Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0
Dexter

Логи чистые.

Службы "Сервер" и "Обозреватель компьютеров" включены/запущены?

чистые , видимо вирусов нету -_-

но , запущены

а может ATF-cleaner и ComboFix че-нить сделать?

спс за проверку :D ничего если раз в недельку буду вылаживать?

Ссылка на комментарий
  • 0

уважаемые! =)

залейте заново, кому не трудно на фтп эту инсталяху - HiJackThis*

HiJackThis лежит живой и здоровый на фтп в папке D_Master качай через тотал.

ftp://ftp.burnet.ru/incoming/users/D_Master/HiJackThis.exe

Ссылка на комментарий
  • 0

Хр

Пофикси в HiJackThis (как фиксить - в шапке):

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, explorer.exe

O4 - HKLM\..\Run: [Barsaka] explorer.exe

Логи AVZ чистые.

Советую обновить операционную систему.

Ссылка на комментарий
  • 0

Tobi

пофикси в HiJackThis (как фиксить - в шапке):

R3 - URLSearchHook: (no name) -  - (no file)

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

По логу AVZ ничего подозрительного не вижу.


wallenberg

пофикси в HiJackThis (как фиксить - в шапке):

R3 - URLSearchHook: (no name) -  - (no file)

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe','');
DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
begin

Компьютер перезагрузится. После загрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив Quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.


Dk

Файл C:\WINDOWS\system32\olhrwef.exe знакомый? Если нет, то пофикси в HiJackThis (как фиксить - в шапке):

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

Выполни скрипт в AVZ:


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\0bcobed.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\olhrwef.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\nmdfgds0.dll','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\0bcobed.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
begin

Компьютер перезагрузится. После загрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив Quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

Ссылка на комментарий
  • 0

wallenberg

C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe - Trojan.Win32.Buzus.aosr. Повтори логи AVZ (второй стандартный скрипт) и HiJackThis.

Добавлено спустя 8 минут:

Torres

Выполни скрипт в AVZ (как выполнять - в шапке):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{44627E97-789B-40d4-B5C2-58BD171129A1}');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
ExecuteSysClean;
end.

У меня а то трафик левый лезет и лезет.

tcpip.sys видимо патченный, да?

Ссылка на комментарий
  • 0
tcpip.sys отправлен в карантин

А где ссылка-то на карантин?

Сорри, вот скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив Quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

Ссылка на комментарий
  • 0

wallenberg

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
ExecuteSysClean;
end.

Компьютер перезагрузится. После загрузки очисти временные файлы:

- Скачай ATF Cleaner, запусти, поставь галочку напротив Select All и нажми Empty Selected.

- если используешь Firefox, нажми Firefox -> Select All -> Empty Selected

- нажми No, если надо оставить сохраненные пароли

- если пользуешься Oпeрой, выбери Opera -> Select All -> Empty Selected

- нажми No, если надо оставить сохраненные пароли

2. Открой AVZ, выбери Файл - Мастер поиска и устранения проблем, в категории проблемы выбери "Системные проблемы", степень опасности - "Все проблемы", исправь найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

После этого перезагрузись и выполни второй стандартный скрипт AVZ (новый лог).

Torres

tcpip.sys не патченный. Так что, проблема не в вирусах, тщательно проверь настройки сети/файрволла.

Ссылка на комментарий
  • 0

D_Master Все равно качает метр в час, можешь посмотреть скрины в моей теме - http://ulanovka.ru/forum/viewtopic.php?p=726049#726049

Ну просто не знаю как может такое быть что капает траф (((

Ссылка на комментарий
  • 0
giper86

OTCleanIt скачал, но она не грузится ошибка вылазит

Цитата:OTCleanIt - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

Перезалил на фтп OTCleanIt ftp://ftp.burnet.ru/incoming/users/VR/OTCleanIt.exe был коцанный файл

Если все-таки есть подозрения на зловредов давай еще выполним вот такой лог.

Скачай RSIT ftp://ftp.burnet.ru/incoming/users/VR/RSIT.exe. Запусти, выбери проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Залей их на фтп. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

извиняюсь за свое долгое отсутствие БП сдох поэтому не мог раньше написать

я сделал логи RSIT они тут ftp://ftp.burnet.ru/incoming/users/sevkavTV в архив запечатал

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...