Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

подскажите пожалуйста, не помню когда но кто-то вылаживал архив с вирусами для проверки своего антивируса, может кто ссылку даст или на фтп зальет у кого есть.

Ссылка на комментарий
  • 0

Проверять антивирус на реальных вирусах очень опасно, поэтому создан спецальный тестовый файл EICAR который определяется как вирус но не является таковым

Тестовый "вирус" EICAR был специально разработан для проверки работы антивирусных продуктов.

Тестовый "вирус" НЕ ЯВЛЯЕТСЯ ВИРУСОМ, и не содержит кода, который может навредить вашему компьютеру. Внизу в таблице дан код тестового "вируса". Загрузить тестовый "вирус", так же можно с официального сайта EICAR.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Чтобы получить тестовый "вирус" нужно сохранить вышеуказанный код в блокноте с расширением .txt или .com Для того чтобы проверить реакцию антивирусной системы на другие типы объектов, Вы можете модифицировать содержание "стандартного тестового вируса", добавив к нему один из префиксов.

Ссылка на комментарий
  • 0

вроде установил нод.он сканировал,нашел вирусы,в основном на .exe файлах,т.е. у меня удалились проги-Internet Explorer,Opera,jet audio ну и т.д. ,но самое главное удалился файл

c\WINDOWS\syste32\rundl32.exe

теперь ни одна иконка из "Панели инструментов не запускается"

что делать?

Ссылка на комментарий
  • 0

вроде установил нод.он сканировал,нашел вирусы,в основном на .exe файлах,т.е. у меня удалились проги-Internet Explorer,Opera,jet audio ну и т.д. ,но самое главное удалился файл

c\WINDOWS\syste32\rundl32.exe

теперь ни одна иконка из "Панели инструментов не запускается"

Нод не перестает меня удивлять.

Ссылка на комментарий
  • 0

PADONAK

Какой вирус находил NOD? Очень похоже, что это был файловый вирус.

Пока так

Выполните скрипт


begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(16);
RebootWindows(true);
end.

Ссылка на комментарий
  • 0

VR у меня нода нету и антивируса никокого только oytpost стоит.

Выполнил и все прошло, у меня диспетчер задач не вылазил и regedit/ Спасибо за просвлетвление

Ссылка на комментарий
  • 0
у меня нода нету и антивируса никокого только oytpost стоит.

Извеняюсь я тебя спутал с Pretor. Но скрипт правильный по твоим логам. Как я понимаю проблем больше нет?

Ссылка на комментарий
  • 0

pentagon

Выполни скрипт AVZ


SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\28463\wchm.exe');
QuarantineFile('C:\d1vmq.exe','');
QuarantineFile('C:\WINDOWS\system32\nmdfgds1.dll','');
QuarantineFile('C:\WINDOWS\system32\afmain0.dll','');
QuarantineFile('C:\WINDOWS\system32\28463\WCHM.007','');
QuarantineFile('C:\WINDOWS\system32\optyhww0.dll','');
QuarantineFile('c:\windows\system32\28463\wchm.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\dsnpfd.sys','');
QuarantineFile('C:\WINDOWS\system32\28463\WCHM.006','');
DeleteFile('C:\WINDOWS\system32\28463\WCHM.006');
DeleteFile('c:\windows\system32\28463\wchm.exe');
DeleteFile('C:\WINDOWS\system32\optyhww0.dll');
DeleteFile('C:\WINDOWS\system32\28463\WCHM.007');
DeleteFile('C:\WINDOWS\system32\afmain0.dll');
DeleteFile('C:\WINDOWS\system32\nmdfgds1.dll');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\olhrwef.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\urretnd.exe');
DeleteFile('C:\d1vmq.exe');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
BC_DeleteFile('c:\windows\system32\28463\wchm.exe');
BC_DeleteFile('C:\WINDOWS\system32\twex.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
begin

После перезагрузки выполни еще один скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip из папки AVZ вылажи на фтп

Повторите логи.

Ссылка на комментарий
  • 0

pentagon

Выполни

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WIN;DOWS\system32\28463\WCHM.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Перезагрузка.

Пофиксите:

R3 - URLSearchHook: (no name) -  - (no file)

По логам: все, что требовалось, вычистили - Ardamax Keylogger и компания. Скриптом, который я указал выше, добиваем бэкап.

Проблеммы остались?

Ссылка на комментарий
  • 0
кста хайджек неможет запустится.

Внимательно читайте 1 пост

Внимание! Некоторые вредоносные программы блокируют запуск защитных приложений по имени файла! Если при запуске HiJackThis у вас выдается сообщение, что файл не найден, переименуйте файл hijackthis.exe в любой набор букв (например, asdaefdsfas.exe ).
Ссылка на комментарий
  • 0

~Qred~

Скрипт AVZ:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
QuarantineFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe','');
DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится. После загрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

Повтори 2й стандартный скрипт AVZ.

Ссылка на комментарий
  • 0
кста хайджек неможет запустится.

Внимательно читайте 1 пост

Внимание! Некоторые вредоносные программы блокируют запуск защитных приложений по имени файла! Если при запуске HiJackThis у вас выдается сообщение, что файл не найден, переименуйте файл hijackthis.exe в любой набор букв (например, asdaefdsfas.exe ).

я такто знаю, но серавно неполучилось

Ссылка на комментарий
  • 0

Dexter

Сорри, не заметил :) Сейчас гляну :)

Добавлено спустя 4 минуты 6 секунд:

Dexter

Логи чистые.

Службы "Сервер" и "Обозреватель компьютеров" включены/запущены?

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...