F.A.Q. "Лечение систем от вредоносных программ"

[regist]

Что значит "пофиксить с помощью HijackThis"?

Как сделать лог с помощью антируткита Gmer?

Как лечить файловый вирус?

Как загружаться в безопасном режиме (Safe Mode) ?

Как сделать лог программой Malwarebytes Antimalware (MBAM) ?

Как выполнить скрипт в AVZ ?

Инструкции и утилиты для полного удаления остатков антивирусных продуктов.

Злобный троян-вымогатель «Windows заблокирован, пошлите смс на номер….»

Как отключить восстановление системы ?

Как правильно искать и присылать запрошенные файлы?

Установка и работа с Combofix

Как останавливать/выгружать защитное ПО

Что делать если вирус блокирует запуск AVZ ?

Kак сделать логи с помощью утилиты RSIT ?

Как сделать лог uVS ?

Как выполнить скрипт в uVS ?

Как сделать лог uVS на неактивной системе ?

Как сделать лог утилитой GetSystemInfo (GSI) ?

Как подготовить лог OTL by OldTimer ?

Как подготовить лог MiniToolBox

Вопросы по утилите AVZ.

[Alexey_VI]

Что значит "пофиксить с помощью HijackThis"?

В разделе лечения хелперы часто дают совет "пофиксить с помощью HijackThis" и приводят список строк.

Это значит, что нужно
1. Скачать программу HijackThis. и сохранить её на диске в специальной, но ни в коем случае не темп-папке. В противном случае Вы не сможете отменить ошибочно сделанные изменения .*)
2. Запустить файл hijackthis.exe**) В главном окне программы нужно нажать кнопочку "Do a system scan only"
3. В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked". Затем следует перегрузить компьютер.
----------------------------------------------------------------------------------
*) У HijackThis есть возможность отмены сделанных с помощью него изменений в системе. Запустите HijackThis, нажмите кнопку View the list of backups. Отметьте то, что хотите вернуть и нажмите кнопку Restore.

Источник virusinfo.info

Ниже на анимации для наглядности показан пример действий:

[Alexey_VI]

Как сделать лог с помощью антируткита Gmer?

Скачайте антируткитную программу Gmer.. Запустите программу (в Vista нужно запускать правой кнопкой от имени администратора*).
После автоматической экспресс-проверки, отметьте галочкой только системный раздел (обычно это диск C:\) и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например gmer.log и прикрепите лог к сообщению в Вашей теме.

Как выполнить команды в Gmer?

После запуска Gmer Вам необходимо нажать на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте команды для удаления руткита, которые указал Вам специалист и нажмите Run.

Внимание!!! Не удаляйте файлы и ключи реестра на свое усмотрение. Этим Вы можете нанести непоправимый вред Вашему компьютеру.

* Обязательно нужно запускать программу с правами администратора. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому не забудьте нажать правой кнопкой на программу, выбрать пункт Запустить от имени администратора (Run as administrator), ввести пароль администратора в появившемся окошке и нажать кнопку OK.

Источник virusinfo.info

[Alexey_VI]

Как лечить файловый вирус?

Перед выполнением лечения в любом случае необходимо:
- Отключить восстановление системы, как написано в правилах.
- Если компьютер подключен к локальной сети, то на время лечения отключить его.

Способ 1

В настоящее время эффективны две стратегии лечения файловых вирусов:

1) Скачайте на здоровом компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном.

Этот способ может не помочь, если антивирус DrWeb не знает модификацию вируса, заразившего Ваш компьютер. Если это так, отправьте несколько зараженных файлов в вирусную лабораторию Dr. Web. В течении суток CureIT! "научится" лечить вирус, правда утилиту придется скачать заново на "чистом" компьютере.

2) Второй способ предполагает наличие здорового компьютера с установленным антивирусом Касперского или Dr. Web. Именно эти антивирусы делают упор на сигнатурный детект, который необходим в лечении классических вирусов. Антивирусные базы должны быть самыми свежими. Достаньте жесткий диск "зараженного" компьютера и подключите к "здоровому". Запустите полную проверку антивирусом. По окончании проверки\лечения верните диск на место.

