Правила раздела! Читать перед запросом о помощи!

[ispolin]

Для успешного лечения Вашего компьютера специалистам раздела требуется комплект протоколов исследования системы. Чтобы корректно оформить запрос и получить помощь, выполните инструкции, приведенные в этой теме.

Чтобы корректно оформить запрос и получить помощь, внимательно прочтите и выполните инструкции, приведенные в этой теме.
Советуем сразу скачать оффлайн-версию правил pravila.rar, так как в процессе диагностики потребуется перезагрузка.

Пожалуйста, помните, что помощь Вам оказывается бесплатно, и на добровольной основе. Не требуйте помощи в категоричной форме. Если Вы не понимаете, что Вас просят сделать, то в этом случае Вам лучше обратиться к специалистам ближайшей компьютерной фирмы. Если Вы отказываетесь выполнять указания хелперов, или делаете все по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.

Внимание! Название Вашей темы должно соответствовать ее сути и кратко описывать проблему. Темы с нарочитыми грамматическими ошибками, а также темы с бессмысленными названиями в стиле "Помогите! Спасите!" будут обрабатываться в последнюю очередь.


Прежде всего

1. Если Ваш компьютер заблокирован, выполните инструкции, приведенные в этом посте
2. Если Ваши файлы зашифрованы, выложите несколько таких файлов на файлообменник и укажите ссылку на них в своей теме.
3.  Если у Вас есть антивирус, обновите его базы и произведите полную проверку компьютера.
   * Если у Вас антивирус Касперского - убедитесь, что делаете все точно так, как указано в инструкции
   Первым делом необходимо нажать на иконку касперского , появиться главное меню
   
   
   
   В данном окне выбрать Поиск вирусов
   
   
   
   затем выбрать Мой компьютер
   
   
   
   и нажать на слово настройка
   
   
   
   нажать на кнопку настройка, выбрать опции указанные на картинках:
   
   
   
   
   Нажать на "ОК" после сделанного выбора в последнем окошке, чтобы несколько раз не открывать те же настройки. Перейти в древовидном окне настройки в раздел Угрозы и исключения выбрать все опции как на картинке:
   
   
   
   нажать на Применить, потом ОК. Не забыть сделать обновление антивирусных баз.(условия:интернет должен быть подключён и настроено обновление баз ). Даже если вы делали, сделать ещё раз, максимум программа скажет, что не нужно.Теперь можно нажимать Поиск вирусов...Мой компьютер...Запустить проверку. Когда что-то найдёт, уже по обстоятельствам, в основном советует что нужно сделать. Помним золотое правило, что в основном троянов и шпионов удаляем, заражённые объекты вирусами -лечим.
   P.S. *** Если запуск антивируса происходит не под пользователем с правами администратора, то нужно:
   a) Поставить галочку в "Запуск задачи от имени"
   b) вставить имя и подходящий пароль.
   P.P.S. Картинки были выполнены с KIS7, но они почти ни чем не отличаются в данных настройках от своего меньшего брата KAV7 и последующих версий - KIS2008/2009 и KAV2008/2009
4. Скачайте одну из лечащих антивирусных утилит:AVPTool от "Лаборатория Касперского";
5. Dr.Web CureIt! от «Доктор Веб»;
6. Cделайте полную проверку компьютера в безопасном режиме. К найденному следует применять действие "Лечить", а неизлечимые перемещать или удалять. После этого обязательно перезагрузите компьютер (в обычный режим).

• Если на Вашем компьютере установлен Антивирус Касперского – используйте утилиту Dr.Web, и наоборот. Если у Вас другой антивирус, или его нет вообще, возьмите любую из двух утилит на Ваш выбор.
• Внимание! Перед использованием Dr.Web CureIt! убедитесь, что Вы используете ее только для лечения личного компьютера.
• Если загрузиться в безопасном режиме не удается - проверяйте в обычном, при этом обязательно отключите свой антивирус.

