Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

Каспер 9.0.0.736, попробую сделать)

Добавлено спустя 44 минуты 25 секунд:

VR

http://files.mail.ru/IKER99, сейчас логи попробую сделать

Добавлено спустя 12 минут 22 секунды:

"С делай заново логи AVZ (2й стандартный скрипт AVZ) " - запуталась я, подскажи, как именно?

Ссылка на комментарий
  • 0

Natasha

"С делай заново логи AVZ (2й стандартный скрипт AVZ) " - запуталась я, подскажи, как именно?

Вот так

avz.jpg


Dvorkin

Выполни скрипт AVZ (как выполнить скрипт в шапке)


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\DRIVERS\nwlnkflt.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\Moufiltr.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\ipinip.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\fvxscsi.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\fsRamDsk.sys','');
DeleteFile('C:\Users\Bair\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe');
QuarantineFile('C:\Windows\SYSTEM32\ltdrunsrv.dll','');
DeleteFile('C:\Windows\SYSTEM32\ltdrunsrv.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LtdSrv\Parameters','ServiceDll');
DeleteService('fcdabus');
QuarantineFile('C:\Windows\system32\DRIVERS\fcdabus.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\SaiMini.sys','');
QuarantineFile('C:\Windows\system32\drivers\SaiBus.sys','');
QuarantineFile('C:\Windows\System32\ws03res.dll','');
DeleteFile('C:\Windows\system32\DRIVERS\fcdabus.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.
begin

Выполнить скрипт в AVZ.:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

С делай заново логи AVZ (2й стандартный скрипт AVZ)

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на комментарий
  • 0

VR

http://files.mail.ru/V40PHK правильно?

Добавлено спустя 31 минуту 41 секунду:

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

Проверка отключена пользователем

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Вот это как изменить? как проверить клавиатуру, она тормозит больше всего, и анонимный пользователь с удалённым помощником - как их убрать?

Ссылка на комментарий
  • 0

Dvorkin

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.


KillAll::

File::
c:\windows\system32\mnjmq.exe

Driver::
LtdSrv
ytfj

Folder::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost>
"LtdSrv"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

554faea12baf.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на комментарий
  • 0

VR

спасибо за помощь, комп работает))) ещё хочу спросить, иногда с клавы не сразу все буквы набиаются, как бы подвисают, это что может быть (обычно на яндексе в поисковике)

Ссылка на комментарий
  • 0

Dvorkin

С делай заново логи AVZ ( стандартный скрипт AVZ)

Что с проблемами?


Natasha

ещё хочу спросить, иногда с клавы не сразу все буквы набиаются, как бы подвисают, это что может быть (обычно на яндексе в поисковике)

Punto switcher установлен? То есть зависает только в браузе? попробуй различные браузере какой будет результат


Гена_Наруто

Выполни скрипт AVZ (как выполнить скрипт в шапке)


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\rsvp.exe','');
QuarantineFile('C:\WINDOWS\system32\attrib.exe','');
QuarantineFile('C:\Documents and Settings\Зорлок\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\system32\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\Fonts\services.exe','');
QuarantineFile('C:\WINDOWS\system32\rundll32.exe','');
QuarantineFile('c:\windows\system32\rundll32.exe','');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
QuarantineFile('c:\documents and settings\Зорлок\wuaucldt.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe','');
QuarantineFile('C:\WINDOWS\TEMP\jrhk5r3.exe','');
QuarantineFile('C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE','');
QuarantineFile('c:\windows\system32\wscntfy.exe','');
QuarantineFile('c:\windows\temp\jrhk5r3.exe','');
TerminateProcessByName('c:\windows\temp\jrhk5r3.exe');
DeleteFile('c:\windows\temp\jrhk5r3.exe');
DeleteFile('C:\WINDOWS\TEMP\jrhk5r3.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','zyy2g');
DeleteFile('c:\documents and settings\Зорлок\wuaucldt.exe');
DeleteFile('c:\windows\system32\wuaucldt.exe');
DeleteFile('C:\WINDOWS\Fonts\services.exe');
DeleteFile('C:\WINDOWS\system32\wuaucldt.exe');
DeleteFile('C:\Documents and Settings\Зорлок\wuaucldt.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Выполнить скрипт в AVZ.:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

С делай заново логи AVZ (2й стандартный скрипт AVZ)

Скачайте ComboFix здесь, или здесь, и сохраните на рабочий стол.

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на комментарий
  • 0

xxx

Выполни скрипт AVZ (как выполнить скрипт в шапке)


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('kbd101a.dll','');
QuarantineFile('kbd101.dll','');
QuarantineFile('C:\WINDOWS\system32\АHTОMSYS19.exe','');
DeleteFile('C:\WINDOWS\system32\АHTОMSYS19.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteWizard('TSW', 1, 1, true);
BC_Activate;
RebootWindows(true);
end.

Выполнить скрипт в AVZ.:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

С делай заново логи AVZ ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

Dvorkin

Скопируй текст ниже в блокнот и сохрани как файл с названием CFScript.txt на рабочий стол.


KillAll::

File::

Driver::

Folder::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"LtdSrv"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

554faea12baf.gif

Когда сохранится новый отчет ComboFix.txt, выложи его тут

Ссылка на комментарий
  • 0

Выполни скрипт AVZ (как выполнить скрипт в шапке)


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\pnkbstrb.exe','');
QuarantineFile('c:\windows\system32\pnkbstra.exe','');
QuarantineFile('c:\progra~1\micros~4\rapimgr.exe','');
QuarantineFile('C:\Program Files\Tunngle\Tunngle.exe','');
QuarantineFile('C:\Program Files\Tunngle\libeay32.dll','');
QuarantineFile('c:\program files\tunngle\tnglctrl.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
RebootWindows(true);
end.
begin

Выполнить скрипт в AVZ.:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

С делай заново логи AVZ ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

http://zalil.ru/29650921

2 щас залью

Добавлено спустя 4 минуты 21 секунду:

http://zalil.ru/29650983

Добавлено спустя 1 минуту 48 секунд:

VR, 'c:\progra~1\micros~4\rapimgr.exe, C:\Program Files\Tunngle\Tunngle.exe,

насколько я знаю эти программы безвредны, я больше не смогу ими пользоваться ?

Ссылка на комментарий
  • 0

VR, 'c:\progra~1\micros~4\rapimgr.exe, C:\Program Files\Tunngle\Tunngle.exe,

насколько я знаю эти программы безвредны, я больше не смогу ими пользоваться ?

Сможешь, я их скриптом не удалял а карантиннил, так что они остались на месте.

Что с проблемой?

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...