Jump to content
  • 0
D_Master

Для тех, чьи системы заражены вирусами!

Question

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Share this post


Link to post

3,699 answers to this question

Recommended Posts

  • 0

Brendon_Hit

ок, результат позже скажу.

Tymmmi

Вирусы, как правило, оставляют всяческие следы в системе после себя и антивирусы редко их устраняют.

Добавлено спустя 25 минут 39 секунд:

Brendon_Hit

В HiJackThis:

Запусти HiJackThis, нажми "Do a system scan only". После получения результатов в окне отметь галочкой следующую строку:

O4 - HKCU\..\Run: [Windows Video Drivers] C:\RECYCLER\S-1-5-21-7694478780-4789290324-553870917-9681\winlogon.exe

И нажми "Fix Checked". При появлении окна запроса нажми "Да".

В AVZ: Файл-Выполнить скрипт. Вставляешь текст из спойлера и запускаешь выполнение. После выполнения скрипта компьютер перезагрузиться. Внимание! Перед выполнением скрипта необходимо отключить антивирус и файрволл!


RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
TerminateProcessByName('c:\documents and settings\admin\sdsdsd.exe');
TerminateProcessByName('c:\documents and settings\admin\asdsdsd.exe');
QuarantineFile('c:\documents and settings\admin\sdsdsd.exe','');
QuarantineFile('c:\documents and settings\admin\asdsdsd.exe','');
QuarantineFile('spzw.sys','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7694478780-4789290324-553870917-9681\winlogon.exe','');
QuarantineFile('C:\Recycle\P-1-3-64-8794238531-8742492-9897532\Redem.exe');
QuarantineFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-7694478780-4789290324-553870917-9681\winlogon.exe');
DeleteFile('C:\Recycle\P-1-3-64-8794238531-8742492-9897532\Redem.exe');
DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
DeleteFile('c:\documents and settings\admin\asdsdsd.exe');
DeleteFile('c:\documents and settings\admin\sdsdsd.exe');
ExecuteSysClean;
RebootWindows(true);
end.
begin

После перезагрузки выполнить ещё один скрипт:


CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
begin

Архив quarantine.zip залей на фтп и напиши в ЛС адрес, по которому он залит.

Share this post


Link to post
  • 0

Отправил логи, на свой страх и риск)) Надеюсь, как сказал VampiRUS

как-то подозрительно это всё)

подозрительного ничего нет :)

Share this post


Link to post
  • 0
Отправил логи, на свой страх и риск))

Никакой личной информации в логах не содержится. Максимум - имя пользователя. Все остальное - техническая информация.

Share this post


Link to post
  • 0

D_Master

в AVZ запускаю код, возникает Ошибка not enough actual parameters в позиции 12:16

Share this post


Link to post
  • 0
в AVZ запускаю код, возникает Ошибка not enough actual parameters в позиции 12:16

Да что такое-то... Уже второй скрипт с ошибками... Вот обновленный, без ошибок:


RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
TerminateProcessByName('c:\documents and settings\admin\sdsdsd.exe');
TerminateProcessByName('c:\documents and settings\admin\asdsdsd.exe');
QuarantineFile('c:\documents and settings\admin\sdsdsd.exe','');
QuarantineFile('c:\documents and settings\admin\asdsdsd.exe','');
QuarantineFile('spzw.sys','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7694478780-4789290324-553870917-9681\winlogon.exe','');
QuarantineFile('C:\Recycle\P-1-3-64-8794238531-8742492-9897532\Redem.exe', '');
QuarantineFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe', '');
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe', '');
DeleteFile('C:\RECYCLER\S-1-5-21-7694478780-4789290324-553870917-9681\winlogon.exe');
DeleteFile('C:\Recycle\P-1-3-64-8794238531-8742492-9897532\Redem.exe');
DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
DeleteFile('c:\documents and settings\admin\asdsdsd.exe');
DeleteFile('c:\documents and settings\admin\sdsdsd.exe');
ExecuteSysClean;
RebootWindows(true);
end.
begin

Share this post


Link to post
  • 0

Brendon_Hit

Файлы c:\documents and settings\admin\asdsdsd.exe и c:\documents and settings\admin\sdsdsd.exe, были заражены троянцем Trojan.Win32.Agent.bcrq. Файл C:\RECYCLER\S-1-5-21-7694478780-4789290324-553870917-9681\winlogon.exe - червем P2P-Worm.Win32.Agent.ks. C:\Recycle\P-1-3-64-8794238531-8742492-9897532\Redem.exe - вирусом-автораном Worm.Win32.AutoRun.wzp. C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe - троянцем Trojan.Win32.VB.idf

По идее, все зловреды были удалены. Для полной уверенности можно повторить логи AVZ.

Share this post


Link to post
  • 0

блин ты не поверишь.....возникает ошибка asdsdsd.exe

и еще подключение к инету само собой отключается!

Share this post


Link to post
  • 0

Brendon_Hit

после выполнения скриптов флэшки не подключал? У Xp на флэшке зараза сидела, благо что во время сканирования он её к компу подключил.

Если подключал, то делай снова все логи с подключенными флэшками.

Share this post


Link to post
  • 0

слушай щас обновил Nod32 так он эти файлы asdsdsd.exe sdsdsd.exe стал кикать и уже мин 20 никакой ошибки не возникает))

Share this post


Link to post
  • 0
Память исчезает сама по себе кудато, что можно сделать?

Память на жестком диске? :)

Share this post


Link to post
  • 0

Да да, из-за этого на жесткий диск не заходит. И воопще скачивать не могу.

Share this post


Link to post
  • 0

Denver

По логам все чисто.

Brendon_Hit

не за что :)

Share this post


Link to post
  • 0

D_Master

спасибо большое

2 moders: думаю, тему нужно прилепить

Share this post


Link to post
  • 0
спасибо большое

Пока не за что, процесс идет :)

Share this post


Link to post
  • 0

D_Master

все было нормально 2 дня

сеня подключение к интеренету опять само отключается, еще в сетевых окружениях есть лишнее подсоединение "I-connect"

че опять логи тебе отправлять??

Добавлено спустя 51 минуту 15 секунд:

D_Master

при включении компа, возникает одна ошибка "Explorer.exe" это я так думаю те же самые вирусы да??

Share this post


Link to post
  • 0

Brendon_Hit

Думается, после логов подключал чьи-нибудь (возможно, свои) флэшки?

Share this post


Link to post
  • 0

Brendon_Hit

Вот с них-то зловреды и скопировались. Подключай флэшки (или форматируй до начала сканирования) и делай логи. Не забудь в AVZ отметить флэшки для сканирования.

Share this post


Link to post
  • 0

D_Master

посоветуй всем отключать авторан через gpedit.msc или через спец рег файл

а уж потом лечится ;)

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...