Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

giper86

Скачай Gmer ftp://ftp.burnet.ru/incoming/users/VR/gmer.zip. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. Залей на фтп сылку кинь здесь

nefi

А его вообще там нет, был только тут C:\Documents and Settings\All Users\Документы\

Всетаки выполни скрипт, по логом этот файл есть.

Ссылка на комментарий
  • 0

2 good of Baz!X

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):


SetServiceStart('mnmsrvc', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187332');
QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
DeleteFile('H:\autorun.inf');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
begin

Компьютер перезагрузится. После перезагрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залей на фтп, ссылку сообщи мне.


Сделай новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

Для отключения возможности автозапуска со съемных устройств, советую отключить автозапуск.

Ссылка на комментарий
  • 0

2 good of Baz!X

После выполнения первого скрипта флэшки подключались?

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):


SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\program files\common files\logishrd\lvmvfm\lvprcsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\VIDEX32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\3112Rx47.sys','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
DeleteFile('C:\System Volume Information\_restore{9BFF8A1E-3CAA-45C3-8DA0-326C3BA2F060}\RP4\A0013518.exe');
DeleteFile('C:\System Volume Information\_restore{9BFF8A1E-3CAA-45C3-8DA0-326C3BA2F060}\RP4\A0013594.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
begin

Компьютер перезагрузится. После перезагрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залей на фтп, ссылку сообщи мне.


После загрузки компьютера скачай ATF Cleaner, запусти. Отметь галочкой пункт "Select All" и нажми "Empy Selected". Это позволит очистить временные файлы. Если хочешь сохранить сессии на сайтах и сохраненные пароли, сними галочку с "Cookies" (куки только Internet Explorer). Затем, после очистки, перейди на вкладку Firefox или Opera (в зависимости от того, какой браузер используешь), и выдели все пункты. Если хочешь сохранить сессии на сайтах и сохраненые пароли, сними галчоки с "Opera Cookies" (или "Firefox Cookies") и "Opera Saved Passwords" (или "Firefox Saved Passwords") и нажми "Empty selected".


Скачай Malwarebytes' Anti-Malware. Установи, обнови базы и выбери Perform Full Scan (Провести полную проверку), нажми Scan (Проверить), после сканирования выбери Ок и далее Show Results (Показать результаты), нажми "Remove Selected" (Удалить выделенные). После удаления открой лог и скопируй в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).


Скачай RSIT, запусти, в выпадающем списке выбери пункт "3 Months" и нажми "Contimue". После окончания сканирования откроются файлы log.txt и info.txt. Сохранены они в папке C:\RSIT\. Так же, загрузи их на фтп.


После всего этого запусти AVZ, обязательно обнови базы! В меню AVZPM выбери пункт "Установить драйвер расширенного мониторинга процессов". Дождись окончания установки и перезагрузи компьютер.

Повтори логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и HiJackThis

Ссылка на комментарий
  • 0

VR я просканировал gmer'ом кидаю логи лови ftp://ftp.burnet.ru/incoming/users/sevkavTV

там вроде определил ROOTKITA модифицировавшего svchost.exe я думаю ты увидешь, че с ним сделать?

Ссылка на комментарий
  • 0

giper86

Это лог экспресс-проверки. Нужен полный лог.

Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Ссылка на комментарий
  • 0

У тебя кидо.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner ftp://ftp.burnet.ru/incoming/users/VR/ATF-Cleaner.exe, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь ftp://ftp.burnet.ru/incoming/users/VR/ComboFix.exe и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.


File::
C:\WINDOWS\system32\aenxf.dll
Driver::
rqsymqpk
Folder::

Registry::

FileLook::

DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и выложи на фтп.

Ссылка на комментарий
  • 0

giper86

Надеюсь эти заплатки установленны если нет то установи.

Установи следующие заплатки

MS08-067 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958644-x86-RUS.exe

MS08-068 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB957097-x86-RUS.exe

MS09-001 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958687-x86-RUS.exe

После установки заплаток просканируй компьютер утилитой KidoKiller_v3.4.1. ftp://ftp.burnet.ru/incoming/users/VR/KKiller_v3.4.1.zip

Сделай №2 стандартный скрипт AVZ с включенным AVZMP, Файл-AVZMP-Включить драйвер расширенного мониторинга процессов, после выполнения скрипта перезагрузитесь, лог и карантин выложи на фтп.

Ссылка на комментарий
  • 0

baikal

C:\Program Files\Зоркий Глаз\ANTIVIRЬ.exe - файл знакомый?

Пофикси в HiJackThis (как фиксить - в шапке):

R3 - URLSearchHook: (no name) -  - (no file)

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):


SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
QuarantineFile('C:\backup\backup.bat','');
QuarantineFile('C:\Program Files\vampina\vampina.exe','');
QuarantineFile('c:\program files\Зоркий Глаз\antivirЬ.exe,'');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
begin

Архив quarantine.zip залей на фтп, ссылку сообщи мне.

В принципе, логи можно сказать чистые.

Ссылка на комментарий
  • 0

giper86

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.


File::

Driver::
vgscqhfk
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1364:TCP"=-
FileLook::

DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

CFScript.gif

Когда сохранится новый отчет ComboFix, ComboFix.txt выложи на фтп.

Повтори лог Gmer, так же выложи.

Заплатки установленны? Что сказал KidoKiller?

Ссылка на комментарий
  • 0

D_Master

baikal

C:\Program Files\Зоркий Глаз\ANTIVIRЬ.exe - файл знакомый?

это антивирус http://ulanovka.ru/forum/viewtopic.php?t=61665

выполнил

Пофикси в HiJackThis (как фиксить - в шапке): Код:

R3 - URLSearchHook: (no name) - - (no file)

появилось такое соощение

111111.d87423c84cf8a46c7cfcf8072c1228fe.JPG

а не такое

FAQ12.1daf0e987caaa3574ee853d1498e9af6.png

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):

в твоём скрипте ошибка

1111111.ef1e99911cfe140d31772b7a8eb40667.jpg

Ссылка на комментарий
  • 0

baikal

Нажми Scan потом отметь R3 - URLSearchHook: (no name) - - (no file) и Fix Checked


begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
QuarantineFile('C:\backup\backup.bat','');
QuarantineFile('C:\Program Files\vampina\vampina.exe','');
QuarantineFile('c:\program files\Зоркий Глаз\antivirЬ.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Карантин выложи на фтп

P. S. Извиняюсь D_Master за вмешательство

Ссылка на комментарий
  • 0

да VR заплатки установил. с avz я вылаживал только virusinfo_syscure.zip

Kkiller показал по нулям.

сейчас выложил 3ComboFix.rar и 2gmer_giper86.log вот тут ftp://ftp.burnet.ru/incoming/users/sevkavTV

на этот раз gmer ничего подозрительного не показал.

Ссылка на комментарий
  • 0

giper86

Скачай Malwarebytes' Anti-Malware ftp://ftp.burnet.ru/incoming/users/VR/mbam-setup.exe, установи, обнови базы, выбери "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажми "Remove Selected" (удалить выделенные). Откройте лог и скопируй в тетстовый файл сохрани его и залей на фтп.

Проблеммы еще остались?

Ссылка на комментарий
  • 0
Скачай Malwarebytes' Anti-Malware ftp://ftp.burnet.ru/incoming/users/VR/mbam-setup.exe, установи, обнови базы, выбери "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажми "Remove Selected" (удалить выделенные). Откройте лог и скопируй в тетстовый файл сохрани его и залей на фтп.

Проблеммы еще остались?

это мне?

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...