Перечень программ, которые необходимы в лечении системы от вирусов.

1. Скачайте CureIT - это бесплатная антивирусная утилита, которая позволяет проверить компьютер на наличие в нем инфицированных файлов и вылечить их без установки антивируса Dr.Web.
2. Если у Вас, установлен Dr.Web (последняя версия программы с актуальными антивирусными базами) скачайте AVPTool.
3. Скачайте антивирусную утилиту AVZ . Даже, если у Вас есть AVZ, скачайте её заново, в утилиту постоянно добавляются новые опции поиска вредоносного ПО ~2 Мb.
   *Помимо обезвреживания вредоносного ПО утилита обладает широкими возможностями исследования системы: справка по работе с AVZ.
   
4. Скачайте последнюю версию HijackThis или по альтернативной ссылке.
   *Даже, если у Вас есть HijackThis, скачайте его заново, чтобы убедиться, что у Вас последняя версия. ~300kb.
   
5. Скачайте Random's System Information Tool (RSIT) или отсюда ~ 300kb.

В процессе выполнения потребуется перезагрузка

                           Диагностика

1. Отключите восстановление системы (Приложение 1).
2. Очистите временные файлы.
3. Запустите проверку* всех дисков с помощью антивирусной утилиты CureIT в безопасном режиме (Приложение 2). Перезагрузитесь в обычный режим.
   * имеется ввиду полная проверка всех дисков, после экспресс проверки по умолчанию, желательно записав перед этим саму утилиту на CD (или другой носитель, защищённый от записи) и запустить с него утилиту.
   
4. Распакуйте AVZ и HijackThis из архивов и поместите в новые отдельные папки.
   * Запустите AVZ и обновите базы ("Файл" => "Обновление баз"). Закройте AVZ.
   Перед выполнением пунктов (5, 6, 7). Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
   
5. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.*
   *После выполнения скрипта обязательно перезагрузите компьютер.
   
   
6. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
7. Запустите HijackThis, и примите лицензионное соглашение. 
   
   *Данное действие позволит RSIT найти HijackThis на локальном компьютере, а не пытаться закачать свежую версию из интернета
8. Закройте HijackThis и запустите RSIT. Выберите проверку файлов за последние три месяца и нажмите продолжить.
   *Подробнее как создать логи RSIT можно прочитать в этой теме. 
   
   После чего программа автоматически создаст два лога log.txt и info.txt. По умолчанию они сохраняются в одноименной папке (RSIT) в корне системного диска.
   

Приложение 1. Как отключить восстановление системы (Windows Me/XP).
Windows XP: кликаем правой кнопкой мыши на "Мой Компьютер" ("My Computer") и заходим в "Свойства" ("Properties"). Находим закладку "Восстановление Системы" ("System Restore") и ставим галочку напротив "Отключить восстановление системы на всех дисках" ("Turn off System Restore on all drives"). Hажать "Пpименить" ("Apply"). Появится сообщение, предупреждающее об удалении всех точек восстановления - нажимаем "ОК".

Windows ME: кликаем правой кнопкой мыши на "Мой Компьютер" ("My Computer") и заходим в "Свойства" ("Properties"). Находим закладку "Быстpодействие" ("Performance") и нажимаем на кнопку "Файловая система" ("File System"). Затем закладка "Дополнительно" ("Troubleshooting"), ставим галочку напpотив "Запpетить Восстановление Системных файлов" ("Disable System Restore") и нажимаем "ОК". Появится предложение- перезагрузить Windows - соглашаемся.

Более полная инструкция находиться здесь.

Приложение 2. Как включить безопасный режим.
При появлении меню загрузки Windows нажимаем на клавишу "F8", чтобы на экране появилось меню дополнительных режимов загрузки. Теперь передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи "Safe Mode", нажимаем "Enter".

                          Во время лечения

Приложение 3. Как выполнить скрипт в AVZ 
1. Открыть AVZ, нажать Файл => Выполнить скрипт.
2. В появившемся окошке программы вставить написанный для Вас скрипт
3. Нажать в AVZ кнопку- запустить.

Приложение 4. Как искать файлы при помощи AVZ.
1. Выберите "Файл" - "Добавление в карантин по списку".
2. В верхнем окне введите имя файла, который необходимо прислать.
3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
4. Закройте текущее окно "Добавление в карантин по списку"
5. Выберите из меню "Файл" - >"Просмотр карантина".
6. Справа в списке файлов отметьте те файлы, которые хотите выслать.
7. Нажмите на кнопку "Архивировать" и укажите место, на диске, где будет сохранён архив.

                   Возможные проблемы.

Бывают ситуации, когда невозможно провести анализ стандартными средствами.


Приложение 5. AVZ и/или HijackThis не запускаются.
Бывают ситуации, когда зловреды мешают запуску утилит диагностики (AVZ и HijackThis).
Для выхода из ситуации просто необходимо переименовать утилиты, во что-то нейтральное:
avz.exe, HijackThis.exe и Random's System Information Tool (RSIT) в

9090.bat
Tanchik.com
Trojan.cmd
Bdika.pif

Для тех, кто не знает: чтобы переименовать файл, нужно нажать на него правой кнопкой мышки и выбрать Переименовать (или Rename) затем напечатать новое название.
Для того, что бы этот метод сработал, необходимо удостовериться в одном, что снята галка "Скрывать расширения для зарегистрированных типов файлов".
В папке меню Сервис - Свойства папки, вкладка Вид снять флажок "Скрывать расширения для зарегистрированных типов файлов"; Нажать на ок.
Или просто переименовать в любом файловом менеджере.
Важно: не забудьте указать, что и во что переименовали в созданной вами теме.

Приложение 6. Если рекомендации в приложении 5. не помогли.
1. Да бывает и такое. Например, при заражении червем Bagle, то не обойтись без IceSword.
Скачать \скачать переименованный IceSword.

1. Создание логов:
Запустите программу.
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Оба лога запакуйте в один архив и прикрепите архив.

2. Копировать файл:
Запустите программу.
Появится аналог проводника. Найдите в нем файл руткита, путь к которому Вам написали.
Нажмите по нему правой кнопкой мыши и выберите Copy to.
Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу наберите произвольное имя файла, например malware.


3. Удалить файл:
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита, путь к которому Вам написали.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос подтверждения ответьте -"да".
Перезагрузите компьютер.


*** Обязательно нужно запускать данные программы с правами администратора. По умолчанию в Windows XP так и есть. В Windows Vista администратор понижен в правах по умолчанию, поэтому не забудьте нажать правой кнопкой на программу, выбратьRun As(Запустить от имени ), вставить имя и пароль администратора в появившемся окошке и нажать наOK

    Краткие правила оформления запроса

1. Cкачайте CureIt и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.
2. Скачайте AVZ, HijackThis и RSIT распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.
3. Запустите AVZ и обновите базы (Файл - Обновление баз)
4. Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
5. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта перезагрузите компьютер.
6. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
7. Запустите HijackThis, и примите лицензионное соглашение.
8. Закройте HijackThis и запустите RSIT, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Сохраните полученные отчеты.
9. Вложите в сообщение файлы логов (файлы из каталога AVZ\LOG и RSIT в корне системного диска ), всего должно быть 4 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt и info.txt
10.