Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

Просканил AVZ Дало это:

Подозрительные объекты

C:\WINDOWS\system32\drivers\SandBox.sys Подозрение на RootKit Перехватчик KernelMode - Файл фаервола Agnitum

splj.sys Подозрение на RootKit Перехватчик KernelMode - ???

C:\WINDOWS\system32\drivers\afwcore.sys Подозрение на RootKit Перехватчик KernelMode - Файл фаервола Agnitum

C:\WINDOWS\system32\ctagent.dll Подозрение на KeyLogger Подозрение на Keylogger или троянскую DLL - dll-ka Creative

C:\WINDOWS\system32\ntshrui.dll Подозрение на KeyLogger Подозрение на Keylogger или троянскую DLL - Расширения оболочки, обеспечивающие доступ к ресурсам

C:\WINDOWS\system32\ieframe.dll Подозрение на KeyLogger Подозрение на Keylogger или троянскую DLL - Файл от IE7

Просканировано файлов: 71116, извлечено из архивов: 38361, найдено вредоносных программ 0, подозрений - 0

!!! Внимание !!! Восстановлено 48 функций KiST в ходе работы антируткита (А вот это насторожило)

Ссылка на комментарий
  • 0

Gh0sT

Мне это ничего не говорит, нужны полные логи.

Добавлено спустя 8 минут 54 секунды:

Brendon_Hit

Пофикси в HiJackThis:

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)

Выполни скрипт в AVZ:

begin
DeleteFile('spim.sys');
DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe');
DeleteFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe');
ExecuteSysClean;
RebootWindows(true);
end.

Всё равно с флэшек каких-то копируется. Форматни всё нафиг :)

Ссылка на комментарий
  • 0

Привет! Помогите, пожалуйста, какие-то вирусняки тире трояны постоянно во внешку лезут, нод их блокирует, но скан винтов ничего не дает абсолютно! Вот логи - ftp://ftp.burnet.ru/incoming/users/novice/

Ссылка на комментарий
  • 0

Brendon_Hit

AVZ:


DeleteFile('spig.sys');
DeleteFile('sphy.sys');
DeleteFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe');
DeleteFile('H:\autorun.inf');
ExecuteSysClean;
RebootWindows(true);
end.
begin

novice

Пофикси в HiJackThis (как фиксить - в шапке):

O4 - HKCU\..\Run: [Windows Service help] C:\RECYCLER\S-1-5-21-7485271765-2222652295-102555640-8964\winservices.exe

Выполни скрипт в AVZ (как выполнить скрипт - в шапке):


SetServiceStart('RemoteRegistry', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
TerminateProcessByName('c:\windows\system32\pnkbstra.exe');
TerminateProcessByName('c:\windows\system32\pnkbstrb.exe');
TerminateProcessByName('c:\program files\java\jre6\bin\jusched.exe');
TerminateProcessByName('c:\program files\java\jre6\bin\jqs.exe');
DeleteFile('splu.sys');
DeleteFile('spei.sys');
DeleteFile('C:\Documents and Settings\novice\Local Settings\Temp\Your_Mama_Naked.PIF');
DeleteFile('C:\RECYCLER\S-1-5-21-7485271765-2222652295-102555640-8964\winservices.exe');
ExecuteSysClean;
RebootWindows(true);
end.
begin

Ссылка на комментарий
  • 0

novice

Brendon_Hit

Пожалуйста :)

Интересную особенность заметил - у большей половины зараженных систем, которые тут лечились, в списках драйверов присутствует перехватчик какой-то, причем имя его задается рандомно - например, spei.sys, splu.sys, spig.sys, sphy.sys. Четыре символа в названии, первая - S, расширение - .sys. С чем это связано (массовое заражение) - непонятно. Файлы эти в карантин не попадают, возможности отправить в вирлаб не предоставляется. Буду ждать очередного пациента с такими же симптомами, чтобы руками найти и заполучить этот файл :)

Ссылка на комментарий
  • 0

K1LLeR666

Пофикси в HiJackThis (как фиксить - в шапке):

R3 - URLSearchHook: (no name) -  - (no file)

Выполни скрипт в AVZ (как выполнить - в шапке):


RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('Schedule', 4);
SetServiceStart('RemoteRegistry', 4);
DeleteFile('spfa.sys');
DeleteFile('c:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe');
DeleteFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe');
DeleteFile('C:\autorun.inf');
ExecuteSysClean;
RebootWindows(true);
end.
begin

Компьютер перезагрузится.

Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Почему так? Жалко трафика? ;) Советую обновить базы и снова провести сканирование всех дисков.

Файл sdsdsd.exe в лог не попал, поэтому, скорее всего, ошибка снова появится. Подключи все флэш-диски, обнови базы и повтори логи AVZ со сканированием всех дисков, в том числе и флэшек.

Зачем два антивируса на компьютере? Аваст имхо лучше удалить, Касперский 2009 и сам прекрасно справится со своими обязанностями :)

Ссылка на комментарий
  • 0

K1LLeR666

В шапке темы есть спойлер FAQ - там-то все и написано.

Выполни скрипт в AVZ:


RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
QuarantineFile('Internet.exe','');
QuarantineFile('Security.exe','');
DeleteFile('spze.sys');
DeleteFile('spge.sys');
DeleteFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe');
DeleteFile('c:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe');
DeleteFile('F:\RESTORE\c-1-3-64-8794238531-8742492-9897532\c-1-3-64-8794238531-8742492-9897532.exe');
DeleteFile('F:\RESTORE\RESTORE.exe');
DeleteFile('F:\RECYCLER\S-1-6-21-2434076501-1644491937-600003330-1213\S-1-6-21-2434076501-1644491937-600003330-1213.exe');
DeleteFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\S-1-5-21-1482476501-1644491937-682003330-1013.exe');
DeleteFile('F:\RECYCLER\RECYCLER.exe');
DeleteFile('F:\RECYCLE\D-0-060-0000000000-1111111-2222222\D-0-060-0000000000-1111111-2222222.exe');
DeleteFile('F:\RECYCLE\X-5-4-27-2345678318-4567890223-4234567884-2341\X-5-4-27-2345678318-4567890223-4234567884-2341.exe');
DeleteFile('F:\RECYCLE\RECYCLE.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe');
ExecuteSysClean;
RebootWindows(true);
end.
begin

Компьютер перезагрузится. После перезагрузки выполни ещё один скрипт:


CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
begin

В папке AVZ появится архив quarantine.zip. Залей его на фтп, ссылку напиши здесь.

Ссылка на комментарий
  • 0

K1LLeR666

Почему архив с карантином имеет расширение rar и не установлен пароль на распаковку? Сам файлы архивировал что ли?

Ссылка на комментарий
  • 0

K1LLeR666

А скрипт


CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
begin

выполнял?

Хотя, уже, в принципе, не важно, карантин подтвердился, зловреды должны были удалиться.

Ссылка на комментарий
  • 0
в браузере вылезла табличка "bill gates-kozel" :) nod32 не обнаружил нечего.. как убить этот вирус?

это не вирус, а обычный яваскриптовский window.alert("bill gates-kozel")

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...