Если эти проверки не решили проблему, Вам необходимо сделать комплект протоколов исследования системы, по которым специалисты проекта смогут провести лечение Вашего компьютера.

Подготовка

Для исследования системы потребуется загрузить следующие инструменты:

1. Антивирусная утилита AVZ
   * Если у Вас уже имеется AVZ, убедитесь, что Вы используете последнюю версию программы.
   *Для тех кто не может запускать *.exe существует полиморфная версия утилиты AVZ
   Полиморфный AVZ Полиморфный AVZ (альтернатива)
2. Утилита HiJackThis
   * Если у Вас уже имеется HiJackThis, также убедитесь, что Вы используете последнюю версию программы.

После загрузки инструментов:
Распакуйте из архива Антивирусную утилиту AVZ и поместите в новую отдельную папку. Запустите AVZ и обновите базы ("Файл" => "Обновление баз"), после чего закройте AVZ.

Нажмите на картинку, чтобы увеличить ее:



Распакуйте из архива HiJackThis и поместите в новую отдельную папку.

 Диагностика.

Если у Вас 64-разрядная или серверная операционная система, выполнять п.1 данного раздела не следует. Переходите сразу к п.2.


1. Отключитесь от сети Интернет, выгрузите антивирусную программу и сетевой экран (если они у Вас есть); закройте игры, текстовые редакторы и любые другие программы, запустите только браузер (например, Internet Explorer).

Запустите AVZ*. Откройте в меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог будет сохранен в директории AVZ в папке LOG в архиве virusinfo_syscure.zip.

Нажмите на картинку, чтобы увеличить ее:



Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности, антивирусов и брандмауэров). После перезагрузки ПО продолжит корректную работу.

Внимание! Если в результате работы скрипта будут обнаружены подозрительные файлы, они будут сохранены в архиве virusinfo_cure.zip. Не путайте его с протоколом исследования системы virusinfo_syscure.zip и не прикрепляйте к сообщениям на форуме!

2. Подключитесь к сети Интернет, запустите браузер (например, Internet Explorer).

Запустите AVZ*. Откройте в меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог будет сохранен в директории AVZ в папке LOG в архиве virusinfo_syscheck.zip.

Нажмите на картинку, чтобы увеличить ее:


3. Запустите HijackThis*. В появившемся окне с пользовательским соглашением нажмите на кнопку "I Accept".



Если программа не запускается или прекращает работу после запуска, переименуйте файл программы HijackThis и в дальнейшем используйте его.

Нажмите на кнопку "Do a system scan and save a logfile". Сохраните лог. По умолчанию лог сохраняется в папке программы с именем hijackthis.log


Нажмите на картинку, чтобы увеличить ее:


* Обязательно нужно запускать данные программы с правами администратора. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому необходимо нажать правой кнопкой на программу, выбрать пункт "Запустить от имени администратора" (Run as administrator), ввести пароль администратора в появившемся окошке и нажать кнопку "OK".


4. Создайте новую тему в разделе Лечение систем от вредоносных программ с кратким описанием проблемы в заголовке и подробным описанием в сообщении; вложите в сообщение файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log)- всего должно быть 3 лога. Мы постараемся помочь Вам.

* Логи нужно прикрепить к теме вложениями (а не запостить в теме). Пожалуйста, не переименовывайте файлы, загружайте с именами по умолчанию.
* Не открывайте малоинформативные темы с заголовком "Помогите", "Спасите" и т.д.
* Не постите и не прикрепляйте никакие другие файлы или протоколы, кроме логов HijackThis и AVZ, если Вас об этом не просили.
* Если у Вас несколько инфицированных операционных систем или компьютеров, то Вам следует оформлять каждую систему отдельным запросом.
* Пожалуйста, не направляйте просьбы о помощи посредством личных сообщений или электронной почты, размещайте их только на форуме.

