Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

ArGen

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):


SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('E:\Installs\Virtual_fcd\VDP.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\RICH20.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\MSISIP.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\MSIMSG.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\MSIHND.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\MSIE.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\MSIA.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\MM43.CAB','');
QuarantineFile('E:\ОЛЕНЬ\Саша\Программа\Support\Формы.exe','');
QuarantineFile('E:\ОЛЕНЬ\Саша\Программа\Формы.CAB','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe','');
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('RemoteRegistry', 4);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
begin

Компьютер перезагрузится. После загрузки выполни ещё один:


CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
begin

Архив Quarantine.zip из папки AVZ залей на фтп, ссылку напиши сюда.

Скачай Malwarebytes' Anti-Malware. Установи, обнови базы и выбери Perform Full Scan (Провести полную проверку), нажми Scan (Проверить), после сканирования выбери Ок и далее Show Results (Показать результаты), нажми "Remove Selected" (Удалить выделенные). После удаления открой лог и скопируй в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Повтори логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и HiJackThis

Ссылка на комментарий
  • 0

так..значит лог

Malwarebytes' Anti-Malware 1.31

Версия базы данных: 1456

Windows 5.1.2600 Service Pack 2

02.03.2009 21:23:20

mbam-log-2009-03-02 (21-23-20).txt

Тип проверки: Полная (C:\|D:\|E:\|)

Проверено объектов: 129951

Прошло времени: 1 hour(s), 12 minute(s), 53 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 1

Заражено значений реестра: 0

Заражено параметров реестра: 0

Заражено папок: 1

Заражено файлов: 3

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08b0e5c0-4fcb-11cf-aax5-00401c608512} (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

Заражено папок:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015 (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено файлов:

D:\для FTP\проги\dream_aquarium_xp\Dream Aquarium XP\patch.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

D:\для FTP\проги\FarStone.VirtualDrive.Pro.v11.50.07071718.Incl.Keymaker\Crack\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.

и Quarantine.zip ,логи virusinfo_syscheck.zip иHiJackThis

здесь _> ftp://ftp.burnet.ru/incoming/users/WAYNE/111/

Ссылка на комментарий
  • 0

ArGen

Пофикси в HiJackThis (как фиксить - в шапке):

O23 - Service: Network Driver Interface - Unknown owner - G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe (file missing)

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/F082~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

Выполни скрипт в AVZ:


SetAVZGuardStatus(True);
SearchRootkit(true, true);
StopService('Network Driver Interface');
SetServiceStart('Network Driver Interface', 4);
DeleteService('Network Driver Interface');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe');
DeleteFile('G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
begin

Компьютер перезагрузится.

После загрузки скачай ATF Cleaner, запусти. Отметь галочкой пункт "Select All" и нажми "Empy Selected". Это позволит очистить временные файлы. Если хочешь сохранить сессии на сайтах и сохраненные пароли, сними галочку с "Cookies" (куки только Internet Explorer). Затем, после очистки, перейди на вкладку Firefox или Opera (в зависимости от того, какой браузер используешь), и выдели все пункты. Если хочешь сохранить сессии на сайтах и сохраненые пароли, сними галчоки с "Opera Cookies" (или "Firefox Cookies") и "Opera Saved Passwords" (или "Firefox Saved Passwords") и нажми "Empty selected".

Повтори логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и HiJackThis

Ссылка на комментарий
  • 0

ArGen

1. По логам не вижу установленного антивируса. Каким пользуешься?

2. Флэшки подключались в процессе создания логов? После создания?

Выполни скрипт в AVZ:


SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
DelCLSID('23KLN5J0-4OPM-11WE-AAX5-24EF1F387232');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187562');
BC_Activate;
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.
begin

Компьютер перезагрузится.


Скачай SDFix, загрузись в безопасном режиме. Запусти SDFix.exe, дождись распаковки файлов. Затем запусти файл C:\SDFix\RunThis.bat и нажми Y, затем Enter.

Дождись окончания сканирования и загрузи на фтп файл C:\Report.txt.


Скачай ComboFix и сохрани на рабочий стол.

