Въпроси за вируси

VCLEANER.EXE може да се използва за премахване на следните вируси и техните варианти:

BackDoor.Agent.A-Z,AA-BG, I-Worm/Atack, I-Worm/Bagle.A-Z,AA-AJ,AX,BA, I-Worm/Bugbear.D, I-Worm/Netsky.A-Z, AA-AD, I-Worm/Sasser.A-F, I-Worm/Zafi.A-D, PSW.Bispy.A-E, Downloader.Agent.AS

Използване:

Изтеглете vcleaner.exe и го стартирайте на заразения компютър.

Забележка: Някои вируси могат да спрат процеса на премахване. В тези случаи преименувайте vcleaner.exe на файл с друго име и разширение .exe file (например:. something.exe). Рестартирайте компютъра си в Safe mode (за препоръчване) и стартиайте антивирусната програма на заразения комютър.

На разположение са и други файлове за изчистване на определени вируси на тази страница от сайта на Grisoft.

AVG дава следното съобщение: Warning: hidden extension . exe

Някои вируси се крият като се записват с две разширения. Например, вируса VBS/Iloveyou прикача файл, ILOVEYOU.TXT.VBS, към електронното писмо. По подразбиране Windows е настроен да скрива познатите разширения и така файла изглежда като ILOVEYOU.TXT. Когато го отворите, Вие не отваряте текстов файл (с разширение .TXT) но вместо това стартирате .VBS скриптов файл. Поради увеличеното използване на тази практика, Grisoft са добавили откриване на двойните разширения в AVG. Разбира се, има и случаи на валидни, безопасни файлове с двойни разширения като, например uninstall.rar.bat, който е част от някои инсталации на програмата за компресиране RAR.

Преди да продължим по-нататък, препоръчваме архивиране (бек-ъп) на системните области на заразените области. Направете това, като използвате функцията Emergency diskette в AVG (от менюто изберете Utilities -> Create Emergency Disk).

Възстановяване на системни области от бекъп може да бъде направено в малък брой случаи. Преди да се опитате да използвате тази функция, моля, свържете се с нашата техническа поддръжка на support@avgbulgaria.com.

• Първо трябва да създадете чист флопи-диск за първоначално зареждане. На чист компютър, сложете празна дискета, стартирайте MS DOS конзола и стартитайте следната команда: “format a: /s” (без кавички).
• Сега създайте една Emergency Diskette (в менюто изберете Utilities -> Create Emergency Disk) на друга дискета и защитете и двете дискети срещу запис (като гледате дискетата от страната на етикета лявото отворче трябва да е затворено – обърнете дискетата и затворете отвора с приплъзващата пластина).
• Стартирайте Вашия компютър, като използвате системната дискета за зараждане в DOS (като я сложите във флопито, преди да го включите).
• Заменете дискетата с тази, която е Emergency Diskette и от командния ред стартирайте avg.exe. Това ще стартира AVG/SOS. Сега изберете “Test and Restore”.

Файловете, разположени в папката _RESTORE са изходни файлове за функцията за възстановяване на системата, която на разположение в операционната система Windows Millenium. Файловете, които са били излекувани, са били преместени в тяхното оригинално ИНФЕКТИРАНО състояние в тази папка и е необходимо те да се ИЗТРИЯТ, като следвате тези стъпки:

• Затворете всички отворени програми. След това натиснете с десен бутон иконата My Computer на работния плот на Windows.
• Изберете Properties
• Изберете страничката Performance
• Изберете File System
• Изберете страничката Troubleshooting
• Отметнете Disable System Restore
• Натиснете OK.

Файловете, разположени в папката System volume information са изходните файлове за функция за възстановяване на системата, която е на разположение в операционната система Windows XP. Файловете, които са били излекувани, са преместени в тяхното ИНФЕКТИРАНО състояние в тази папка и е необходимо те да се ИЗТРИЯТ, като следвате тези стъпки:

• Затворете всички отворени програми. След това натиснете с десен бутон иконата My Computer на работния плот на Windows.
• Изберете Properties
• Изберете страничката System Restore
• Отметнете Turn off System Restore on all drives
• Рестартирайте системата
• Преминете през първите четири стъпки отново и махнете отметката в полето, споменато в стъпка 4.