Данный способ также не гарантирует успеха, если антивирус не знает вирус. Кроме того его нельзя применять если один из компьютеров находится на гарантии или у Вас нет соответствующих навыков перестановки жесткого диска.

Способ 2

В ряде случаев активный вирус так прописывает себя в системе, что его удаление весьма затруднительно. В этих случаях целесообразно использование загрузки с LiveCD - специальных загрузочных дисков, содержащих антивирус. Таким образом заражённая система неактивна, а значит неактивна и инфекция, а потому удалить её становится значительно проще.

На данный момент наиболее популярны два LiveCD: от DrWeb и от Лаборатории Касперского.

Для того, чтобы воспользоваться этими дисками, Вам необходимо скачать по одной из приведённых выше ссылок файл с расширением .iso на заведомо незаражённом компьютере. Этот файл - образ диска, его можно записать на любой пустой CD-R или CD-RW носитель. Использовать для этого можно самые различные программы, однако учтите, что файл нужно записывать именно как образ, а не просто поместить его на диск. Как записывать iso-образы указано в документации к программе для записи дисков, которую Вы собираетесь использовать.

После этого полученный диск вставьте в заражённый компьютер, убедитесь, что в настройках BIOS указано, что с CD-ROM нужно грузиться раньше, чем с HDD, после чего перезагрузите систему. Произойдёт загрузка с LiveCD в результате которой Вы сможете провести лечение заражённой системы автоматически.

ВНИМАНИЕ: LiveCD содержит антивирусные базы, в которых хранится информация о вирусах. С помощью этих баз система на LiveCD может определять вирусы и эффективно их обезвреживать. Очевидно, что антивирусные базы должны быть как можно более новыми, в противном случае система может пропустить последние версии зловредов. Поэтому мы рекомендуем Вам скачивать образы LiveCD непосредственно перед применением.

Если нет CD/DVD дисковода...

Для нетбуков (или в случае неисправности CD/DVD привода) можно использовать Dr.Web LiveUSB — продукт, позволяющий провести лечение и аварийное восстановление операционной системы с помощью загрузочного USB-накопителя.

Все необходимые инструкции вы найдете в документации на сайте производителя.

Внимание! Не подключайте загрузочный USB-накопитель к компьютеру, когда на нем запущена ваша зараженная система!

Ни один из вышеперечисленных способов не гарантирует 100% восстановления поврежденных файлов и их работоспособности. Если поврежденные данные для Вас очень ценны, рекомендуем обратится в сервисный центр.

[Alexey_VI]

Как загружаться в безопасном режиме (Safe Mode)

При включении компьютера, как только исчезнет первоначальный экран (этот экран, как правило, отображает тактовую частоту процессора и объем оперативной памяти, а также позволяет загрузить Setup), начинайте с периодичностью где-то в полсекунды или чуть быстрее нажимать клавишу F8. Должно появиться соответствующее меню, где Вы выбираете Безопасный режим (или Safe Mode, если версия у Вас английская)нажав на Enter, когда данная опция выбрана.

Подробнее можно здесь почитать :
http://support.microsoft.com/kb/315222
************************************************** ****************************
Если вдруг не получается ( из-за ошибок системы/действия вируса) ,то выполните следующий скрипт в AVZ :

Код:

begin
   ExecuteRepair(10);
RebootWindows(true);
end.

компьютер перегрузится сам и тогда повторите попытку.

[Alexey_VI]

Как сделать лог программой Malwarebytes Antimalware?

Важное вступление
Мы не рекомендуем постоянное использование программы Malwarebytes Antimalware по причине слабого сигнатурного детекта и связанного с этим большого количества ложных срабатываний. Сразу же по окончании лечения мы рекомендуем программу удалить.

1. Скачайте установочный файл mbam-setup-[номер актуальной версии].exe , скачивающая ссылка находится на странице http://www.malwarebytes.org/mbam-download.php
2. Установите ее по стандартному пути с настройками по умолчанию.
3. Обновите базы, если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
4. Запустите полное сканирование. По вышеуказанной причине - ничего не удаляйте, не посоветовавшись с хелперами.
5. По окончании сканирования будет сгенерирован лог. Он будет сохранён в папке Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Для быстрого открытия папки скопируйте данную строку в поле Выполнить... (Пуск/Выполнить...).
Обращайте внимание на дату и время создания лога и загружайте всегда только ПОСЛЕДНИЙ ПО ВРЕМЕНИ лог.
6. Прикрепите его без переименования к Вашему следующему сообщению.