Важное замечание

Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей, а также не выполняйте советы от других участников форума полученные через систему личных сообщений. Рекомендаций хелпера вполне достаточно, чтобы устранить проблемы вашей системы. Однако если у Вас имеется важная\ценная информация по устранению выявленных проблем у автора темы, то пожалуйста сообщайте хелперу о своих знаниях через личное сообщение. Каждый случай уникален, Вы можете нанести вред Вашему компьютеру и нашей репутации. За последствия, наступившие в случае невыполнения данного пункта, форум Nowa.cc ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.

Приложение 1.  Поиск файлов при помощи AVZ.

1. Запустите AVZ, перейдите Файл-Добавление в карантин по списку

2. В верхнем окне введите список файлов которые Вас просили прислать.

3. Нажмите на кнопку Пуск и дождитесь появления в нижнем окне надписи Процесс добавления файлов завершен

4. Закройте текущее окно Добавление в карантин по списку.

5. Выполнить следующие действия

Приложение 2. Как прислать запрошенные файлы

1. Запустите AVZ, выберите из меню Файл-Просмотр карантина

2. Справа в списке файлов отметьте те файлы, которые нужно выслать.

3. Нажмите на кнопку Архивировать и укажите место на диске где будет сохранен архив. Настоятельно рекомендуется принимать название файла по умолчанию, т.е. virus.zip.

4. Отправьте полученный архив на указанный хелпером почтовый ящик (укажите в названии темы письма ваш ник на форуме, чтобы исключить путаницу с архивами и обработкой), ждите результатов проверки и дальнейших указаний.

Пофиксить с помощью HiJackThis

В разделе специалисты часто дают совет "пофиксить с помощью HijackThis" и приводят список строк.

Это значит, что нужно
1. Скачать программу HijackThis и сохранить её на диске в специальной, но ни в коем случае не темп-папке. В противном случае Вы не сможете отменить ошибочно сделанные изменения .*)
2. Запустить файл hijackthis.exe**) В главном окне программы нужно нажать кнопочку "Do a system scan only"
3. В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked". Затем следует перегрузить компьютер.
----------------------------------------------------------------------------------
*) У HijackThis есть возможность отмены сделанных с помощью него изменений в системе. Запустите HijackThis, нажмите кнопку View the list of backups. Отметьте то, что хотите вернуть и нажмите кнопку Restore.
**) В случае, если из-за активных зловредов запустить файл hijackthis.exe не удаётся, необходимо переименовать его в например test.com, причём расширение *.com является в этом случае обязательным (tnx @Markus Klaffke)

Это сообщение касается только записей , начинающихся с O23

Для того чтобы пофиксить строку начинающуюся с O23 надо:
1. Запустить HijackThis.
2. Нажать кнопку Open The Misc Tools section
3. Нажать кнопку Delete an NT Service
4. В открывшемся диалоге ввести название службы
aspi113210
5.Нажать кнопку OK
P.S. Перегрузиться не помешает
Пример строки:

Цитата: O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi24159.exe (file missing)

* aspi113210- Это только пример, в Вашем случае это будет совсем другой набор букв-цифр.


Ниже на анимации для наглядности показан пример действий:

Как выполнить скрипт в AVZ

Внимание:
перед выполнением скрипта необходимо закрыть все приложения и выгрузить всё из трея.

1.Выбрать мышкой весь текст который в рамочке , нажать правой кнопкой мышкой и нажать на копировать .

Код:

код меняется в зависимости от ситуации :)

2.Открыть AVZ , Нажать на Файл -> Выполнить скрипт
-> в появившимся окошке программы нажать правой кнопкой мышки и выбрать Вставить .

3.Нажать в AVZ на кнопку Запустить

Ниже на анимации для наглядности показан пример действий:

Copyright (с) VirusInfo, 2004-2009

Вопросы по утилите AVZ можно задавать здесь.