Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

хозяйка рыжего кота

да действительно у вас осталось заражение. что показало повторная полная проверка системы?

так же сделайте еще раз 2-й стандартный скрипт AVZ

Ссылка на комментарий
  • 0

хозяйка рыжего кота

что то в логах не вижу не каких следов хрома. делали логи когда хром был не запущен?

если да то нужны логи с запущеным хромом

Ссылка на комментарий
  • 0

VR

с включенным хромом делала. мало того, пока делала, в интернете попутно лазила.

Добавлено спустя 1 минуту 34 секунды:

VR

с включенным хромом делала. мало того, пока делала, в интернете попутно лазила.

А что означает "заблокирован ip" - я про предупреждение. С интернета какая-то угроза?

Ссылка на комментарий
  • 0
А что означает "заблокирован ip" - я про предупреждение. С интернета какая-то угроза?

говорит о том что какое приложении на вашем компьютере пытается соединится с этим адресом, а фаервол эту попутку блокирует. проблема в том что я в логах сейчас не вижу нечего такого что могло выполнять такие действия.

Давайте сделаем логи другими утилитами и посмотрим на результат:

1. Проверить систему утилитой TDSSKiller.exe

- Запустите файл TDSSKiller.exe на зараженной (или потенциально зараженной) машине;

- Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения требуется.

2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Ссылка на комментарий
  • 0

VR, привет. Посмотри, пожалуйста:

http://zalil.ru/34197652

Судя по логам, у меня в системе до сих пор следы AVG. Официальную утилиту от производителя качать для полного удаления?

Ссылка на комментарий
  • 0

Kolyan13

Выполнить скрипт AVZ (как выполнять скрипт - в шапке) скрытый текст


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\iertutil.dll','');
QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL','');
QuarantineFile('C:\WINDOWS\gigalan.sys','');
QuarantineFile('C:\WINDOWS\system\S6000Dex.dll','');
QuarantineFile('c:\windows\explore2r.exe','');
DeleteFile('C:\WINDOWS\gigalan.sys');
BC_DeleteFile('C:\WINDOWS\gigalan.sys');
DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
begin

После перзагрузки еще один скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Сделай новые логи AVZ (стандартный скрипт AVZ)

Добавлено спустя 17 секунд:

Судя по логам, у меня в системе до сих пор следы AVG. Официальную утилиту от производителя качать для полного удаления?

да

Добавлено спустя 6 минут 19 секунд:

deidara_sv

Выполнить скрипт AVZ (как выполнять скрипт - в шапке) скрытый текст


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wuauolt.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\.lnk','');
QuarantineFile('C:\Documents and Settings\Admin\rmotsu.exe','');
QuarantineFile('C:/QGNA/qGNA.exe','');
QuarantineFile('c:\windows\system32\wuauolt.exe','');
QuarantineFile('c:\documents and settings\admin\local settings\application data\thorn\thorn.exe','');
DeleteFile('c:\windows\system32\wuauolt.exe');
DeleteFile('C:/QGNA/qGNA.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GameNet');
DeleteFile('C:\Documents and Settings\Admin\rmotsu.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\.lnk');
ClearHostsFile;
DeleteFile('C:\WINDOWS\system32\wuauolt.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.
begin

После перзагрузки еще один скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Скачай последнюю версию AVZ 4.39 и сделай новые логи AVZ (стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

volant

не могу скачать логи, сайт недоступен.

vit007

Выполнить скрипт AVZ (как выполнять скрипт - в шапке) скрытый текст


SetAVZGuardStatus(True);
SetAVZPMStatus(True);
DeleteService('VGPU');
DeleteService('SWDUMon');
QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\SWDUMon.sys','');
QuarantineFile('c:\windows\kmsem\kmservice.exe','');
DeleteFile('C:\Windows\system32\DRIVERS\SWDUMon.sys');
DeleteFile('C:\Windows\system32\drivers\rdvgkmd.sys');
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.
begin

После перзагрузки еще один скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Cделай новые логи AVZ ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

volant

Так в логах чисто, только остались небольшие следу от вирусни, выполни скрипт AVZ и больше нечего не нужно делать.

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
ExecuteWizard('TSW',1,1,true);
BC_Activate;
end.

Ссылка на комментарий
  • 0

Добрый день.Гулял по нету без антивира малое время,потом решил зайти vk,но там появилась проверка безпасности.Через avz сделал 7 скрипт ребутнулся комп,но проблема исчезла.Вобщем хотелось бы провериться на наличие вирусов и т.п.

http://zalil.ru/34214245

Ссылка на комментарий
  • 0

vit007

Скачайте GMER

- Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканирование приостановить их работу.

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Добавлено спустя 4 минуты:

CoolNero

в логах чисто

Ссылка на комментарий
  • 0

VR

GMER 2.0.18454 -

http://www.gmer.net

Rootkit scan 2013-01-30 16:57:04

Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 SAMSUNG_HM160HC rev.LQ100-10 149,05GB

Running: f8nbd0ne.exe; Driver: C:\Users\671D~1\AppData\Local\Temp\kxldapob.sys

---- Registry - GMER 2.0 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0I\0S\0A\0T\0A\0P 1?2?3?

Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@"\4C\4=\4=\0045\4;\4L\4=\4K\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0T\0e\0r\0e\0d\0o 1?

Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0I\0S\0A\0T\0A\0P 1?2?3?

Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@"\4C\4=\4=\0045\4;\4L\4=\4K\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0T\0e\0r\0e\0d\0o 1?

---- EOF - GMER 2.0 ----

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...