Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

Tex

По логам всё спокойно. Можешь выполнить скрипт, отключающий уязимые службы:


RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
end.
begin

Ссылка на комментарий
  • 0

решил отписать в теме.

имеется wxp sp2 by philka, проверенная временем ось

имеются явные признаки вируса (вирусов) - заблоченный диспетчер и регедит, я их врубаю естессно хптвикером, но все же

не запускаются ни страницы браузера (любого) со словами "nod", "dr.web", "kaspersky", "cureIT" и так далее, ни сами программы-антивири, антитрояны, авз, hijackthis и прочие.

запуск под другими именами не помогает, сканер нода однажды запустился, но благополучно был закрыт спустя 20 секунд после запуска оного.

при запуске некоторых ехе-приложений появляется ошибка вида:

microsoft visual c++ runtime library

R6002: floating point support not loaded

снес винду с форматированием раздела, даже без какоголибо софта на голой винде проблема не исчезла,

в процессах чего-то подозрительного нет, в службах тоже, в ключах реестра shell, run чисто, файрвол постоянно говорит об активности rundll32.exe, а не могу просмотреть, какую библиотеку подгружает, ибо процесс експлорер также выдает ошибку R6002.

2 D_Master: win32.sality ага, а удалить как тада, с учетом того, что винт снять низя, да, к тому же, кому нужен такой винт )

с флехи пытался запустить cureIT, не помогло.

аналогичная проблема нашлась на форуме qwerty.ru с поправкой на множество других программ.

Ссылка на комментарий
  • 0

catcher

че скажу-то, наверно, упоминали:

Некоторые вирусы пишут себя, но чаще восстановитель себя, в системные папки разделов НТФС: Resycler, System Volume Information, Restore. Причем, восстановитель порой вирусом не считается и, есессно, не совпадает по размеру с телом вируса.

Короче, после формата(глубокого) раздела для системы нужно почистить те самые папки и на других разделах. Но обычно, просто так в эти папки Виндоус зайти не даст.

D_Master, теперь с папками понятно.

Ссылка на комментарий
  • 0

microsoft visual c++ runtime library

R6002: floating point support not loaded

Переустанови С++ Redistributable

win32.sality ага, а удалить как тада

Я же вроде предложил вариант - качаешь Dr. Web CureIt с другого компа, на том же компе записываешь на болванку, грузишься с нее на своём и из-под него сканируешь ВСЕ разделы жесткого диска.

Resycler, System Volume Information, Restore.
Но обычно, просто так в эти папки Виндоус зайти не даст.

Recycler - вполне доступная папка, никаких проблем с доступом туда нет.

Restore - в стандартной WinXP такой папки вообще нет - точки восстановления хранятся в папке System Volume Information. Чтобы удалить её надо всего лишь отключить восстановление системы и перезагрузить компьютер. Удалить же эту папку не удастся - при следующей загрузке система заново создаст её.

Ссылка на комментарий
  • 0

пасибо всем, кто откликнулся)

проблема решилась

мне на флеху залили launch.zip, оттуда ухитрился запуститься, проверился несколько раз, вылечился

если комуто интересно: на касперски лаб сайте есть специальная утилита, которая лечит WIN32.Sality.AA или Win32.Sector.17 по др.вебу, заюзал ее, пока сижу радасный -_________-

upd: а где скачать с++ redistributable? :)

Ссылка на комментарий
  • 0

помогите пожалуйста , у меня тут в правом углу снизу вылезла какая то ссылкана порно, типа наберите смс вам пришлют код, иначе эта ссылка уберется через 30 дней что с ней делать как убрать эту хрень

Ссылка на комментарий
  • 0
1. Скачайте сканеры HiJackThis и AVZ

Не открывается страница, чтобы скачать этот сканер HiJackThis. Что делать? Без него возможно сделать всю процедуру?

Ссылка на комментарий
  • 0

nefi

В папке LOG какталога AVZ должен быть еще один лог virusinfo_syscure.zip, выложи его тоже на фтп

>> Нарушение ассоциации SCR файлов

AVZ, Файл - Мастер поиска и устронения проблем Пуск выделите проблеммы которые хотите исправить и нажми Исправить отмеченные проблеммы.

Так же не мешало исправить

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Ссылка на комментарий
  • 0
virusinfo_syscure.zip

VR, нет там такого файла, вот весь перечень, который есть в папке LOG:

virusinfo_cure.zip

virusinfo_syscheck

virusinfo_syscheck

virusinfo_syscheck.zip

И где его взять?

Остальное исправила.

Ссылка на комментарий
  • 0

nefi

Ты выполняла скрип №2 Скрипт сбора информации для раздела "Помогите!" virusinfo.info"?

Выполни запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip. Полученный архив выложи

Добавлено спустя 15 минут 59 секунд:

Выполни скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\dhhncg.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\dhhncg.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Добавлено спустя 1 минуту 6 секунд:

Карантин полностью потвердился - Trojan.Win32.Agent2.efp

Повтори логиАВЗ нужны логи после скрипта 3 и 2.

Ссылка на комментарий
  • 0
Ты выполняла скрип №2 Скрипт сбора информации для раздела "Помогите!" virusinfo.info"?

Да, выполняла.

Выполни скрипт

И как его сделать?

Повтори логиАВЗ нужны логи после скрипта 3 и 2.

Сделать все логи, которые после 3 и 2-го идут?

Ссылка на комментарий
  • 0

Что бы выполнит скрипт AVZ, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\dhhncg.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\dhhncg.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

VR писал(а):

Повтори логиАВЗ нужны логи после скрипта 3 и 2.

Сделать все логи, которые после 3 и 2-го идут?

Извени маленько не так выразился.

После того как компьютер перезагрузится после выполнения скрипта необходимо повторить логи, стандартные скрипты AVZ №2 и №3, как описано в шапке данной темы, как делала в начале.

Ссылка на комментарий
  • 0

В общем в этом каталоге C:\Documents and Settings\All Users\Документы\ через тотал коммандре убила два файла сама, без скриптов:

dhhncg.exe

xvxmtc.exe

Лано, по ходу проще Каспера запустить сканировать часов на 8, он сам кого надо убьет...

Добавлено спустя 36 секунд:

VR, спасибо за инфу!

Ссылка на комментарий
  • 0

nefi

В общем в этом каталоге C:\Documents and Settings\All Users\Документы\ через тотал коммандре убила два файла сама, без скриптов:

dhhncg.exe

xvxmtc.exe

Лано, по ходу проще Каспера запустить сканировать часов на 8, он сам кого надо убьет...

*142

А D:\dhhncg.exe тоже удалила?

Перед проверкой обнови антивирус, эти файлы определяюся антивирусом.

Но все таки желательно сделать логи, так как антивирус не дает 100% гарантии, если базы в актуальном состоянии то не понятно почему на них не сработал антивирус

Ссылка на комментарий
  • 0

у мя проблема с трафиком слишком жрать много начало, раньше такого не было думаю деяния зловредов

и еще в KIS 8 в сетевом экране присутствует процесс GENERIC Host Process for Win32 Services - это нормально?

логи ftp://ftp.burnet.ru/incoming/users/sevkavTV

Ссылка на комментарий
  • 0
А D:\dhhncg.exe тоже удалила?

А его вообще там нет, был только тут C:\Documents and Settings\All Users\Документы\

Антивирус у меня обновляется каждый день, порой несколько раз на дню.

если базы в актуальном состоянии то не понятно почему на них не сработал антивирус

Может потому что я полную проверку делала месяц назад? Да по ходу лучше винду переустановить..

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...