Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0
это диск созданный демон тулс..

Что в последнее время эмулировал на него? В частности, при проверке AVZ какой образ был подключен? С него служба создалась со зловредами. Советую проверить образы на наличие вирусов.

~Qred~

Пожалуйста :)

Ссылка на комментарий
  • 0
но она не была подключена когда я скрипт делал!

Это зря.

4. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.

Вирусы снова могут с флэшек скопироваться...

Ссылка на комментарий
  • 0

Занятная, темка для особо одаренных, конечно наверно не кместу, но у меня есть пару джедайских трика на сею тему, кто учится в техноложке к этому должен быть приучен

a.

1. msconfig

"вариант запуска" -> "Диагностический запуск - чего то там"

2. После этого reboot и антивирусы в бой =)

3. Когда все твари погибли

msconfig

"вариант запуска" -> "Обычный запуск"

б. создайте и не удаляйте папку с именем "%имя диска%\autorun.inf" на всех флешках

Это не позволить подменять шелл, на флешке. Очень полезно для тех кто не испольует total или far.

в. Если не путаю есть еще ключ реестра который так не найду - запрещает выполнять всякую хню, с флешек

г. Для инетной заразы советую nod или касперского(как бы я его не навидел)

2D_Master - благое дело =)

Ссылка на комментарий
  • 0
Если не путаю есть еще ключ реестра который так не найду

Наверное этот ;)



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
Windows Registry Editor Version 5.00

Ссылка на комментарий
  • 0
Привет, посмотри пожалуйста логи

ftp://ftp.burnet.ru/incoming/users/D_Master/avz.rar

Выполни в AVZ (как выполнять скрипт AVZ - в шапке):


SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('RemoteRegistry', 4);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{0026439F-A980-4f18-8C95-4F1CBBF9C1D8}');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe','');
QuarantineFile('F:\Fxdrv.sys','');
QuarantineFile('C:\CA_LIC\lic98.dll','');
QuarantineFile('spxl.sys','');
QuarantineFile('spvn.sys','');
DeleteFile('spxl.sys');
DeleteFile('spvn.sys');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe');
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.
begin

Компьютер перезагрузится. После перезагрузки выполни ещё один:


CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
begin

Архив quarantine.avz из папки AVZ залей на фтп, ссылку сообщи мне.

Сделай новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ).

Для предотвращение запуска зловредов со сьемных устройств, рекомендую отключить автозапуск.

ALL! Не надо писать мне в ЛС просьбы посмотреть логи - эта тема создана специально для просьб о помощи!!!

Ссылка на комментарий
  • 0

D_Master

как его отменить?



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
Windows Registry Editor Version 5.00

Ссылка на комментарий
  • 0

xxx

После выполнения первого скрипта сьемные диски подключал к компьютеру? От первого лога второй практически ничем не отличается. Зловерды снова присутствуют.

4. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.

Выполнял?

Выполни скрипт в AVZ:


SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe','');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
begin

Карантин залей на фтп.

Не надо всё подряд копировать в мою папку на фтп!

ZyXEL12m94

Читай шапку темы - FAQ (как применить твик реестра).

Ссылка на комментарий
  • 0

D_Master

я спрашиваю отменить его как? Я его применил, теперь при установки игр комп ругаеться на невозможность редактирования реестра :help:

Ссылка на комментарий
  • 0
комп ругаеться на невозможность редактирования реестра
а че он тогда вдруг ругаться стал, как я скрипт выполнил?

Совпадение, не иначе.

Вот твик:



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=-
Windows Registry Editor Version 5.00

Ссылка на комментарий
  • 0

xxx

Пофикси в HiJackThis (как фиксить - в шапке):

R3 - URLSearchHook: (no name) -  - (no file)

O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - Unknown owner - C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe" -service (file missing)

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):


SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
TerminateProcessByName('c:\program files\bonjour\mdnsresponder.exe');
QuarantineFile('G:\Musik\Топ, Новинки С Разных Сайтов ver.3\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3','');
QuarantineFile('spdq.sys','');
QuarantineFile('F:\Fxdrv.sys','');
QuarantineFile('spfc.sys','');
QuarantineFile('C:\WINDOWS\system32\vksaver.dll','');
QuarantineFile('C:\CA_LIC\lic98.dll','');
QuarantineFile('c:\windows\system32\sseuph~1.scr','');
QuarantineFile('c:\windows\logwatnt.exe','');
QuarantineFile('c:\program files\hp\toolboxfx\bin\hptlbxfx.exe','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe','');
DelBHO('{0026439F-A980-4f18-8C95-4F1CBBF9C1D8}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelCLSID('92780B25-18CC-41C8-B9BE-3C9C571A8263');
DelCLSID('2670000A-7350-4f3c-8081-5663EE0C6C49');
DelCLSID('0026439F-A980-4f18-8C95-4F1CBBF9C1D8');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX1C642131');
DeleteFile('spdq.sys');
DeleteFile('spfc.sys');
DeleteFile('F:\Fxdrv.sys');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe');
BC_ImportDeletedList;
BC_Activate;
end.
begin

Компьютер перезагрузится. После перезагрузки выполни ещё один скрипт:


CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
begin

флешки все подключены)

В логах не вижу, возможно, флэшки чистые.

xxx

Я запамятовал, или ты действительно не сообщала симпотмы заболевания?

G:\Musik\Топ, Новинки С Разных Сайтов ver.3\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3/{RAR}/d_master1\миха.rar/{RAR}/my diplom3\programm3\Project1.exe

Знакомое файло :) У Хр качала? :)

Ссылка на комментарий
  • 0

mamont

Пофикси в HiJackThis (как фиксить - в шапке):

F2 - REG:system.ini: Shell=

O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):


SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
SetServiceStart('Schedule', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
DelBHO('{EF99BD32-C1FB-11D2-892F-0090271D4F88}');
QuarantineFile('D:\ТяньШи\много всего\Когда мы на наших семинарах доходим до этой точки.doc','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
end.
begin

Архив quarantine.zip из папки AVZ залей на фтп, ссылку напиши сюда.

PS Скрипт профилактический, зловредов не обнаружено.

Ссылка на комментарий

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...