Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

Ээ, извиняюсь. Спасибо за помощь!

Добавлено спустя 10 минут 11 секунд:

Находим и отмечаем галочками указанные в сообщении строчки и нажимаем "Fix Checked":

FAQ10.png

А у меня: О1 - .... - в списке их нет, что нужно сделать?

Ссылка на комментарий
  • 0

baikal

Выполни скрипт в AVZ (как выполнять - в шапке):


begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('Schedule', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('spre.sys','');
QuarantineFile('C:\WINDOWS\system32\XP-C1F27954.EXE','');
QuarantineFile('C:\WINDOWS\Temp\E_4\shell.fne','');
QuarantineFile('C:\WINDOWS\Temp\E_4\krnln.fnr','');
QuarantineFile('C:\WINDOWS\Temp\E_4\internet.fne','');
QuarantineFile('C:\WINDOWS\Temp\E_4\eAPI.fne','');
QuarantineFile('C:\WINDOWS\Temp\E_4\dp1.fne','');
QuarantineFile('C:\WINDOWS\Temp\E_4\com.run','');
QuarantineFile('c:\windows\system32\xp-c1f27954.exe','');
DeleteFile('c:\windows\system32\xp-c1f27954.exe');
DeleteFile('C:\WINDOWS\Temp\E_4\com.run');
DeleteFile('C:\WINDOWS\Temp\E_4\dp1.fne');
DeleteFile('C:\WINDOWS\Temp\E_4\eAPI.fne');
DeleteFile('C:\WINDOWS\Temp\E_4\internet.fne');
DeleteFile('C:\WINDOWS\Temp\E_4\krnln.fnr');
DeleteFile('C:\WINDOWS\Temp\E_4\shell.fne');
DeleteFile('C:\WINDOWS\system32\XP-C1F27954.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В AVZ Файл/Мастер поиска и устранения проблем нажми Поиск отметь все найденные проблеммы и нажми Исправаить отмеченные проблемы

>> Обнаружен отладчик системного процесса

>> Таймаут завершения служб находится за пределами допустимых значений

Пофикси в HiJackThis (как фиксить - в шапке):

O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-C1F27954.EXE

Архив quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

Повтори логи HiJackThis и стандартный скрипт AVZ

Ссылка на комментарий
  • 0
baikal

Выполни скрипт в AVZ (как выполнять - в шапке):


begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('Schedule', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('spre.sys','');
QuarantineFile('C:\WINDOWS\system32\XP-C1F27954.EXE','');
QuarantineFile('C:\WINDOWS\Temp\E_4\shell.fne','');
QuarantineFile('C:\WINDOWS\Temp\E_4\krnln.fnr','');
QuarantineFile('C:\WINDOWS\Temp\E_4\internet.fne','');
QuarantineFile('C:\WINDOWS\Temp\E_4\eAPI.fne','');
QuarantineFile('C:\WINDOWS\Temp\E_4\dp1.fne','');
QuarantineFile('C:\WINDOWS\Temp\E_4\com.run','');
QuarantineFile('c:\windows\system32\xp-c1f27954.exe','');
DeleteFile('c:\windows\system32\xp-c1f27954.exe');
DeleteFile('C:\WINDOWS\Temp\E_4\com.run');
DeleteFile('C:\WINDOWS\Temp\E_4\dp1.fne');
DeleteFile('C:\WINDOWS\Temp\E_4\eAPI.fne');
DeleteFile('C:\WINDOWS\Temp\E_4\internet.fne');
DeleteFile('C:\WINDOWS\Temp\E_4\krnln.fnr');
DeleteFile('C:\WINDOWS\Temp\E_4\shell.fne');
DeleteFile('C:\WINDOWS\system32\XP-C1F27954.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В AVZ Файл/Мастер поиска и устранения проблем нажми Поиск отметь все найденные проблеммы и нажми Исправаить отмеченные проблемы