Источник virusinfo.info

[Alexey_VI]

Как выполнить скрипт в AVZ

1.Выбрать мышкой весь текст который в рамочке , нажать правой кнопкой мышкой и нажать на копировать .

Код:

код меняется в зависимости от ситуации :)

2.Открыть AVZ , Нажать на Файл -> Выполнить скрипт
-> в появившимся окошке программы нажать правой кнопкой мышки и выбрать Вставить .

3.Нажать в AVZ на кнопку Запустить

Подробное кино

Скрипты так же можно запускать в программах AVPTool, KAV/KIS начиная с 8 версии.

Источник virusinfo.info

[Alexey_VI]

Инструкции и утилиты для полного удаления остатков антивирусных продуктов.

Внимание! Для корректного удаления антивирусных продуктов в абсолютном большинстве случаев достаточна стандартная деинсталляция продукта (выгрузка приложения, Пуск => Панель управления (классический вид) => Установка и удаление программ). Однако бывают ситуации, когда штатное удаление продукта невозможно или оно не проходит по некоторым причинам полностью. В таком случае, используйте инструкции или утилиты для полной деинсталляции, представленные ниже.


Удаление средств защиты данных различных производителей:
Подробнее

Общие инструкции по полному удалению программ (на английском)

Инструкции по удалению продуктов Symantec

Инструкции по удалению продуктов Kaspersky

Инструкции по удалению продуктов Dr.Web

Удалите Dr.Web через апплет Панели управления. После удаления перезагрузите компьютер и переходите к следующему пункту. Если Dr.Web нет в списке установленных программ, удаление Dr.Web не запускается или появляется ошибка при удалении Dr.Web, переходите к следующему пункту.
Загрузите утилиту для удаления Dr.Web (или тестовая версия Dr.Web Remover для продуктов 8 версии и младше)
Запустите утилиту удаления, введите цифры с картинки и нажмите "Удалить".


полная подробная инструкция по удалению продуктов Dr.Web

Инструкции по удалению продуктов Agnitum

Инструкции по удалению продуктов ESET

Утилита для удаления продуктов McAfee

Инструкция по удалению Trend Micro (на английском)

Утилита для удаления ключей реестра, созданных Avira AntiVir

Инструкции по удалению продуктов Comodo

Утилита для удаления BitDefender

Утилита для удаления антивируса avast!

Инструкции по удалению продуктов F-Secure

Утилиты для удаления продуктов Panda:

Panda Version 2007 Uninstaller, Panda Version 2008 Uninstaller, Panda Version 2010Uninstaller (на английском)

Инструкции по удалению AVG8

Утилита для удаления Microsoft OneCare

Инструкции по удалению F-PROT Antivirus for Windows (версия 3)

Инструкции по удалению продукта PC Tools Antivirus (на английском)

Чтобы полностью удалить MBAM необходимо:

Windows XP:

Нажмите кнопку Пуск и выберите Панель управления

Откройте окно "Установка и удаление программ "

Удалите Malwarebytes 'Anti-Malware

Перезагрузите компьютер очень важно!

Скачайте и запустите mbam-clean.exe

Утилита выдаст запрос на перезагрузку.

Windows Vista и Windows 7:

Нажмите кнопку Пуск и выберите Панель управления

Нажмите на "Программы и компоненты"

Удалите Malwarebytes 'Anti-Malware

Перезагрузите компьютер очень важно!