Перед началом работы с ComboFix, необходимо установить консоль восстановления. Скачай

обновление KB310994 (Recovery Console for Windows XP Professional SP2), сохрани на рабочий стол. Затем перетащи файл на иконку ComboFix, подтверди лицензионное соглашение и установи Recovery Console.

После установки Recovery Console, запусти ComboFix.exe с рабочего стола. Внимание! Если ComboFix не запускается, переименуй его в Combo-Fix.exe.

Дождись окончания процесса ComboFix'a и загрузи на фтп файл C:\ComboFix.txt

После окончания работы ComboFix необходимо загрузиться в обычный режим.


Скачай RSIT, запусти, в выпадающем списке выбери пункт "3 Months" и нажми "Contimue". После окончания сканирования откроются файлы log.txt и info.txt. Сохранены они в папке C:\RSIT\. Так же, загрузи их на фтп.


После всего этого запусти AVZ, обязательно обнови базы! В меню AVZPM выбери пункт "Установить драйвер расширенного мониторинга процессов". Дождись окончания установки и перезагрузи компьютер.


Сделай полные логи AVZ (3й и 2й стандартные скрипты AVZ) и HiJackThis.
Ссылка на комментарий
  • 0
1. По логам не вижу установленного антивируса. Каким пользуешься?

да сейчас нету(форматнул все), до этого были касперский и NOD!!!

2. Флэшки подключались в процессе создания логов? После создания?

а у меня нет сейчас флешки!!!

вопрос

а как загрузится в безопасном режиме??...я не знаю!!

и как загрузиться в обычный режим??

Ссылка на комментарий
  • 0
а как загрузится в безопасном режиме??...я не знаю!!

Нажимай F8 после появления POST-экрана и в появившемся меню загрузки выбирай "Безопасный режим".

да сейчас нету

Поставь и просканируй полностью все диски

до этого были касперский и NOD!!!

Одновременно что ли?

Ссылка на комментарий
  • 0

D_Master

терь у меня другая проблема...

когда я загружаюсь в безопасном режиме...то система требует пароля....я его не знаю!!!

(т.е. не помню.....в обычном режиме он у меня так заходит, а в безопасном почему-то запрашивает пароль!!!)

Одновременно что ли?

нет....сначало касперский потом NOD!!

Ссылка на комментарий
  • 0

нет ...хыыы...ну это и так понятна!!!!может ты знаещ как его можно заменить!! напиши как и все......!!!!!!!!спасиба заранее!!!

зы: остальное завтра выполню!!!!!!!!

Ссылка на комментарий
  • 0

"Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства." - после вот этого сообщения у меня недоступен интернет и начинает глючит компьютер. Поискал в гугле все сводится к обновлениям скачал обновление вот это - "WindowsXP-KB894391-x86-RUS" установил не помогло. Винду жалко переустанавливать инфу терять и настройки всякие. Помогите умоляю!

Ссылка на комментарий
  • 0

Opium

Установи следующие заплатки

MS08-067 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958644-x86-RUS.exe

MS08-068 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB957097-x86-RUS.exe

MS09-001 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958687-x86-RUS.exe

Просканируй компьютер утилитой KidoKiller_v3.3.2 ftp://ftp.burnet.ru/incoming/users/VR/KidoKiller_v3.3.2.zip

Как заметил на практике kido один не ходит в месте с ним всегда ходит какой ни бут Agent например Trojan-Downloader.Win32.Agent.bcpf, вот он и вызывает эту ошибку. Уже на трех машинах встречал такое скан удаления агента перезагрузка и опять агент на месте пока kido не убьешь он будет заново появляется.

Если не поможет выполни правила из шапки этой темы http://ulanovka.ru/forum/viewtopic.php?t=54237

Ссылка на комментарий
  • 0
"Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства."

вот-вот такая же лажа была я еще темку писал отрубает инет и все.

кстати VR верно подметил этот вирус Kido с трояном agent. заодно)) и KAV 2009 вроде удалял их, но инет все равно отключался с этой ошибкой.

