Перечень программ, которые необходимы в лечении системы от вирусов.- Скачайте CureIT - это бесплатная антивирусная утилита, которая позволяет проверить компьютер на наличие в нем инфицированных файлов и вылечить их без установки антивируса Dr.Web.
- Если у Вас, установлен Dr.Web (последняя версия программы с актуальными антивирусными базами) скачайте AVPTool.
- Скачайте антивирусную утилиту AVZ . Даже, если у Вас есть AVZ, скачайте её заново, в утилиту постоянно добавляются новые опции поиска вредоносного ПО ~2 Мb.
*Помимо обезвреживания вредоносного ПО утилита обладает широкими возможностями исследования системы: справка по работе с AVZ.
- Скачайте последнюю версию HijackThis или по альтернативной ссылке.
*Даже, если у Вас есть HijackThis, скачайте его заново, чтобы убедиться, что у Вас последняя версия. ~300kb.
- Скачайте Random's System Information Tool (RSIT) или отсюда ~ 300kb.
В процессе выполнения потребуется перезагрузка Диагностика- Отключите восстановление системы (Приложение 1).
- Очистите временные файлы.
- Запустите проверку* всех дисков с помощью антивирусной утилиты CureIT в безопасном режиме (Приложение 2). Перезагрузитесь в обычный режим.
* имеется ввиду полная проверка всех дисков, после экспресс проверки по умолчанию, желательно записав перед этим саму утилиту на CD (или другой носитель, защищённый от записи) и запустить с него утилиту.
- Распакуйте AVZ и HijackThis из архивов и поместите в новые отдельные папки.
* Запустите AVZ и обновите базы ("Файл" => "Обновление баз"). Закройте AVZ. Перед выполнением пунктов (5, 6, 7). Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
- Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.*
*После выполнения скрипта обязательно перезагрузите компьютер.
- Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
- Запустите HijackThis, и примите лицензионное соглашение.
*Данное действие позволит RSIT найти HijackThis на локальном компьютере, а не пытаться закачать свежую версию из интернета - Закройте HijackThis и запустите RSIT. Выберите проверку файлов за последние три месяца и нажмите продолжить.
*Подробнее как создать логи RSIT можно прочитать в этой теме.
После чего программа автоматически создаст два лога log.txt и info.txt. По умолчанию они сохраняются в одноименной папке (RSIT) в корне системного диска.
Приложение 1. Как отключить восстановление системы (Windows Me/XP). Windows XP: кликаем правой кнопкой мыши на "Мой Компьютер" ("My Computer") и заходим в "Свойства" ("Properties"). Находим закладку "Восстановление Системы" ("System Restore") и ставим галочку напротив "Отключить восстановление системы на всех дисках" ("Turn off System Restore on all drives"). Hажать "Пpименить" ("Apply"). Появится сообщение, предупреждающее об удалении всех точек восстановления - нажимаем "ОК".
Windows ME: кликаем правой кнопкой мыши на "Мой Компьютер" ("My Computer") и заходим в "Свойства" ("Properties"). Находим закладку "Быстpодействие" ("Performance") и нажимаем на кнопку "Файловая система" ("File System"). Затем закладка "Дополнительно" ("Troubleshooting"), ставим галочку напpотив "Запpетить Восстановление Системных файлов" ("Disable System Restore") и нажимаем "ОК". Появится предложение- перезагрузить Windows - соглашаемся. Более полная инструкция находиться здесь. Приложение 2. Как включить безопасный режим. При появлении меню загрузки Windows нажимаем на клавишу "F8", чтобы на экране появилось меню дополнительных режимов загрузки. Теперь передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи "Safe Mode", нажимаем "Enter".
Во время леченияПриложение 3. Как выполнить скрипт в AVZ 1. Открыть AVZ, нажать Файл => Выполнить скрипт. 2. В появившемся окошке программы вставить написанный для Вас скрипт 3. Нажать в AVZ кнопку- запустить.
Приложение 4. Как искать файлы при помощи AVZ. 1. Выберите "Файл" - "Добавление в карантин по списку". 2. В верхнем окне введите имя файла, который необходимо прислать. 3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен" 4. Закройте текущее окно "Добавление в карантин по списку" 5. Выберите из меню "Файл" - >"Просмотр карантина". 6. Справа в списке файлов отметьте те файлы, которые хотите выслать. 7. Нажмите на кнопку "Архивировать" и укажите место, на диске, где будет сохранён архив. Возможные проблемы.
Бывают ситуации, когда невозможно провести анализ стандартными средствами.
Приложение 5. AVZ и/или HijackThis не запускаются. Бывают ситуации, когда зловреды мешают запуску утилит диагностики (AVZ и HijackThis). Для выхода из ситуации просто необходимо переименовать утилиты, во что-то нейтральное: avz.exe, HijackThis.exe и Random's System Information Tool (RSIT) в
9090.bat Tanchik.com Trojan.cmd Bdika.pif
Для тех, кто не знает: чтобы переименовать файл, нужно нажать на него правой кнопкой мышки и выбрать Переименовать (или Rename) затем напечатать новое название. Для того, что бы этот метод сработал, необходимо удостовериться в одном, что снята галка "Скрывать расширения для зарегистрированных типов файлов". В папке меню Сервис - Свойства папки, вкладка Вид снять флажок "Скрывать расширения для зарегистрированных типов файлов"; Нажать на ок. Или просто переименовать в любом файловом менеджере. Важно: не забудьте указать, что и во что переименовали в созданной вами теме.
Приложение 6. Если рекомендации в приложении 5. не помогли. 1. Да бывает и такое. Например, при заражении червем Bagle, то не обойтись без IceSword. Скачать \скачать переименованный IceSword.
1. Создание логов: Запустите программу. Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем. Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем. Оба лога запакуйте в один архив и прикрепите архив.
2. Копировать файл: Запустите программу. Появится аналог проводника. Найдите в нем файл руткита, путь к которому Вам написали. Нажмите по нему правой кнопкой мыши и выберите Copy to. Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу наберите произвольное имя файла, например malware.
3. Удалить файл: Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита, путь к которому Вам написали. Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос подтверждения ответьте -"да". Перезагрузите компьютер.
*** Обязательно нужно запускать данные программы с правами администратора. По умолчанию в Windows XP так и есть. В Windows Vista администратор понижен в правах по умолчанию, поэтому не забудьте нажать правой кнопкой на программу, выбратьRun As(Запустить от имени ), вставить имя и пароль администратора в появившемся окошке и нажать наOK
Краткие правила оформления запроса- Cкачайте CureIt и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.
- Скачайте AVZ, HijackThis и RSIT распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.
- Запустите AVZ и обновите базы (Файл - Обновление баз)
- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.
- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта перезагрузите компьютер.
- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".
- Запустите HijackThis, и примите лицензионное соглашение.
- Закройте HijackThis и запустите RSIT, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Сохраните полученные отчеты.
- Вложите в сообщение файлы логов (файлы из каталога AVZ\LOG и RSIT в корне системного диска ), всего должно быть 4 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt и info.txt
|