Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

попробуй тогда так


QuarantineFile('C:\Users\Администратор\AppData\lsass.exe','');
QuarantineFile('C:\Program Files\VKontakteDJ\VKontakteDJ.exe','');
QuarantineFile('C:\Windows\System32\drivers\dwshd.sys','');
QuarantineFile('c:\program files\myshoppinggenie\mnumsg.exe','');
TerminateProcessByName('c:\users\Администратор\appdata\lsass.exe');
QuarantineFile('c:\users\Администратор\appdata\lsass.exe','');
DeleteFile('c:\users\Администратор\appdata\lsass.exe');
DeleteFile('C:\Users\Администратор\AppData\lsass.exe');
BC_DeleteFile('C:\Users\Администратор\AppData\lsass.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
begin

Ссылка на комментарий
  • 0

кое-как сделал с помощью liveUsb

http://files.mail.ru/1VFTBN

Проделал скрипт через liveUsb, далее в ОC7 заработал regedit но там было все ок. Потом пофиксил через HijackThis строчки О1 а раньше они не отображались =) и все. контакт разблокировался УРА! =) Спасибо

Ссылка на комментарий
  • 0

Кто встречался с этим вирусом bcd8f464.exe?


Скрывает папки на всех носителях которые подключаются через USB, создаёт ярлыки с именами папок, создаётся скрытая папка RECYCLER внутри bcd8f464.exe и Desktop.ini

При открытии ярлыка открывается папка скрытая и корень флэшки.


Антивирусники (Nod32, Dr. Web CureIT и конечно Avast) ничего не нашли.

Да и AVZ вроде не находит.. Проверил уже несколько раз, проверил по логам файлы удалил их, но толку ноль.

Проверял через AVZ вручную автозагрузку и файлы подозрительные, другие находятся, а этот гад сидит.

Ссылка на комментарий
  • 0

Vol89

логи то хотя бы покажи, а так можно долго вести пустой разговор

Добавлено спустя 5 минут 25 секунд:

Хр

Выполни скрипт АВЗ

begin
ClearHostsFile;
ExecuteRepair(1);
RebootWindows(true);
end.

Что будет с проблемами после выполнения скрипта?

Ссылка на комментарий
  • 0

VR у меня все так-же осталось =(((

23_2442b2c188a39595a3d438267723bb08.jpg

paint так и не смог открыть, а фотошоп вообще какой-то тормозной стал. и постоянно ошибка выскакивает что нехватка памяти. (у меня 2-гб оперативки) раньше было 4 - все ок было. а ща планку 2гб отдал и теперь писать так стало =(

Ссылка на комментарий
  • 0

Хр

1. Загрузите программу Malwarebytes' Anti-Malware (MBAM) с одного из зеркал и сохраните ее на рабочем столе.

2. Скачиваемый файл может иметь различные имена, например, mbam-setup.exe, mbam-setup-<>.exe и т.д.

3. Закройте все программы и окна на Вашем компьютере, выгрузите из памяти все программы защиты (антивирус, файервол и т.д.), которые обычно загружаются при старте системы.

4. Вы должны устанавливать и запускать программу в учетной записи с правами администратора.

5. Запустите сохраненный на Рабочем столе файл и выполняйте инструкции программы установки. Установите программу с настройками по умолчанию.

6. После успешной установки будет проверен состояние баз программы. Возможно, Вы получите сообщение о необходимости их обновления. Пожалуйста, сделайте это обязательно!

7. Если обновление завершилось с ошибкой, скачайте этот_файл и запустите как обычную программу.

8. Запустите МВАМ. Для операционных систем Vista и Windows 7 Вы должны запустить программу "от имени Администратора"

9. После запуска программы Вы увидите ее главное окно с несколькими вкладками.

10. Пожалуйста, перейдите на вкладку Сканнер (Scanner).

11. Выберите пункт меню Полное сканирование (Full Scan).

12. Нажмите кнопку Сканирование (Scan).

В появившемся окне отметьте все локальные диски и все флеш-диски (карты памяти), подключенные к компьютеру.

direction_mbam.gif

Нажмите в этом окне кнопку Сканирование (Scan). Начнется проверка.

13. Пожалуйста, постарайтесь не выполнять никаких действий за компьютером во время этого процесса.

14. После завершения проверки Вы получите сообщение о результатах исследования, нажмите кнопку OK.

Протокол проверки (лог) будет открыт в редакторе, принятом в системе по умолчанию.

Если он не запустился, перейдите на вкладку Отчеты (Logs), найдите последний по времени отчет, отметьте его и нажмите кнопку Открыть (Open).

Сохраните лог под тем же именем на Рабочем столе.

