Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0
что делать

забить, либо отключить окна уведомлений! как уже и говорилось это незначительная угроза и никакой опасности для домашнего компа не представляет.

з.ы. у меня также это окно по несколько раз в день, уже около года, выскакивает, но я даже внимания не обращаю.

Ссылка на комментарий
  • 0

забить, либо отключить окна уведомлений! как уже и говорилось это незначительная угроза и никакой опасности для домашнего компа не представляет.

з.ы. у меня также это окно по несколько раз в день, уже около года, выскакивает, но я даже внимания не обращаю.

Абсолютно верно поступаешь

я конечно понимаю, но всё же, убрать же можно,

Можно и несколькими способами, настроить модем роутером, отключить в KIS уведомление о сетевых атаках или заблокировать указаный порт

Настройка-Сетевой Экран-Настройка-Пакетные правила-Добавить

1434.jpg

вот что это за порт 1434

Порт как порт, по умолчании порт SQL Server

Ссылка на комментарий
  • 0

Симптомы

Случилось это вчера в первый раз. Сидел в интернете (браузер Opera 10.10) у меня было открыто где то 10 вкладок, курсором мышки нажал на одну вкладку что бы перейти на нее, но вкладка закрылась тоже самое произошло и со всеми открытыми вкладами когда пробовал на них перейти. Выбрал окошечко с яндексом, открыл, но вмести с яндексом открылась вторая вкладка, которая была пустая и так произошло с питью сайтами, выбранных наугад.

Вышел из оперы, хотел открыть оперу снова, но вместо открытия выделились все ярлыки на рабочем столе, подумал странно, все равно нажал на оперу с намерением открыть, но вместо открытия появилась окошечко "Повреждение проводника " с текстом открытия приложения займет не которое время вы хотите открыть 42 файла (не помню, весь текст того что было написано) нажал ок открылось много разных папок и документов не считал точное количество, но думаю что 42 файла, ярлыки игр тоже были выделены но они не открылись. Сначала решил что мышь глючит надо перезагрузить.

Пуск открылся бес проблем далее выключение далее перезагрузка, ждал минут пять, не дождался нажал кнопку перезагрузки на системном блоке, перезагрузил. Все также глючило, не куда войти не мог. Выключил ушел спать (Выключал через пуск выключилось нормально, а перезагружаться не захотел).

Сегодня утром включил все работает, ни что ни глючит проверил комп на вирусы антивирус вирусов не нашел.

Вопрос:Это вирусы? Или троян?(где то слышал что через проводник шпионские программы работают) Или глюк операционной системы?

Заметил что на диске C до глюков было свободно 79,1 после глюков 76,3.

Описание компа

Плата ASRock LGA775 P43ME P43/ICH10 2xDDR2-1200 PCI-E 8-ch 6xSATA 1xU133 GLAN mATX

Процессор Intel Core 2 Quad Q8300 2.50GHz 1333MHz 4Mb LGA775 OEM

Кулер Spire SP526S7(алюминий2000rpm 25,6dBa) Socket-775

Память DIMM DDR2 2048MB PC6400 800MHz samsung

Видеокарта PCI-E Sapphire ATI Radeon HD4870 1024MB 256bit DDR5 DVI S-Video

Жесткий диск SATA-II 640Gb Western Digital 7200rpm[WD6400AAKS] Cache 16MB

Блок питания CHIEFTEC MODEL:GPS-550AB A

Драйверы

Дисплей Главный: ati2dvad.dll версия 6.14.0010.6947(Английски)

Подпись Н/Д

Версия DDI: 9(или выше)

Звук 1 viahbuaa.sys

Версия: 6.00.0001.1540(Английски)

Звук 2 AtiHdmi.sys

Версия: 5.00.50000.0015(Английски)

ОС

Xp Professional версия 2002 Service Pack 3

Процессор на 64Bit

Винда на 32Bit

Надеюсь все понятно описал.

Заранее спасибо за ответы.

Антивирус нод 32 Антив.скачивал отсюда

Антив. базы скачиваю отсюда.

Надеюсь все понятно описал.

Заранее спасибо :D

P.S. Ни каких претензии к этим раздачам не имею просто даю информацию для более полной картины.

У меня в системе вирусы?
Ссылка на комментарий
  • 0

Dvorkin

Выполни скрипт AVZ (как выполнить скрипт в шапке)


SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\bair\appdata\roaming\microsoft\windows\start menu\programs\startup\winlogon.exe');
QuarantineFile('C:\Users\Bair\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe','');
QuarantineFile('C:\Windows\System32\ws03res.dll','');
QuarantineFile('C:\Windows\system32\DRIVERS\fcdabus.sys','');
QuarantineFile('c:\temp\Gz41rF91.sys','');
QuarantineFile('C:\Windows\System32\Drivers\aifn7nls.SYS','');
QuarantineFile('C:\Windows\System32\Drivers\adeh9pvz.SYS','');
QuarantineFile('c:\users\bair\appdata\roaming\microsoft\windows\start menu\programs\startup\winlogon.exe','');
QuarantineFile('?.exe','');
QuarantineFile('?','');
QuarantineFile('H:\winlogon.exe','');
QuarantineFile('H:\autorun.inf','');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\winlogon.exe');
DeleteFile('?');
DeleteFile('?.exe');
DeleteFile('c:\temp\Gz41rF91.sys');
DeleteFile('C:\Games\The Path\channels\FB75C7AB-9843-4F64-BD23-EB90B2466965.dll');
DeleteFile('C:\Games\The Path\channels\InstanceRefFromContainer.dll');
DeleteFile('c:\users\bair\appdata\roaming\microsoft\windows\start menu\programs\startup\winlogon.exe');
DeleteFile('C:\Users\Bair\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','System');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
begin

Выполнить скрипт в AVZ.:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

С делай заново логи AVZ ( стандартный скрипт AVZ)

Сделай еще лог Gmer

Загрузите GMER

Запустите программу, начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections

IAT/EAT

Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и выложи его.

Добавлено спустя 25 минут 15 секунд:

volant

Выполни скрипт AVZ (как выполнить скрипт в шапке)


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\acaptuser32.dll','');
QuarantineFile('C:\Windows\system32\Wat\WatUX.exe','');
QuarantineFile('C:\Windows\System32\drivers\dwprot.sys','');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk','');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk','');
QuarantineFile('C:\Users\Администратор\AppData\Local\Temp\Application\mFormat.exe','');
QuarantineFile('C:\Windows\system32\pwdspio.sys','');
QuarantineFile('C:\Windows\system32\pwdrvio.sys','');
QuarantineFile('C:\Windows\system32\Drivers\uzeyndk5.sys','');
QuarantineFile('C:\Windows\System32\Drivers\spyh.sys','');
QuarantineFile('C:\Windows\System32\Drivers\dump_iaStor.sys','');
QuarantineFile('C:\Windows\system32\FsUsbExDisk.SYS','');
DeleteFile('C:\Users\Администратор\AppData\Local\Temp\Application\mFormat.exe');
DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk');
DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk');
DeleteFile('C:\Windows\system32\acaptuser32.dll');
BC_ImportAll;
ExecuteSysClean;
ClearHostsFile;
ExecuteWizard('TSW',2,3,true);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.
begin

quarantine.zip из папки AVZ выложи на файлообменик

С делай заново логи AVZ ( стандартный скрипт AVZ)

Сделай еще лог Gmer

Загрузите GMER

Запустите программу, начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections

IAT/EAT

Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и выложи его.

Ссылка на комментарий
  • 0

volant

Выполни скрипт AVZ (как выполнить скрипт в шапке)


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\acaptuser32.dll','');
QuarantineFile('C:\Windows\System32\drivers\dwprot.sys','');
QuarantineFile('C:\Users\voland\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk','');
QuarantineFile('C:\Users\voland\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk','');
QuarantineFile('C:\Windows\System32\Drivers\spxc.sys','');
QuarantineFile('C:\Windows\system32\FsUsbExDisk.SYS','');
QuarantineFile('C:\Windows\System32\Drivers\dump_dumpfve.sys','');
QuarantineFile('C:\Windows\System32\Drivers\dump_iaStor.sys','');
QuarantineFile('C:\Users\voland\AppData\Local\Temp\awldypow.sys','');
QuarantineFile('c:\windows\system32\fsusbexservice.exe','');
QuarantineFile('c:\program files\p4g\batterylife.exe','');
DeleteFile('C:\Users\voland\AppData\Local\Temp\awldypow.sys');
DeleteFile('C:\Users\voland\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk');
DeleteFile('C:\Users\voland\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk');
DeleteFile('C:\Windows\system32\acaptuser32.dll');
DeleteFile('C:\Windows\System32\drivers\dwprot.sys');
ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
begin

Выполнить скрипт в AVZ.:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

С делай заново логи AVZ ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

volant

Пофиксите в HijackThis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 77.78.240.167:80
R3 - URLSearchHook: (no name) - - (no file)

Выполни скрипт AVZ (как выполнить скрипт в шапке)

begin
ExecuteRepair(13);
RebootWindows(true);
end.

С делай заново логи AVZ ( стандартный скрипт AVZ) и лог HijackThis:

Ссылка на комментарий
  • 0

Natasha

Выполни скрипт AVZ (как выполнить скрипт в шапке)


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\ICQ7.1\aolload.dll','');
QuarantineFile('C:\Program Files\ICQ7.1\aolload.exe','');
QuarantineFile('D:\AUTORUN.EXE','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Windows\System32\uxtuneup.dll','');
QuarantineFile('aolload.exe','');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\AUTORUN.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
begin

Выполнить скрипт в AVZ.:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

С делай заново логи AVZ ( стандартный скрипт AVZ)

И какой конкретно билд Kaspersky Internet Security 2010 установлен?

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...