Перечень программ, которые необходимы в лечении.
1. Скачайте CureIT - это бесплатная антивирусная утилита, которая позволяет проверить компьютер на наличие в нем инфицированных файлов и
вылечить их без установки антивируса Dr.Web.
2. AVPTool.
3. Скачайте антивирусную утилиту AVZ . Даже, если у Вас есть AVZ, скачайте её заново, в утилиту постоянно добавляются новые опции поиска
вредоносного ПО
*Помимо обезвреживания вредоносного ПО утилита обладает широкими возможностями исследования системы:
4. Скачайте последнюю версию HijackThis
*Даже, если у Вас есть HijackThis, скачайте его заново, чтобы убедиться, что у Вас последняя версия. ~300kb.
5. Скачайте Random's System Information Tool (RSIT)
Диагностика
1. Отключите восстановление системы (Приложение 1).
2. Очистите временные файлы.
3. Запустите проверку* всех дисков с помощью антивирусной утилиты CureIT в безопасном режиме (Приложение 2). Перезагрузитесь в обычный режим.
* имеется ввиду полная проверка всех дисков, после экспресс проверки по умолчанию, желательно записав перед этим саму утилиту на CD (или другой
носитель, защищённый от записи) и запустить с него утилиту.
4. Распакуйте AVZ и HijackThis из архивов и поместите в новые отдельные папки.
* Запустите AVZ и обновите базы ("Файл" => "Обновление баз"). Закройте AVZ.
Перед выполнением пунктов (5, 6, 7). Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте
запущенным только Internet Explorer.
5. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №3. Нажмите "Выполнить отмеченные
скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в
директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.*
*После выполнения скрипта обязательно перезагрузите компьютер.
6. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные
скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в
архиве virusinfo_syscheck.zip.
7. Запустите HijackThis, и примите лицензионное соглашение.
*Данное действие позволит RSIT найти HijackThis на локальном компьютере, а не пытаться закачать свежую версию из интернета
8. Закройте HijackThis и запустите RSIT. Выберите проверку файлов за последние три месяца и нажмите продолжить.
После чего программа автоматически создаст два лога log.txt и info.txt. По умолчанию они сохраняются в одноименной папке (RSIT) в корне системного
диска.
8. Создайте тему в ветке «Лечение систем от компьютерных вирусов» и присоедините полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip,
log.txt, info.txt
Приложение 1. Как отключить восстановление системы (Windows Me/XP).
Windows XP: кликаем правой кнопкой мыши на "Мой Компьютер" ("My Computer") и заходим в "Свойства" ("Properties"). Находим закладку
"Восстановление Системы" ("System Restore") и ставим галочку напротив "Отключить восстановление системы на всех дисках" ("Turn off System
Restore on all drives"). Hажать "Пpименить" ("Apply"). Появится сообщение, предупреждающее об удалении всех точек восстановления - нажимаем "ОК".
Windows ME: кликаем правой кнопкой мыши на "Мой Компьютер" ("My Computer") и заходим в "Свойства" ("Properties"). Находим закладку
"Быстpодействие" ("Performance") и нажимаем на кнопку "Файловая система" ("File System"). Затем закладка "Дополнительно" ("Troubleshooting"),
ставим галочку напpотив "Запpетить Восстановление Системных файлов" ("Disable System Restore") и нажимаем "ОК". Появится предложение-
перезагрузить Windows - соглашаемся.
Приложение 2. Как включить безопасный режим.
При появлении меню загрузки Windows нажимаем на клавишу "F8", чтобы на экране появилось меню дополнительных режимов загрузки. Теперь
передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи "Safe Mode", нажимаем "Enter".
Во время лечения
Приложение 3. Как выполнить скрипт в AVZ
1. Открыть AVZ, нажать Файл => Выполнить скрипт.
2. В появившемся окошке программы вставить написанный для Вас скрипт
3. Нажать в AVZ кнопку- запустить.
Приложение 4. Как искать файлы при помощи AVZ.
1. Выберите "Файл" - "Добавление в карантин по списку".
2. В верхнем окне введите имя файла, который необходимо прислать.
3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
4. Закройте текущее окно "Добавление в карантин по списку"
5. Выберите из меню "Файл" - >"Просмотр карантина".
6. Справа в списке файлов отметьте те файлы, которые хотите выслать.
7. Нажмите на кнопку "Архивировать" и укажите место, на диске, где будет сохранён архив.
Возможные проблемы.
Бывают ситуации, когда невозможно провести анализ стандартными средствами.
Приложение 5. AVZ и/или HijackThis не запускаются.
Бывают ситуации, когда зловреды мешают запуску утилит диагностики (AVZ и HijackThis).
Для выхода из ситуации просто необходимо переименовать утилиты, во что-то нейтральное:
avz.exe, HijackThis.exe и Random's System Information Tool (RSIT) в
9090.bat
Tanchik.com
Trojan.cmd
Bdika.pif
Для тех, кто не знает: чтобы переименовать файл, нужно нажать на него правой кнопкой мышки и выбрать Переименовать (или Rename) затем
напечатать новое название.
Для того, что бы этот метод сработал, необходимо удостовериться в одном, что снята галка "Скрывать расширения для зарегистрированных типов
файлов".
В папке меню Сервис - Свойства папки, вкладка Вид снять флажок "Скрывать расширения для зарегистрированных типов файлов"; Нажать на ок.
Или просто переименовать в любом файловом менеджере.
Важно: не забудьте указать, что и во что переименовали в созданной вами теме.
Приложение 6. Если рекомендации в приложении 5. не помогли.
1. Да бывает и такое. Например, при заражении червем Bagle, то не обойтись без IceSword.
1. Создание логов:
Запустите программу.
Зайдите слева в меню Process. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Зайдите в меню Kernel Module. Нажмите на кнопку Log, сохраните лог под каким хотите именем.
Оба лога запакуйте в один архив и прикрепите архив.
2. Копировать файл:
Запустите программу.
Появится аналог проводника. Найдите в нем файл руткита, путь к которому Вам написали.
Нажмите по нему правой кнопкой мыши и выберите Copy to.
Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу наберите произвольное имя файла, например malware.
3. Удалить файл:
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита, путь к которому Вам написали.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос подтверждения ответьте -"да".
Перезагрузите компьютер.
*** Обязательно нужно запускать данные программы с правами администратора. По умолчанию в Windows XP так и есть. В Windows Vista администратор
понижен в правах по умолчанию, поэтому не забудьте нажать правой кнопкой на программу, выбрать Run As (Запустить от имени ), вставить имя и
пароль администратора в появившемся окошке и нажать на OK
Краткие правила оформления запроса
1. Cкачайте CureIt и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.
2. Скачайте AVZ, HijackThis и RSIT распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.
3. Запустите AVZ и обновите базы (Файл - Обновление баз)
4. Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet
Explorer.
5. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные
скрипты". После выполнения скрипта перезагрузите компьютер.
6. Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные
скрипты".
7. Запустите HijackThis, и примите лицензионное соглашение.
8. Закройте HijackThis и запустите RSIT, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета
log.txt и info.txt. Сохраните полученные отчеты.
9. Вложите в сообщение файлы логов (файлы из каталога AVZ\LOG и RSIT в корне системного диска ), всего должно быть 4 файла: virusinfo_syscure.zip,
virusinfo_syscheck.zip, log.txt и info.txt
|