Някои файлове на могат да бъдат отвоерени за проверяване, защото те се използват постоянно от операционната система Windows или някоя стартирана приложна програма. Не е възможно нито да се заразят от вирус, нито да се проверят.

Ако е открит вирус при теста на AVG и състоянието е Infected, Embedded (Заразен, Вграден), това означава, че вирусът е част от архивен файл (ZIP, RAR, CAB…) или част от саморазархивиращ се архив (EXE). AVG открива този файл, разбира се, но не е в състояние да премахне този файл автоматично от архивния файл и да го компресира отново без инфектирания файл или да го премести във Virus Vault (вирусен склад)автоматично поради сигурността на данните.

Ние избрахме метода за взаимодействие с потребителя за този случай на премахване на вирус.

Моля, следвайте тези стъпки за премахване на този вид вирусни файлове:

1. 1. Преместете го в Virus Vault – ако размера на архива е по-малък от 5 MB.
   Изберете Test Results (отворете AVG->изберете меню Results ->изберете Test Results). В Test Result маркирайте реда с инфекцията (изберете реда с иконата на червен препинателен знак)->изберете бутона Move to Vault (премести в склада)
2. 2. Изтрийте архива – ако размера на архива е повече от 5 MB не е възможно да бъде преместен в Virus Vault

!Моля, уверете се, че този архив не съдържа ваши важни данни!

Изберете Test Results (отворете AVG->изберете меню Results ->изберете Test Results). В Test Result маркирайте реда с инфекцията (изберете реда със сива икона на препинателен знак)->изберете бутона Go to file (Иди до файла). Ще бъдете прехвърлени към архивния файл автоматично ( не важи за операционната система Windows95 , там вие трябва да маркирате архивния файл ръчно) и можете да го изтриете чрез избор с десен бутон върху името му, или чрез избор с ляв бутон на командата "Delete" от менюто.

Моля, забележете!

Ако не можете да видите реда със състояние Infected, Embedded, най-вероятно сте изключили функцията Hide viruses inside archives (Скрий вирусите в архивите) в контектното меню.

Можете да я включите по този начин:

• Отворете описанието на положителния тест (отворете AVG->изберете меню Results ->изберете Test Results->двойно натискане на теста с резултати с открития вирус, там можете да видите червена икона)
• Натиснете с десен бутон върху който и да е обект тук (реда с открития файл)
• Изберете командата Filter list by result type (Филтрирай списъка по типа на резултата) от менюто.
• Махнете отметката от позицията Hide viruses inside archives.
• Ако сте изтрили архивния файл, трябва да изпразните Кошчето за изтрити файлове на Windows, където е бил преместен файла при изтриването му.
• Двойно натискане върху иконата на Кошчето на Работния плот на Вашия компютър
• Изберете меню File, и командата Empty Recycle Bin от менюто.

Троянският кон е злонамерена приложна програма, която не се разпространява сама.Троянските коне се интегрират в програми, които вършат нещо полезно. Въпреки че всъщност тяхното стартиране причинава повреди на съдържанието на твърдия диск (или на част от него).

По настощем, най-разпространениете троянски коне са троянските коне тип BackDoor и PSW. BackDoor дават възможност за отдалечен достъп до заразените компютри, а PSW (Крадците на Пароли) - се опитват да съберат колкото се може повече лична информация от заразения компютър и да я изпратят през Интернет.

За да се премахне Троянски кон е достатъчно да се изтрие открития файл.

През последните години има много компютърни вируси, особено витуси тип “червей”, които се разпространяват главно чрез електронната поща. Това причинява паниката на потребители, която паразитира в специална група съобщения, наречени ХОАКС (HOAX), които НЕ са основани на истината.

Тези съобщения с лъжлива тревога обикновено са съчинени по следната схема: Предупреждение за някой извънюредно опасен, бързо разпространяващ се вирус, а след това изисква някакво действие от потребителя. В най-добрия случай, те молят потребителя да изпрати това съобщение на всеки от списъка с контакти на потребителя (действието е известно от игрите тип “верига”), което причинавя срив в системата на електронната поща поради претоварване. В по-лошия случай, тези съобщения молят да бъде изтрит подозрителен вирус, макар файла всъщност да е КОРЕКТЕН системен файл. Изтриването на такива айлове може да доведе до сериозни проблеми (някои програми няма да работят, или цялата система може да блокира).

