijackThis (около 300 кб) - небольшая программа для обнаружения и удаления вредоносного ПО.
В данный момент принадлежит антивирусной компанией Trend Micro.
Распространяется по лицензии freeware.

* Логи, полученые с помощью этих инструментов, используются для оказания помощи в детектировании и нейтрализации вредоносов.
* Их можно не скачить каждый раз заново :-). AVZ поддерживает функцию обновления баз.
* Некоторые вирусы могут блокировать запуск/работу этих инструментов. В этом случае необходимо переименовать исполняемый файл во что-то нейтральное, например: loop001.exe.

Антируткиты (только для 32-х разрядных систем)

Антируткиты - особый специализированный класс программ, которые предназначены для обнаружения в системе присутствия руткитов и (в разной мере) их удаления.

Важно: при использования антируткита необходимо четко понимать, что он обнаружил и что с этим можно сделать. При неумелом использовании можно нанести серьезный урон системе.

IMHO лучшими в этом классе (на данный момент) являются:

• Rootkit Unhooker (около 400 кб)
• GMER (около 300 кб)

Из остальных хочу отметить RootRepeal (около 500 кб).

* Как правило, в состав современного антивируса входит антируткит как один из компонентов. Но их возможности меньше, чем у специализированных утилит.
* Хотя AVZ не является специализированным средством против руткитов, но в его составе также есть антируткит.
* Наработки GMER-а в прошлом году были приобретены Avast!-ом. Как следствие - качество антируткита в этом антивирусе существенно повысилось (это показал один из тестов на лечение активного заражения).

Просто полезные инструменты

Спасибо izori, а то как-то забыл упомянуть весьма полезные утилиты от Марка Руссиновича :)

Autoruns (Windows Internals, около 600 кб) - позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов. Можно не просто контролировать, что запускается при старте, но и отключить/удалить любой компонент из автозагрузки. Кроме этого, позволяет быстро перейти в то место, откуда запускается интересующее приложение/сервис.

Process Explorer (Windows Internals, около 2 Мб) - компактная, но мощная программа с удобным интерфейсом для мониторинга в режиме реального времени происходящих в системе процессов.
Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.

TCPView (Windows Internals, около 100 кб) - показывает все процессы, использующие интернет-соединения. Запустив TCPView, можно узнать, какой порт открыт и какое приложение его использует, а при необходимости и немедленно разорвать соединение...

В качестве альтернативы TCPView хочется отметить CurrPorts (NirSoft): 32 bit 64 bit (около 100 кб).

FileMon (Windows Internals, около 300 кб) - утилита для контроля за всем, что происходит с файловой системой - Filemon в режиме реального времени отображает всю ее деятельность. Возможна установка фильтра для контроля за обращением к файлам любой конкретной программы.
Идеальная для обнаружения различного рода дропперов.

RegMon (Windows Internals, около 300 кб) - отслеживает все обращения к реестру (какая программа к каким ключам обратилась, какие данные прочитала, какие записи сделала) и показывает их на экране, причем делает это в реальном времени. Чтобы отсеять "мусор", можно настроить имеющиеся фильтры так, чтобы показывались обращения только к определенным ключам или только те, что связаны с определенной программой. Еще одно удобное свойство - возможность быстрого перехода от выбранного в окне Regmon'a ключа к этому ключу в редакторе реестра. Результаты можно записывать в файл.

Process Monitor (Windows Internals, около 1 Мб) - утилита для мониторинга файловой системы, системного реестра и процессов в оперативной памяти. По сути, Process Monitor обьединяет в себе возможности популярных утилит этого же автора Filemon (мониторинг файловой системы), Regmon (мониторинг реестра) и Process Explorer (мониторинг процессов).
"Побочным" эффектом этого является прекращение развития FileMon-а и RegMon-а.

Все утилиты работают без инсталляции.


Unlocker (Site, около 300 кб) - утилита для удаления файлов и папок, которые обычным способом удалить не удается, потому что вместо удаления системой выдается сообщение, что файл удалить невозможно, так как он используется другим приложением.
После установки в контекстном меню появляется пункт "Unlocker", который позволяет "разблокировать" объект.

Восстановление настроек системы

Различного рода утилиты/советы для восстановления некоторых системных настроек, поврежденных вредоносными программами. Восстановление бесполезно, если в системе работает троянская программа, выполняющая подобные перенастройки - необходимо сначала удалить вредоносную программу, а затем восстанавливать настройки системы.

Важно: желательно использовать с пониманием того, что делаешь.

Большое количество настроек можно исправить с помощью вышеупомянутой утилиты Зайцева (AVZ). Микропрограммы восстановления системы она хранит в антивирусной базе (и в будущем они могут быть обновлены/дополнены).

LSPfix (cexx.org, около 200 кб) - эта программа восстанавливает последовательность обработки стека TCP IP. После лечения от многих троянов стек обработки TCP IP остается "разорванным". Как следствие ни интернета ни сети нет, хотя вроде как вирусов уже нет и система на первый взгляд исправна. Необходима к применению после лечения зараженных машин, если сетевые службы перестали работать должным образом именно после лечения.

Буквально сегодня в инете наткнулся на софтину Panda USB and AutoRun Vaccine
http://forum.vital.ks.ua/showthread....utoRun-Vaccine