[решено] проверка системы после удаления вирусов

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

проверка системы после удаления вирусов

на компьютере не было установленно антивирусное по.

касперским было обнаружено много вирусов.

seman, я начал анализировать Ваши логи.

1). отключите антивирус/фаервол, интернет;

2). Очистите и создайте новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, Вы могли вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

3). Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

4. сохранить реестр

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

 SearchRootkit(true, true);

 SetAVZGuardStatus(true);

 QuarantineFile('C:\WINDOWS\webhdll.dll','');

 QuarantineFile('D:\STEAM\csiw_support\csiw_service.exe','');

 QuarantineFile('C:\WINDOWS\system32\ssWolf.scr','');

 QuarantineFile('C:\WINDOWS\System32\logon.scr','');

 QuarantineFile('C:\Program Files\webHancer\Programs\whAgent.exe','');

 DeleteFile('C:\Program Files\webHancer\Programs\whAgent.exe');

 DeleteFile('C:\WINDOWS\webhdll.dll');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','webHancer Agent');

 BC_ImportALL;

 ExecuteSysClean;

 BC_Activate;

 ExecuteRepair(14);

 RebootWindows(true);

end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Отправьте карантин через форму.

Создать новую контрольную точку восстановления и очищаем заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли

для предотвращения заражения:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- отключить автозапуск. Для этого запустите AVZ, меню "Файл - Выполнить скрипт"-> Скопировать ниже написанный скрипт-> Нажать кнопку "Запустить"(Будет отключен автозапуск всех носителей кроме CD\DVD, т.к. после отключения автозапуска на CD\DVD могут возникнуть проблемы с эмуляторами дисков (Daemon Tools, Alcahol, и подобные):

Код:

 

 begin

RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);

 end.

регулярно проверять систему антивирусными утилитами CureIT и AVPTool.

Наблюдаються проблемы?

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Сделайте повторные логи AVZ.

Цитата:

Цитата AlexTNT

Наблюдаються проблемы? »

не работает интернет. после установки аваст не работают некоторые службы.
появляется сообщение, что что-то блокирует службы

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::





File::

C:\Temp\kgriapow.sys



Driver::

kgriapow

arrzzxs



Folder::





Registry::



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"4663:TCP"=-



FileLook::



DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и отправьте на quarantine<at>virusnet.info с указанием ссылки на тему в поле заголовка(теме) сообщения.. (at=@)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Fedin,
Malwarebytes' Anti-Malware ничего не нашел

серъезный гад попался.

интрнет по-прежнему не работает.

пинги идут да сайтов, а в браузерах сайты не открываются.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::



File::

C:\WINDOWS\Nastroyki.exe

C:\WINDOWS\system32\ssWolf.scr

C:\WINDOWS\System32\logon.scr

Driver::



Folder::



Registry::



FileLook::



DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Сделайте повторные логи.

AlexTNT,
проблема по-прежнему существует. инета нет.

причем удаляется чем-то avz.exe, причем папки остаются нетронутыми.

[list=1]Отключите интернет и локальную сеть если таковая имеется.[*]Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
• Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\Temp\kgriapow.sys','');

 QuarantineFile('C:\WINDOWS\System32\logon.scr','');

 QuarantineFile('C:\WINDOWS\system32\ssWolf.scr','');

DeleteFile('C:\WINDOWS\System32\logon.scr');

DeleteFile('C:\Temp\kgriapow.sys');

DeleteFile('C:\WINDOWS\system32\ssWolf.scr');

 RegKeyParamDel('HKEY_USERS','S-1-5-19\Control Panel\Desktop','scrnsave.exe');

 RegKeyParamDel('HKEY_CURRENT_USER','Control Panel\Desktop','scrnsave.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteWizard('TSW',2,3,true);

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Проверьте winlogon.exe на http://www.virustotal.com/index.html. И замените на аналогичный с чистой системы.

всем спасибо за помощь. проблема с инетом решена.

перерегистрировал dll-ки и сделал reset tcp/ip и все заработало!

скрипт выполнил.