Най-известното съобщение тип ХОАКС е:

Моля, проверете и се уверете дали нямате този
вирус. Той ми беше изпратен
(случайно) и се казва, че се предава на всеки в моя списък с контакти. Много е вероятно да го
имате.
Ако го имате, свържете се с всички хора във
ВАШАТА АДРЕСНА КНИГА
защото
програмата АВТОМАТИЧНО изпраща на всеки
във вашата адресна книга съобщение
с вируса.
Името на вируса е jdbgmgr.exe и той не се открива нито с
McAfee, нито с Norton. Остава в системата Ви 14 дни
преди да изтрие всичките Ви файлове.
За да го изтриете и премахнете напълно, моля, направете
следното незабавно:
1. Идете на START -- FIND --FILES OR FOLDERS
2. Под NAMED, напишете jdbgmgr.exe и натиснете FIND NOW.
Уверете се, че търсите в Устройство (C)
******НЕ ГО НАТИСКАЙТЕ, АКО ТОЙ СЕ ПОЯВИ********
3. Ако вирусът се появи (съответната икона ще бъде
малко мече-играчка), името ще бъде jdbgmgr.exe
4. *****НЕ ГО ОТВАРЯЙТЕ************ Само изберете с десен бутон
и го ИЗТРИЙТЕ. Той ще бъде изпратен в Кошчето.
5. След като го видите, че е изчезнал, идете в КОШЧЕТО и
го ИЗТРИЙТЕ и оттам. Ако изобщо е възможно,
ИЗПРАЗНЕТЕ Кошчето чрез командата от меню FILE.
Ако откриете този вирус във Вапата система, моля, изпратете
това съобщение на всеки от адреснава Ви книга възможно най-скоро.

Най-добрата защита от страна на потребителя е неговия избор. Ако съобщението има такова съдържание, потребителя би трябвало да провери антивирусните страници в Интернет (като www.icsa.net, www.grisoft.com) или всякакви страници, които са посветени на вирусни проблеми. Потребителят може също да изпрати запитване до техническата поддръжка на антивирусните компании, където потребителят може да се консултира с персонала от техническата поддръжка относно потребителски проблеми.

Ако потребителят неумишлено разпространи такива съобщения, то това е точно ефекта, който автора на ХОАКСа иска да постигне. Забележете, че сигналите за тревога от антивирусните компании са по-професионално съставени и обикновено не се изпращат неизвестни адреси, и не предявяват никакви искания в тях!

Странното поведение на Internet Explorer на Вашия компютър (автоматични изкачащи прозорци от страници в Интернет с подозрително търговско съдържание) или автоматично пренасочване на Вашата домашна страница към друга страница (например – еротика, warez), когато AVG не открива никакъв вирус на компютъра, може да не е причинено от присъствието на вирус, а на друг злонамерен код, известно като ADWARE или SPYWARE.

Тези програми се инсталират по времето, когато разглеждате страници в Интернет със търговско съдържание (основно еротика, warez, изтегляне на музика)

Тези програми не са вируси и ето защо те дори не могат да бъдат засечени като вируси (от антивирусната програма). Дори и ори това положение, има много програми, които са способни да премахнат тези неща. Например Ad-aware или Spybot – и двете програми имат безплатна версия. Препоръчваме Ви да търсите в Интернет за повече.

Моля, проверете във Вирусната енциклопедия и търсете за точното име на вируса, споменат в резултата от теста.

Ако не успеете, моля свържете се с техническата поддръжка на адрес support@avgbulgaria.com и ни изпратете извлечение (Export ) на последния резултат от теста.