но за это время я уже успел переустановить винду, но этот вирус все равно появлялся Net-Worm.Win32.Kido.ih (правда я на диск С: переустановил с форматированием, а диск D: не трогал. мож через D проник незнаю)

вообщем помогло KIS 8 и пока не появляется эта ошибка. но я все равно не уверен, что все ок. да и трафик чето начало по многому жрать (нервоз) пожалуй залью логи попозже.

у меня вопрос. на диске с: лежат сис файлы ntldr; autoexec.bat; bootfont.bin; boot.ini; config.sys; hiberfil.sys; io.sys; msdos.sys; pagefile.sys; NTDETECT.com - это случайно не вирус???

Ссылка на комментарий
  • 0
giper86

NTDETECT.COM - не вирус, однако есть зловреды, маскирующиеся под этот файл. Носят они названия NTDE1ECT.COM или NIDEIECT.COM.

о спасибо за ответ, я уж думал удалить его нафиг.)) *156

о а случайно не знаешь как настроить KIS8, чтобы лишний трафик нежрало.

а в сетевом экране заметил присутствует процесс GENERIC Host Process for Win32 Services и кушает немножко трафика. - Это так должно быть, а то когда отрубаю этот процесс он вообще к интернету не подключается.

Ссылка на комментарий
  • 0

Tex

По логам всё спокойно. Можешь выполнить скрипт, отключающий уязимые службы:


RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
end.
begin

Ссылка на комментарий
  • 0

решил отписать в теме.

имеется wxp sp2 by philka, проверенная временем ось

имеются явные признаки вируса (вирусов) - заблоченный диспетчер и регедит, я их врубаю естессно хптвикером, но все же

не запускаются ни страницы браузера (любого) со словами "nod", "dr.web", "kaspersky", "cureIT" и так далее, ни сами программы-антивири, антитрояны, авз, hijackthis и прочие.

запуск под другими именами не помогает, сканер нода однажды запустился, но благополучно был закрыт спустя 20 секунд после запуска оного.

при запуске некоторых ехе-приложений появляется ошибка вида:

microsoft visual c++ runtime library

R6002: floating point support not loaded

снес винду с форматированием раздела, даже без какоголибо софта на голой винде проблема не исчезла,

в процессах чего-то подозрительного нет, в службах тоже, в ключах реестра shell, run чисто, файрвол постоянно говорит об активности rundll32.exe, а не могу просмотреть, какую библиотеку подгружает, ибо процесс експлорер также выдает ошибку R6002.

2 D_Master: win32.sality ага, а удалить как тада, с учетом того, что винт снять низя, да, к тому же, кому нужен такой винт )

с флехи пытался запустить cureIT, не помогло.

аналогичная проблема нашлась на форуме qwerty.ru с поправкой на множество других программ.

Ссылка на комментарий
  • 0

catcher

че скажу-то, наверно, упоминали:

Некоторые вирусы пишут себя, но чаще восстановитель себя, в системные папки разделов НТФС: Resycler, System Volume Information, Restore. Причем, восстановитель порой вирусом не считается и, есессно, не совпадает по размеру с телом вируса.

Короче, после формата(глубокого) раздела для системы нужно почистить те самые папки и на других разделах. Но обычно, просто так в эти папки Виндоус зайти не даст.

D_Master, теперь с папками понятно.

Ссылка на комментарий
  • 0

microsoft visual c++ runtime library

R6002: floating point support not loaded

Переустанови С++ Redistributable

win32.sality ага, а удалить как тада

Я же вроде предложил вариант - качаешь Dr. Web CureIt с другого компа, на том же компе записываешь на болванку, грузишься с нее на своём и из-под него сканируешь ВСЕ разделы жесткого диска.

Resycler, System Volume Information, Restore.
Но обычно, просто так в эти папки Виндоус зайти не даст.

Recycler - вполне доступная папка, никаких проблем с доступом туда нет.

Restore - в стандартной WinXP такой папки вообще нет - точки восстановления хранятся в папке System Volume Information. Чтобы удалить её надо всего лишь отключить восстановление системы и перезагрузить компьютер. Удалить же эту папку не удастся - при следующей загрузке система заново создаст её.

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...