>> Обнаружен отладчик системного процесса

>> Таймаут завершения служб находится за пределами допустимых значений

выполнил

А в HiJackThis я не нашел такого скрипта

Пофикси в HiJackThis (как фиксить - в шапке):

O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-C1F27954.EXE

Архив quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

Повтори логи HiJackThis и стандартный скрипт AVZ

%D0%91%D0%B5%D0%B7%D1%8B%D0%BC%D1%8F%D0%BD%D0%BD%D1%8B%D0%B9.JPG

VR

ftp://ftp.burnet.ru/incoming/users/baikal/

Ссылка на комментарий
  • 0

Помогоите плз,Дмастер,писал в аську,но видимо не дошло.У знакомой таккая проблема:

"загружается потихоньку, но потом выходит окошечко с ошибкой, что не хватает памяти, чтобы продолжить загрузку..... и вообще проблема началась с того, что у меня памяти осталось на компе где-то 5 мБ.....))))) (знаю, что это оч мало)))), он нормлаьно включился, но инет уже не работал(незнаю почему...) закрыла крышку ноута и пошла в универ. пришла с универа открыла его, попыталсь выйти из спящего режима, ни фига не получилось.....((((все тиакой же черный экран, а потом я выключила его и включила снова, вот теперьт и появляется у меня это противное окошко......!!!!!!!!!

антивируска у меня вроде стои нормальная, базы у меня обновляются автоматичекси- но в связи с катастрофической нехваткой памяти, она видимо давно не обновлялась(где-то неделю)

флэшки- вроде нет, я проверяю все, и вроде не мочила))))) а на счет зарядки- он у меня всегда включен в розетку........"

посоветуйте что-нибудь?

Ссылка на комментарий
  • 0

Pretor

Я так понимаю данная проблемма к вирусам отношения не имеет

Загрузись с любого LiveCD и по удалял ненужные файлы, что бы было не менее гига свободного места.

А вобще желательно не забевать диск более чем, что бы на нем всегда было свободно минимум 12.5% обема

Ссылка на комментарий
  • 0

Batt

Выполни скрипт в AVZ (как выполнять - в шапке):


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('.sys','');
QuarantineFile('MMTray.exe','');
QuarantineFile('C:\WINDOWS\system32\02.tmp','');
QuarantineFile('C:\WINDOWS\system32\DkO122b0.exe','');
QuarantineFile('C:\PROGRA~1\AWS\MiniBug.exe','');
DeleteFile('C:\WINDOWS\system32\DkO122b0.exe');
DeleteFile('C:\WINDOWS\system32\02.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В AVZ Файл/Мастер поиска и устранения проблем нажми Поиск отметь найденные проблеммы и нажми Исправаить отмеченные проблемы

>> Internet Explorer - заблокирована настройка домашней страницы

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Архив quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

Внимание !!! База поcледний раз обновлялась 15.06.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обнови базы

Повтори логи HiJackThis и стандартный скрипт AVZ

P.S. У тебя на машине неправильная системная дата Сканирование запущено в 16.06.2003 19:12:54

P. S. s. D_Master извеняюсь за вмешательство

Ссылка на комментарий
  • 0

При установке всех трех программ появлялось окошко:

%D0%91%D0%B5%D0%B7%D1%8B%D0%BC%D1%8F%D0%BD%D0%BD%D1%8B%D0%B9.JPG

А затем:

%D0%91%D0%B5%D0%B7%D1%8B%D0%BC%D1%8F%D0%BD%D0%BD%D1%8B%D0%B92.JPG

Что сделать?

Утилиту еще не запускала.

проблема: сайт Касперски не открывается ("Невозможно отобразить страницу") -> антивирус не обновляется (базы от 5 мая(()

Ссылка на комментарий
  • 0

Batt

Перезалил заплаткм MS08-067, MS08-068, MS09-001

Запусти утилиту KK о результате собщи.

Если небудет улутшения то сделай еще лог gmer

Загрузите GMER

Запустите программу

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунк-тов:

- Sections

- IAT/EAT

- Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и загрузи на фтп

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...