Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0
А тебе зачем логи? Хочешь опыты ставить?
как-то подозрительно это всё)

Дабы не устраивать пляски с бубном, мы никто не телепаты :)

Почему это тема во взаимопомощи?) тут авторы тем просят помощь такто

А я предлагаю помощь :)

Ссылка на комментарий
  • 0

Franki

Ссылка на архив

Открой AVZ; Файл-Выполнить скрипт. Вставь туда следующий текст:

begin

QuarantineFile('D:\autorun.inf','');

QuarantineFile('D:\autorun.wsh','');

QuarantineFile('C:\autorun.wsh','');

QuarantineFile('C:\autorun.inf','');

QuarantineFile('C:\autorun.exe','');

DeleteFile('C:\autorun.exe');

DeleteFile('C:\autorun.wsh');

DeleteFile('D:\autorun.wsh');

DeleteFile('D:\autorun.inf');

DeleteFile('C:\autorun.inf');

RebootWindows(true);

end.

и нажми "Запустить". Компьютер перезагрузится.

Затем запусти файл fixReg.bat (из архива) и дождись его выполнения.

По логам, вируса - только автораны. ПДД денег не просит? ;)

Много файлов в автозагрузке - сервисы PowerDVD8, апплеты панели управления nVidia.

Открой файл fixReg.reg, если что не нужно убирать (на твой взгляд), то удаляй из файла от коментария до следующего.

Совет: для последующей защиты от вирусов-авторанов, насоздавай в конях дисков папки autorun.inf и присвой им атрибут "Скрытый". Теперь ни один вирус не сможет создать файл autorun.inf (если, конечно не удалит одноименную папку ;))

2ALL: если у вас такие же симптомы, не применяйте эти скрипты - для каждого случая требуется свой индивидуальный "курс лечения" ;)

Ссылка на комментарий
  • 0

D_Master

1. Открой файл fixReg.reg, если что не нужно убирать (на твой взгляд), то удаляй из файла от коментария до следующего.

2. Совет: для последующей защиты от вирусов-авторанов, насоздавай в конях дисков папки autorun.inf и присвой им атрибут "Скрытый". Теперь ни один вирус не сможет создать файл autorun.inf (если, конечно не удалит одноименную папку ;))

1. А где надо убирать?

2. Как насоздавать autorun.inf?

Ссылка на комментарий
  • 0

D_Master, понял: тебе, типа, отправляют анализы (логи), а ты устанавливаешь диагноз (способ лечения). Просто сначала подумал - тесты статистику или что-то в этом роде собираешь делать.

Круто! У меня проблема, когда открываю общий доступ на папку (полное изменение) - в этой папке сразу нач-ют появляться файлы, как KHQ и т.д.. Что делать?

п.с. лог позже скину - проверяюсь.


на фтп не зашло ...

давай дистанционно вылечишь?

AVZ:

%EF%EE%E4%EE%E7%F0.d6edc3db995dda333363eeaad0316382.JPG

%E4%E5%E9%F1%F2%E2.7c10c2c5de3b318a7e30dd4e22ee1c1c.JPG

HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:07:32, on 29.11.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\cFosSpeed\spd.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\cFosSpeed\cFosSpeed.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\Program Files\Chameleon Clock\ChamClock.exe

C:\Program Files\CPU-Control\CPU_Control.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Install\For translating\Dicto_installed\Dicto.exe

C:\Program Files\AIMP2\AIMP2.exe

C:\Program Files\QIP Infium\infium.exe

C:\Program Files\uTorrent\uTorrent.exe

C:\Program Files\CursorXP\CursorXP.exe

C:\Program Files\Total Commander\Totalcmd.exe

C:\Program Files\Opera\opera.exe

C:\Install\For defending\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ulanovka.ru/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s

O4 - HKCU\..\Run: [HomeAlarm] C:\Program Files\Chameleon Clock\ChamClock.exe

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\utorrent.exe"

O4 - HKCU\..\Run: [CPU_Control] C:\Program Files\CPU-Control\CPU_Control.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [Dicto] C:\Install\For translating\Dicto_installed\Dicto.exe -m

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{503ED9A0-6B78-4CA4-8675-B47A217202C5}: NameServer = 87.103.161.61 62.33.133.2

O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\cFosSpeed\spd.exe

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe

--

End of file - 5277 bytes

Ссылка на комментарий
  • 0

Franki

1. Убрать из файла fixReg.reg. В принципе, можно ничего убирать, почитай коментарии в файле (начинаются с ";").

2. Создай в корнях дисков папки с именем autorun.inf и присвой им атрибут "Скрытый".

ЗЫ На будущее: желательно бы указывать симптомы ;)

iRaz.R

Всё же логи AVZ обязательны. Так ничего сказать не могу.

тебе, типа, отправляют анализы (логи), а ты устанавливаешь диагноз (способ лечения).

Оно самое! :)

Ссылка на комментарий
  • 0

Franki

удаляй и сразу же очищай корзину.