Скачайте и запустите mbam-clean.exe

Утилита выдаст запрос на перезагрузку.[/URL]

AppRemover: удаление следов антивирусного ПО

AppRemover — это приложение, которое помогает решить проблемы, связанные с некорректной деинсталляцией антивирусов и других программ для обеспечения безопасности. Такие приложения делают много изменений на низком уровне, в результате чего при их некорректной деинсталляции могут возникнуть проблемы со стабильностью работы. Кроме этого, в некоторых случаях невозможно будет установить другое антивирусное ПО. AppRemover сканирует реестр и жесткий диск на предмет наличия файлов и записей, оставленных приложениями от AVG, Avira, F-Secure, Kaspersky, Lavasoft, McAfee, Microsoft, Panda, PC Tools, Symantec и другим антивирусным ПО, и дает возможность удалить их.

В последней версии внесены изменения в интерфейс и улучшена поддержка многих приложений.
Разработчик: OPSWAT
Распространяется: бесплатно
Операционная система: Windows All
Размер 8,4 Мбайт
Скачать можно отсюда.

Источник

перечень утилит удаления защитного ПО

http://singularlabs.com/uninstallers/security-software - англ.
http://uninst.ru/uninstall - русск.

[regist]

Злобный троян-вымогатель «Windows заблокирован, пошлите смс на номер….»

- Вирусописатели совершенствуют свои поделки, на данный момент многие функции заражённой ОС отключаются - такие как редактор реестра, диспетчер задач, безопасный режим, восстановление системы, антивирусные программы не работают, интернет также блокируется. Само окно вируса загораживает весь рабочий стол не давая запустить многие утилиты. При попытке запустить что то компьютер уходит в перезагрузку.
Если окошко с блокером появляется до логотипа windows

На чистой машине

1. Скачайте образ Alkid Live CD, запишите образ на болванку
2. Скачайте TDSSkiller, и запишите на флешку

На проблемной машине

1. Включите в BIOS загрузку с CD
2. Подключите флешку
3. Загрузитесь с созданного диска
4. Запустите TDSSkiller таким образом буква флешки:\tdsskiller.exe -qpath c:\log -qmbr
5. Запакуйте папку c:\log с паролем virus и прикрепите к сообщению.

, если появляется после логотипа то читаем дальше:

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ Kaspersky Rescue Disk (около 250 Мбайт)
2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать можно посмотреть по ссылке на скачивание образа). В противном случае записываете образ на болванку, например, с помощью Nero на минимальной скорости

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)
2. Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– нажмите 1, чтобы принять лицензионное соглашение
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления Рабочего стола
3. Запустите Kaspersky Registry Editor
4. Откроется редактор реестра
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько
– посмотрите в реестре:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр userinit
параметр shell
Значения этих параметров напишите в своем сообщении

Также с помощью этого диска сделайте экспорт веток реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run и HKEY_USERS\<Имя проблемной учетки>\Software\Microsoft\Windows\CurrentVersion\Run в отдельные файлы, заархивируйте и прикрепите к сообщению.


сервисы по разблокировке

http://support.kaspersky.ru/viruses/deblocker
http://www.drweb.com/unlocker/index/?lng=ru
http://virusinfo.info/deblocker/
http://esetnod32.ru/support/winlock.php
http://mips.narod.ru/sms.html
http://av.demozone.ru/
http://sms.kaspersky.ru/
Если знаете имя троянской программы (можно посмотреть по скриншотам).

Утилита AntiSMS от simplix
Утилита Kaspersky WindowsUnlocker для борьбы с программами-вымогателями
Утилита от Symantec

После отключения видимых следов банера, выполнить правила раздела для удаления следов банера.

[regist]

"Восстановление системных файлов" (System restore) (Windows Me/XP/Виста/Windows7)

Windows защищает папки восстановления системы от всех внешних пpогpамм. Когда виpусы попадают на компьютеp, Windows может также сохpанить их в папке восстановления системы. Антивиpусы и утилиты не могут удалить виpусы из этих папок.
Для лечения необходимо вpеменно отключить опцию восстановления системы.
После лечения можно включить ее обpатно.

Windows Me
Пуск > Hастpойки > Панель упpавления (Start > Programs > Accessories > Windows Explorer).
Двойной клик на иконке "Система" (System).(Если иконка "Система" не видна, щелкнуть мышью на "Показывать все опции Панели упpавления" (View all Control Panel options))
Hа вкладке "Быстpодействие" (Performance) нажать кнопку "Файловая система" (File System).
Hа вкладке "Дополнительно" (Troubleshooting) поставить птичку напpотив
"Запpетить восстановление системных файлов" (Disable System Restore).
Hажать ОК. Появится пpедложение пеpезагpузить Windows - также нажать ОК.