Извлечение на последния резултат може да направите по следния начин:

Отворете програмата AVG (в основен или разширен интерфейс) и изберете Test Results от меню Results (можете да използвате също и клавиша F6, за да направите същото). Сега можете да видите списъка от завършените тестове, двойно кликване на последния (по дата) и ще получите пъленс списък на откритите вируси (ако има някакви), включително пътя, името и състоянието на инфектирания обект. Когато той се отвори, се върнете обратно на основния програмен екран на AVG -> меню Program -> позиция Export...(или можете да използвате клавишна комбинация Ctrl+S, за да получите прозореца Save as... ). Моля, изпратете ни този файл за по-нататъшен анализ.

Моля, опитайте се да осъвремените Вашата антивирусна система AVG и стартирайте отново пълния тест на AVG (AVG Complete Test). Когато файлът не е открит, а Вие все още се колебаете, сложете файла в архив, защитен с парола (WinZip, WinRar, PowerArchiver и т.н.), приложете този архив в електронно писмо до support@avgbulgaria.com. Опишете защо изпращате този файл и запишете паролата за архива в писмото. И пратете писмото.

Когато преместите заразен файл в AVG Virus Vault, Вашият компютър е обезопасен. Файловете са записани в кодирана форма в AVG Virus Vault, така че не могат да заразят компютъра Ви, нито да се разпространяват. Можете да съхранявате файловете в AVG Virus Vault. Обикновено препоръчваме да съхранявате тези файлове в AVG Virus Vault известно време (например една седмица). Ако няма проблем, свързан някой от тези файлове (например проблем с някое приложение на Вашия компютър), можете да ги изтриете.

Можете да ги изтриете по този начин:

• Отворете AVG Virus Vault
• маркирайте файла/овете в AVG Virus Vault
• кликнете Action -> изберете позиция Delete file (s)
  (ако желаете да премахнете всички обекти от AVG Virus Vault едновременно, моля, използвайте Action -> Empty Vault)
  

AVG 7.1 е способна да открива някои Потенциално нежелани програми и да премахва откритите файлове. Необходимо е да се спомене, че AVG НЕ е проектирана преди всичко да открива тези нежелани програми, и всички свързани с тях компоненти. За тези Потенциално нежелани програми, AVG е замислена главно като източник на ценна информация, че има потенциални заплахи за вашия компютър, които вероятно трябва да бъдат премахнати. Премахването на „Потенциално нежелани програми” може да бъде направено с програма, предназначена за тази цел (откриване и премахване на адуер- и спайуер- (adware/spyware)-потенциално нежелани програми, например, Ad-Aware на Lavasoft - www.lavasoft.de).

ЗАБЕЛЕЖКА: Премахването на Потенциално нежелани програми може да навреди на програмата, поддържана от реклами, която е инсталирана с тях.

Ако AVG е открила „Потенциално нежелана програма” на Вашия компютър, която не е открита от Вашата антиспайуер програма, моля, изпратете ни тестовите резултати* като приложение по електронната поща. Ние ще осигурим подкрепа на съответните действия, които трябва да бъдат предприети за премахването на подозрителния файл.

* Изпращане на резултата от теста на AVGBulgaria.com (support@avgbulgaria.com):

1. Стартирайте AVG 7.1 и изберете „Start complete test” („Започни пълна проверка”) от менюто Tests (Проверки).

   Функционалният Клавиш F4 също може да бъде използван, за да се започне теста.

2. След като е завършил теста, затворете прозореца и натиснете бутона Test Results (Резултати от проверката).
3. Превъртете надолу до дъното на резултатите от теста и натиснете два пъти на последния Complete Scan (Пълно Сканиране).
4. Разгънете от файловото меню групата менюта Program и изберете позицията „Export list to file”.
5. Изберете папка, в която да запишете резултатите.
6. Изпратете записания файл с разширение .cvs като приложение от Вашата електронна поща.

   Благодарим Ви!
   

В случай, че имате заразен компютър с rootkit, можете да направите следното:

• рестартирайте компютъра в Safe mode (като използвате клавиш F8 при рестартирането) и пуснете AVG Complete Test (понякога това е достатъчно).
• сложете харддиска в друг компютър и го сканирайте по този начин (може би това е най-добрия начин)
• стартирайте специална програма срещу rootkit, най-добрата от които е написана от Марк Русинович, достъпна на www.sysinternals.com под името Rootkit Revealer.