Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

Markus

Нажми комбинацию клавишь + выбери экранную лупу и нажми ок в появившемся окне будет гиперссылка нажми на нее запустится браузер с помощью него получишь доступ к файловой структуре и выполни правила из шапки

Ссылка на комментарий
  • 0

извиняюсь за задержку инет отрубили.

VR

Если пройти по %SystemRoot%\Minidump то какой результат.

На системном диске файл подкачки есть?

это немного не понял

Сделал все по твоему скрину. Отличалось от твоего скрина вот этим:

1. "отображать список операционных систем 1сек" (у меня 30 сек) [но это думаю не важно]

2. не было галочки "отправить административное оповещение"

3. "Запись отладочной информации" было "(отсутствует)"

Вирус G:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx - a variant of Win32/Conficker.AE worm - cleaned by deleting (after the next restart) - quarantined

что НОДом что КАВом не удаляется, пишет будет удален после перезагрузки, однако и после перезагрузки не удаляется опять пишет тоже самое.

Ссылка на комментарий
  • 0

Соседка подцепила гадость... Окно а в нём:

"У вас стоит не лицензионная копия Windows"

Отправьте СМС на номер: 3649

С текстом: 212117

Протокол антивирусной утилиты AVZ версии 4.32

Сканирование запущено в 09.10.2009 23:27:32

Загружена база: сигнатуры - 244196, нейропрофили - 2, микропрограммы лечения - 56, база от 08.10.2009 00:09

Загружены микропрограммы эвристики: 374

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 144957

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=08B520)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80562520

KiST = 804E48A0 (284)

Проверено функций: 284, перехвачено: 0, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

CmpCallCallBacks = 0014509C

Disable callback - уже нейтирализованы

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Драйвер успешно загружен

1.5 Проверка обработчиков IRP

\FileSystem\ntfs[iRP_MJ_CREATE] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_CLOSE] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_WRITE] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_EA] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_PNP] = 867D71F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_CREATE] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_CLOSE] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_WRITE] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_QUERY_INFORMATION] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_SET_INFORMATION] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_QUERY_EA] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_SET_EA] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_SET_VOLUME_INFORMATION] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_DIRECTORY_CONTROL] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_FILE_SYSTEM_CONTROL] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_DEVICE_CONTROL] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_LOCK_CONTROL] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_PNP] = 8639A500 -> перехватчик не определен

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 34

Количество загруженных модулей: 412

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\Documents and Settings\Марина\Local Settings\Temp\~DFFB34.tmp

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\mail\indexer\indexer.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\mail\lexicon\lexicon.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0000\url.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0000\w.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0000\wb.vx

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0001\url.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0001\w.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0001\wb.vx

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0002\url.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0002\w.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0002\wb.vx

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0003\url.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0003\w.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0003\wb.vx

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0004\url.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0004\w.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0004\wb.vx

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0005\url.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0005\w.ax

Прямое чтение C:\WINDOWS.0\system32\drivers\sptd.sys

Прямое чтение C:\WINDOWS.0\Temp\HTT5E2.tmp

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\WINDOWS.0\system32\ntshrui.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS.0\system32\ntshrui.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (C:\WINDOWS.0\system32\ntshrui.dll)

C:\WINDOWS.0\system32\mstask.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS.0\system32\mstask.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (C:\WINDOWS.0\system32\mstask.dll)

C:\WINDOWS.0\system32\NETSHELL.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS.0\system32\NETSHELL.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (C:\WINDOWS.0\system32\NETSHELL.dll)

C:\WINDOWS.0\system32\credui.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS.0\system32\credui.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (C:\WINDOWS.0\system32\credui.dll)

C:\WINDOWS.0\system32\msxml3.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS.0\system32\msxml3.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (C:\WINDOWS.0\system32\msxml3.dll)

C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll --> Подозрение на Keylogger или троянскую DLL

C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll)

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

>>> Обратите внимание - заблокирован диспетчер задач

>>> Обратите внимание - нестандартный диспетчер задач "C:\RECYCLER\S-1-5-21-6113106537-9389935096-040156175-8869\sysdate.exe"

>>> Обратите внимание - заблокирован редактор реестра

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Проверка завершена

9. Мастер поиска и устранения проблем

>> Блокировка редактора реестра

>> Блокировка диспетчера задач

>> Подмена диспетчера задач

>> Разрешен автозапуск с HDD

Проверка завершена

Просканировано файлов: 79594, извлечено из архивов: 41396, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 09.10.2009 23:44:48

Сканирование длилось 00:17:17

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

Ссылка на комментарий
  • 0

SpinFire


Выполни скрипт [b]AVZ[/b] (как выполнить скрипт в шапке)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
QuarantineFile('c:\windows\system32\pnkbstra.exe','');
DeleteService('PnkBstrA');
DeleteFile('c:\windows\system32\pnkbstra.exe');
DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
RebootWindows(true);
end.

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ залей на сибнет

Сделать лог AVZ ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

SpinFire

Выберите из меню Файл-Стандартные скрипты, поставьте галку напротив 2-го скрипта ("Скрипт сбора информации для раздела "Помогите" virusinfo.info") и нажмите "Выполнить отмеченные скрипты". пол ученый лог загрузи на сибнет

Ссылка на комментарий
  • 0

Вчера два раза подряд был сбой: глючил звук и комп перезагружался. Загрузился в безопасном режиме. Оказалось, звуковой драйвер слетел. Переустановил звук. Проверил комп на вирусы, AVZ поймал HackHook (при выполнении 3-го скрипта, лог не сохранился). Заметил при запуске системы кое-что странное:

tsk.JPG

Пока эти процессы (appdrvrem01.exe sfrem01.exe pr2ak36b.exe) активны Mail-агент с акськой и Касперский не подгружаются. Через некоторе время эти процессы исчезают, и проги загружаются (появляются иконки в трее). Если процессы убить, загрузка Каспера и аськи не ускоряется. Надеюсь на вашу помощь.

PS. Удивлен, т.к. все флешки и диски перед открытием проверяю, открываю черет Total Commander. Процессы живут и после удаления хак-тула.

Ссылка на комментарий
  • 0

appdrvrem = application driver remove?

Если я не ошибаюсь Bonjour связан с MS Office'07 или Nero 8? Чесно сказать не помню точно после установки чего из них он появился. Как можно поймать вышеуказанные процессы, если они держатся примерно минуту после загрузки системы?

Ссылка на комментарий
  • 0

это от Apple

Apple выпустила новую Windows-версию ПО для поддержки неконфигурируемых сетевых соединений по IP-протоколу — Bonjour for Windows 1.0.4.

Используя стандартный IP-протокол, ПО Bonjour позволяет компьютерам и другим сетевым устройствам автоматически обнаруживать имеющиеся в сети ресурсы, компьютеры, устройства и сервисы, не требуя указания дополнительных параметров — например, IP-адреса или DNS-сервера.

Для работы Bonjour for Windows 1.0.4 требуется Microsoft Windows 2000, XP, 2003 или Vista. Для надежной и безопасной работы системы Apple рекомендует установить все последние обновления ПО Microsoft.

Сделай еще лог Gmer

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...