Windows XP
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

Windows Vista
- нажмите кнопку Пуск
- щелкните правой кнопкой мыши на пункте меню Компьютер
- в контекстном меню выберите пункт Свойства
- в левой части окна Система выберите пункт меню Защита системы
- в окне Свойства системы перейдите на закладку Защита системы
- в окне Автоматические точки восстановления снимите галку для системного диска, на котором установлена ОС Windows Vista
- нажмите кнопку Отключить восстановление системы для подтверждения отключения восстановления системы
- в окне Свойства системы нажмите кнопку ОК
- перезагрузите компьютер.

Windows 7
- нажмите кнопку Пуск
- щелкните правой кнопкой мыши на пункте меню Компьютер
- в контекстном меню выберите пункт Свойства
- в левой части окна Система выберите пункт меню Защита системы
- в окне Свойства системы перейдите на закладку Защита системы
- в блоке Параметры защиты нажмите на кнопку Настроить ...
- в окне Защита системы для... отметьте пункт Отключить систему защиты
- нажмите кнопку ОК
- в окне подтверждения Защита системы нажмите кнопку Да
- для завершения отключения возможности восстановления системы в окне Свойства системы нажмите кнопку ОК
- перезагрузите компьютер.


Более корректная очистка папок восстановления системы.

Квалифицированным пользователям, а также всем в случае когда на компьютере имеется ценная информация не рекомендуется сразу отключать восстановление системы. Предварительно стоит убедиться что директория восстановления системы заражена. Если в ней есть чистые копии, их следует использовать для восстановления чистых файлов.

Источник virusinfo.info

[regist]

1. Поиск всех запрашиваемых файлов нужно осуществлять из программы AVZ, а вовсе НЕ из проводника, файлового менеджера и т.п.
Нужно
- запустить программу AVZ
- зайти в меню "Сервис"
- выбрать пункт "Поиск файла на диске".



2. Если не находится файл по полному пути (типа "c:\windows\system32\file.exe"), попробуйте поискать файл только по имени (в нашем примере - "file.exe"). Такой поиск нужно производить на системном диске, т.е. на том, где установлена операционная система WINDOWS (как правило, его легко определить по наличию папки с именем WINDOWS или WINNT в корне диска ).

3. Если даже поиск по имени файла ничего не дает, то попробуйте поискать по маске с добавлением символа "*" перед символом "." (точка) (в нашем примере - "file*.exe"). Такой поиск нужно производить на системном диске в папке "Documents and Settings".

4. Все найденные файлы нужно добавлять в карантин программы AVZ. Для этого в списке найденных файлов отметьте их галочками и нажмите кнопку "Копировать отмеченные файлы в карантин".

5. Зайдите в меню "Файл", выберите пункт "Просмотр карантина", нажмите кнопку "Архивировать".

6. Полученный файл отправьте на адрес , указав в теле письма ссылку на тему, в которой просили прислать файлы.)

7. Если Вы копируете файлы не с помощью программы AVZ, то заархивируйте их с паролем virus и отправьте, как описано в пункте 6.
Дубли файлов высылать не нужно!

Источник virusinfo.info

[regist]

Как сделать лог с помощью утилиты ComboFix ?

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe*), когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению (или запакуйте C:\ComboFix.txt и прикрепите к сообщению).

Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в [email protected]

*)При запуске Combofix проверит наличие установленной консоли восстановления. Если у Вас установленная консоль восстановления отсутствует, Вы будете об этом проинформированы и Вам будет предложено, установить её перед дальнейшими действиями с Combofix. Дополнительную информaцию о консоли восстановления Вы можете получить на страницах портала Microsoft: http://support.microsoft.com/kb/314058/ru

Как выполнить скрипт в Combofix?