Скрипты выполнил? Если да, то после удаления этих файлов запусти снова regFix.bat, перезагрузи компьютер и сделай снова логи (для полной уверенности в отсутствии вирусов).

Ссылка на комментарий
  • 0
Franki

удаляй и сразу же очищай корзину.

Скрипты выполнил? Если да, то после удаления этих файлов запусти снова regFix.bat, перезагрузи компьютер и сделай снова логи (для полной уверенности в отсутствии вирусов).

Как сделать логи? regFix.bat зачем он нужен?

Все сделал и появилась новая папка, что с ней делать?

1.fb20d3f4e5a3894d25f554afe042c984.JPG

Ссылка на комментарий
  • 0

Franki

В корнях жестких дисков не должно быть файлов autorun.*, где * - расширение файла.

Это скорее всего, та папка, которую я посоветовал создать (чтобы файлы autorun.inf не создавался). Удалять или переименовать обратно - решать тебе.

regFix.bat - это скрипт, который чистит реестр после удаления файлов auntorun.inf (обычно (без чистки) при открытии ЖД через проводник выскакивает окошко "С помощью какой программы открыть это файл").

Логи сделать так же, как и делал предыдущие. Всё в шапке ;)

Ссылка на комментарий
  • 0
хочу сделать логи.....ток программа HiJackThis не открывается!мож заново скинеш и ссылку дашь??

Через тотал коммандер качай, ошибок не будет ;)

Ссылка на комментарий
  • 0

Brendon_Hit

ок, результат позже скажу.

Tymmmi

Вирусы, как правило, оставляют всяческие следы в системе после себя и антивирусы редко их устраняют.

Добавлено спустя 25 минут 39 секунд:

Brendon_Hit

В HiJackThis:

Запусти HiJackThis, нажми "Do a system scan only". После получения результатов в окне отметь галочкой следующую строку:

O4 - HKCU\..\Run: [Windows Video Drivers] C:\RECYCLER\S-1-5-21-7694478780-4789290324-553870917-9681\winlogon.exe

И нажми "Fix Checked". При появлении окна запроса нажми "Да".

В AVZ: Файл-Выполнить скрипт. Вставляешь текст из спойлера и запускаешь выполнение. После выполнения скрипта компьютер перезагрузиться. Внимание! Перед выполнением скрипта необходимо отключить антивирус и файрволл!


RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
TerminateProcessByName('c:\documents and settings\admin\sdsdsd.exe');
TerminateProcessByName('c:\documents and settings\admin\asdsdsd.exe');
QuarantineFile('c:\documents and settings\admin\sdsdsd.exe','');
QuarantineFile('c:\documents and settings\admin\asdsdsd.exe','');
QuarantineFile('spzw.sys','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7694478780-4789290324-553870917-9681\winlogon.exe','');
QuarantineFile('C:\Recycle\P-1-3-64-8794238531-8742492-9897532\Redem.exe');
QuarantineFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7694478780-4789290324-553870917-9681\winlogon.exe');
DeleteFile('C:\Recycle\P-1-3-64-8794238531-8742492-9897532\Redem.exe');
DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
DeleteFile('c:\documents and settings\admin\asdsdsd.exe');
DeleteFile('c:\documents and settings\admin\sdsdsd.exe');
ExecuteSysClean;
RebootWindows(true);
end.
begin

После перезагрузки выполнить ещё один скрипт:


CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
begin

Архив quarantine.zip залей на фтп и напиши в ЛС адрес, по которому он залит.

Ссылка на комментарий
  • 0
Отправил логи, на свой страх и риск))

Никакой личной информации в логах не содержится. Максимум - имя пользователя. Все остальное - техническая информация.

Ссылка на комментарий
  • 0
в AVZ запускаю код, возникает Ошибка not enough actual parameters в позиции 12:16

Да что такое-то... Уже второй скрипт с ошибками... Вот обновленный, без ошибок:


RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
TerminateProcessByName('c:\documents and settings\admin\sdsdsd.exe');
TerminateProcessByName('c:\documents and settings\admin\asdsdsd.exe');
QuarantineFile('c:\documents and settings\admin\sdsdsd.exe','');
QuarantineFile('c:\documents and settings\admin\asdsdsd.exe','');
QuarantineFile('spzw.sys','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7694478780-4789290324-553870917-9681\winlogon.exe','');
QuarantineFile('C:\Recycle\P-1-3-64-8794238531-8742492-9897532\Redem.exe', '');
QuarantineFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe', '');
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe', '');
DeleteFile('C:\RECYCLER\S-1-5-21-7694478780-4789290324-553870917-9681\winlogon.exe');
DeleteFile('C:\Recycle\P-1-3-64-8794238531-8742492-9897532\Redem.exe');
DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
DeleteFile('c:\documents and settings\admin\asdsdsd.exe');
DeleteFile('c:\documents and settings\admin\sdsdsd.exe');
ExecuteSysClean;
RebootWindows(true);
end.
begin

Ссылка на комментарий

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...