Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

OniX

Выполни скрипт AVZ (как выполнить скрипт в шапке)


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Гриха\Игры\l2\програмы для л2\l2phx.3.5.14.124\LSPprovider.dll','');
QuarantineFile('C:\WINDOWS\erunt\backup.exe','');
QuarantineFile('C:\WINDOWS\system32\syschk32.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pssdklbf.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pssdk40.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\srv.sys','');
QuarantineFile('C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe','');
DeleteFile('C:\WINDOWS\system32\syschk32.exe');
DeleteFile('D:\Гриха\Игры\l2\програмы для л2\l2phx.3.5.14.124\LSPprovider.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Выполни скрипт AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Профиксь HijackThis


R3 - URLSearchHook: (no name) - - (no file)
O20 - AppInit_DLLs: 0

У тебя в системе стоит драйвер от ComboFix для того что бы его удалить нажми Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"

Combofix-unninstal_a54541e30501ebe7484cde6c86e8f40e.JPG

Скачайте OTCleanIt, запустите, нажмите Clean up

quarantine.zip из папки AVZ залей

Заново сделать лог AVZ (2й стандартный скрипт AVZ) и лог HijackThis

Добавлено спустя 40 минут 36 секунд:

KOTIKKOTIK

Выполни скрипт AVZ (как выполнить скрипт в шапке)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\System Volume Information\_restore{2B5BD7A9-9898-46D1-83C4-5A75622AD234}\RP99\A0035600.exe','');
QuarantineFile('D:\Downloads\Auslogics BoostSpeed 4.4.11.215[ulanovka.ru]\BoostSpeed.exe','');
DeleteFile('D:\Downloads\Auslogics BoostSpeed 4.4.11.215[ulanovka.ru]\BoostSpeed.exe');
DeleteFile('D:\System Volume Information\_restore{2B5BD7A9-9898-46D1-83C4-5A75622AD234}\RP99\A0035600.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Выполни скрипт AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ залей на сибнет

Заново сделать лог AVZ ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

OniX

Выполни скрипт AVZ (как выполнить скрипт в шапке)


begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Boonty Games');
QuarantineFile('C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe','');
SetServiceStart('Schedule', 4);
DeleteFile('D:\System Volume Information\_restore{D47571DB-726A-4AA3-B61D-CF738887987F}\RP1\A0000115.dll');
DeleteFile('C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Заново сделать лог AVZ (стандартный скрипт AVZ)

Добавлено спустя 1 минуту 36 секунд:

KOTIK

Заново сделать лог AVZ ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

ligalize

Выполни скрипт AVZ (как выполнить скрипт в шапке)


begin
QuarantineFile('C:\WINDOWS\system32\drivers\MTictwl.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\MTiCtwl.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\dsnpfd.sys','');
end.

Выполни скрипт AVZ


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ залей на сибнет

Удалите Bonjour.

Сообщение от www.ixbt.com

Apple выпустила новую Windows-версию ПО для поддержки неконфигурируемых сетевых соединений по IP-протоколу — Bonjour for Windows 1.0.4.

Используя стандартный IP-протокол, ПО Bonjour позволяет компьютерам и другим сетевым устройствам автоматически обнаруживать имеющиеся в сети ресурсы, компьютеры, устройства и сервисы, не требуя указания дополнительных параметров — например, IP-адреса или DNS-сервера.

Для работы Bonjour for Windows 1.0.4 требуется Microsoft Windows 2000, XP, 2003 или Vista. Для надежной и безопасной работы системы Apple рекомендует установить все последние обновления ПО Microsoft.

Как видно, ничего опасного нет. Полезного, впрочем, тоже.

Удалить этот сервис достаточно просто:

Как показывает практика - проще всего удалить Bonjour через Панель управления/Приложения.

Уже давно нужно было поставить SP3

Заново сделать лог AVZ ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

VR, спасибо, все сделал.

quarantine.zip

В "установке и удалении программ" бонжура нет.Насколько я знаю, без него фотошоп не робит.

В диспетчере, помимо нужных, куча левых процессов, при включении убиваю в ручную (штук 6)... что можете посоветовать ?

Ссылка на комментарий
  • 0

ligalize

А где новые логи?

В "установке и удалении программ" бонжура нет.Насколько я знаю, без него фотошоп не робит.

К фотошопу он не имеет отношение. профиксь в hijackthis (как фиксить смотри в шапке) следующию строчку

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

В диспетчере, помимо нужных, куча левых процессов, при включении убиваю в ручную (штук 6)... что можете посовето

Каких именно? Сделай лог вырубая эти процессы

Ссылка на комментарий
  • 0

Markus

По логу HiJackThis ничего сказать не могу.

2-й стандартный скрипт АВЗ попробуй выполнить, или при выполнение этого скрипта вылетают ошибка

Загрузите GMER

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections

IAT/EAT

Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Ссылка на комментарий
  • 0
2. Перед запуском сканеров отключите Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).

У меня этого нету

И базы почему то не обновляются. Кнопка "Обновить базы" не актиная.

ушел - оставил комп включеным, прихожу - у меня в опере открыты закладки с какими то китайскими сайтами. В таск менеджере появилась непонятная програмка. (там вообще что то много всего) Я сразу её закрыл. Вот, боюсь, китайцы атакуют :)

И подскажите можно ли AVZ использовать как основной антивирус?

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...