1. Внимательно и аккуратно скопируйте текст скрипта в блокнот.
2. Сохраните его как файл с любым именем, например CFScript.txt на рабочий стол.
3. Переместите файл CFScript.txt на иконку ComboFix

5. Дождитесь завершения работы утилиты.
4. После завершения работы будет создан новый отчет ComboFix.txt, прикрепите его к своему новому сообщению.

Как удалить программу Combofix?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall (см. картинку) , нажмите кнопку "ОК"



Скачайте OTCleanIt, запустите, нажмите Clean up

Как восстановить ошибочно удалённые Combofix файлы и реестровые записи?

Combofix является мощным инструментом в борьбе с вредоносным ПО.

К сожалению в отличие от других подобных приложений в программе не предусмотрена возможность вмешательства пользователя в её работу.

Это ведёт иногда к потере важных данных, ошибочно отнесённых программой к вредоносному ПО.

Внимание: Перед операциями восстановления обязательно посоветуйтесь с Вашим хелпером!!!

Если у Вас после работы Combofix наблюдаются проблемы с ОС или с тем или иным приложением, поступаем следующим образом:

- Открываем созданную Combofix папку [корневой каталог]:\Qoobox, в стандартном случае C:\Qoobox. В этой папке находятся подкаталоги:
--Quarantine
--BackEnv
и файлы

--Add-Remove Programs.txt - тут содержится список установленных программ, соответствует панели установки/удаления приложений.
--ComboFix-quarantined-files.txt - тут содержится список удалённых и закарантиненных в процессе работы Combofix файлов.
--SnapShot@[дата сканирования]_[рандомный номер].dat - список файлов системной папки %windir% (в стандартном случае C:\WINDOWS) и подкаталогов.

-Открываем папку ..\Qoobox\Quarantine. В этой папке находятся подкаталоги:
--Папка с именем корневого каталога (в стандартном случае ...C)
--Папка с сохранёнными ключами реестра Registry_backups
и файл
--catchme.log

-Открываем папку ..\Qoobox\Quarantine\C. В этой папке находятся те подкаталоги, из которых были удалены или закарантинены файлы. При этом сохранена оригинальная структура системного диска, так что теперь восстановить ошибочно удалённые файлы не составит труда.

Нужно просмотреть или, запустив поиск WINDOWS по имени файла, найти копию файла. Имя файла сохранено, но ему присвоено расширение *.vir (например goodfile.com.vir). Если Вы уверены, что этот файл не является вредоносным, переименуйте его, удалив последнее расширение *.vir (например goodfile.com.vir-->> goodfile.com) и переместите его на место.

Пример:

Цитата: Файл находился по адресу: Код: C:\Documents and Settings\User\Антивирусы\goodfile.com Combofix переместил его по адресу: Код: C:\Qoobox\Quarantine\C\Documents and Settings\User\Антивирусы\goodfile.com.vir Вы должны вернуть файлу его оригинальное имя и восстановить по оригинальному адресу.

Если Вы НЕ уверены, что этот файл не является вредоносным, пришлите его нам по правилам раздела Лечение систем от вредоносных программ (Приложение 2 и 3).

Восстановить ключ реестра из папки C:\Qoobox\Quarantine\Registry_backups можно, переименовав файл - например goodkey.reg.dat в goodkey.reg. После переименования запустите файл двойным щелчком, подтвердите внесение изменений в реестр.

Источник virusinfo.info

[regist]

Kaspersky Internet Security / Kaspersky Anti-virus

Клик правой кнопкой по иконке программы - Выход.

Norton Internet Security / Norton Anti-virus

Клик правой кнопкой по иконке программы - Выключить автоматическую защиту от вирусов.

Для отключения всех компонентов откройте окно программы и вручную отключите все элементы защиты (см. изображение №2).

Dr.Web Security Suite / Dr.Web Anti-virus

Щелкните иконку антивируса в области уведомлений, выберите "SpiderGuard" -> Отключить

Outpost Security Suite / Outpost Firewall

Кликаем правой клавишей по иконке программы, выбираем "Выход", жмем "ОК" в ответ на вопрос о выгрузке программных служб:



Программы выгружена.

Comodo Firewall

Кликаем правой клавишей по иконке программы, выбираем "Выход".