После этого выложи этот лог тут.

Ссылка на комментарий
  • 0

Выполни скрипт AVZ(как выполнить скрипт в шапке)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('pvmjpg30.dll','');
QuarantineFile('progman.exe','');
QuarantineFile('C:\Windows\system32\Drivers\GEARAspiWDM.sys','');
QuarantineFile('C:\Program Files\AV\AVPlayer\AVPlayerUpdater.exe','');
QuarantineFile('c:\program files\loviotvet\loviotvetservice.exe','');
QuarantineFile('c:\program files\av\avplayer\avplayerupdater.exe','');
BC_ImportAll;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполни еще один скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

После чего сделать новые логи AVZ ( стандартный скрипт AVZ)

Что сейчас проблемамой?

Ссылка на комментарий
  • 0

quarantine.zip


Включил сегодня комп, зашёл на внешний диск, все папки норм, воткнул флэху тоже всё норм.


QuarantineFile('pvmjpg30.dll','');
QuarantineFile('progman.exe','');
QuarantineFile('C:\Windows\system32\Drivers\GEARAspiWDM.sys','');
QuarantineFile('C:\Program Files\AV\AVPlayer\AVPlayerUpdater.exe','');
QuarantineFile('c:\program files\loviotvet\loviotvetservice.exe','');
QuarantineFile('c:\program files\av\avplayer\avplayerupdater.exe','');

GEARAspiWDM.sys - файла не было до выполнения скрипта

AVPlayerUpdater.exe и avplayerupdater.exe - это приложение от Aver Media

loviotvetservice.exe - стороннее ПО - уже удалил (просто так висит).

Ссылка на комментарий
  • 0

VR

http://files.mail.ru/KFMQB8

Вроде все правильно сделал. он мне сейчас предлагает удалить якобы зараженные объекты. что делать. удалять?_? У меня там кряки есть, что сними делать... жалко их терять?

Ссылка на комментарий
  • 0

Vol89

в логах чисто

Хр

он мне сейчас предлагает удалить якобы зараженные объекты. что делать. удалять?_? У меня там кряки есть, что сними делать... жалко их терять?

кряки можно оставить остальное удалить

Добавлено спустя 4 минуты 47 секунд:

Gaijin


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('K:\shaila/spermici.exe','');
QuarantineFile('K:\autorun.inf','');
QuarantineFile('H:\Share EX2\Share.exe','');
QuarantineFile('H:\Perfect Dark\perfect dark.exe','');
DeleteFile('K:\autorun.inf');
DeleteFile('K:\shaila/spermici.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
begin

после перезагрузки выполни еще один скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

После чего сделать новые логи AVZ ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

Gaijin

Share EX2 Сам ставили? Она тебе нужна?

Выполни скрипт AVZ

begin
QuarantineFile('E:\[Install]\[Software]\[Video]\CoreAVC Pro 2.5.5\Keygen.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

После выложи новый quarantine.zip из папки AVZ выложи на файлообменик

Ссылка на комментарий
  • 0

Проблемка появилась.

Вопрос почти теоретический.

Теоретический, потому, что на компе нет CD-привода и нет возможности загрузки с USB из БИОС, старенький он.

На компе стоит Каспер, для рабочих станций 6.0, в связке с Administration Kit

Вирус изменил ассоциацию .exe файлов на Винде.

Все екзешники открываются через стандартный просмотр фоток.

avz не запускается. Менял у avz расширение .exe на .pif, процесс появляется и сразу гасится.

Погуглил, нашел .reg файлы для восстановления ассоциаций, не помогло.

Нашел совет - в командной строке выполнить:

assoc .exe=exefile

Дык и сmd не запускается!))

Что ещё можно сделать не подключая лайф сиди, средствами самой Винды?)

Да, ещё момент.

Закрыт доступ к удаленному рабочему столу через Administration Kit.

Комп в сетке.

Ссылка на комментарий
  • 0

dibar

Попробовать все таки запустить AVZ для таких случаев есть специальная полиморфная сборка авз ссылка , есть возможность загрузить с сайта каспера Kaspersky Virus Removal Tool 2010 в который встроен движок AVZ и есть возможность выполнять скрипты. Сталкивался что вирусня блокировала и полимофный AVZ тогда действовал так запускал ComboFix (или gmer) по его логом выносил основную зараза и после чего защищаем хвосты AVZ

Добавлено спустя 43 секунды:

Комп в сетке.

так а этот комп в домене?

Ссылка на комментарий
  • 0

VR, спасибо, завтра попробую, отпишусь.

Просто стало интересно, как мона без резких движений эту фигню победить)

Нет, домена нет, просто рабочая группа

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...