BitDefender Internet Security

Открываем окно программы и вручную отключаем элементы защиты, нажимаем "Apply" ("Применить").

Avira Antivir

Кликаем правой клавишей по иконке программы, далее "Antivir Guard Enable". Также отключение можно осуществить, открыв основное окно программы и кликнув "Отключить" напротив соответствующей опции. Зонтик на иконке в трее должен закрыться. Если это произошло, то вы приостановили антивирусную защиту.

Avast! Anti-virus

Кликаем правой клавишей по иконке программы, выбираем "Остановить сканер доступа". Ждем "Да" в ответ на сообщение антивируса:



Защита отключена.

AVG Anti-Virus / AVG Internet Security

Временное отключение AVG

P.S. Любые конструктивные дополнения/исправления по статье приветствуются.

если остались вопросы или не нашли свой антивирус, то можете задать вопрос в теме обсуждения своего антивируса в разделе Безопасность.

[regist]

Бывает, что вирус препятствует запуску AVZ, в таком случае пытаемся сначала переименовать

Нужно просто переименовать утилиту во что-то нейтральное с другим расширением.
Например:
777.pif
proverka.cmd
bdika.com
Для тех, кто не знает: чтобы переименовать файл, нужно нажать на него правой кнопкой мышки и выбрать Переименовать(или Rename)затем напечатать например: 777.pif
и нажать на Enter .Теперь должно запуститься.

Чтобы это сработало, нужно удостовериться в одной простой настройке вида папки.В папке меню Сервис - Свойства папки, вкладка Вид снять флажок "Скрывать расширения для зарегистрированных типов файлов"; Нажать на ок.
скрин

Важно: не забудьте указать что и во что переименовали в созданной вами теме.

-----------------------------------------------------------

если указанные метод не помогает, то скачайте полиморфный AVZ здесь.

-----------------------------------------------------------

Также попробуйте запустить AVZ с ключами запуска, для этого создайте ярлык для исполняемого файла AVZ (щелчок правой кнопкой мыши - "Создать ярлык").
Щёлкните правой кнопкой мыши по созданному ярлыку и выберети "Свойства".
Перейдите на вкладку "Ярлык" в поле справа от надписи объект после полного пути к программе через пробел напишите AM=Y (для включения базовой защиты от троянских программ . В результате вы получите строку примерно следующего вида (если у вас AVZ расподен по другому пути, то адрес будет отличаться)

Код:

C:\avz4\avz.exe AM=Y

в случае если предыдущий пункт не помог (только если он не помог), то включите ещё AVZGuard, для этого через пробел в конце припишите ещё AG=Y, в итоге получаем строчку

Код:

C:\avz4\avz.exe AM=Y AG=Y

Нажмите "Ok" чтобы подтвердить измения ярлыка и запустите AVZ двойным щелчком ярлыку.

Для того чтобы закрыть AVZ запущенный с использованием ключей для запуска нажмите Файл - Выход.
Если включали AVZGuard, то настоятельно рекомендуем перезагрузить компьютер.

-----------------------------------------------------------
P.S. предпочтительней использовать способ с переименнованнием файла, так как полиморфный AVZ обновляется реже.

[regist]

Скачайте Random's System Information Tool (RSIT).
Для 32-разрядной версии Windows:
скачать
Для 64-разрядной версии Windows:
скачать

Как определить разрядность системы

Отключите антивирус и фаерволл.

Запустите RSIT, выберите проверку файлов за последние три месяца и нажмите Далее.
На ОС Vista/Windows 7 необходимо запускать файл правой кнопкой от Запустить от имени администратора - Run as administrator (независимо от прав учётной записи). Для того чтобы сделать лог на серверной OS необходимо загрузиться в локальной сессии в учётной записи с правами администратора.

после этого появится окно (надписи по ходу сканирования будут меняться).

После завершения сканирования должны открыться два отчета log.txt и info.txt. Вы может сохранить их в любом месте.
Если вы их случайно закрыли, то по умолчанию они сохраняются в папке ..\rsit в корне системного диска (напр. C:\rsit\).
Прикрепите их к новому сообщению в Вашей теме.