Подготовка сбора логов для лечения

[Caonabo]

Своим вопросом я достаю модераторов, консультантов и всех кого только можно уже второй день. Тем не менее, я до сих пор не уверен, как мне действовать. Сейчас этот зараженный компьютер единственное с чего я могу выйти в сеть(не все вышли из палеолита, знаете ли), поэтому каждая секунда на счету. Сейчас будет много текста, а так как четко формулировать мысли у меня не получалось никогда, хочу заранее выразить благодарность, тому кто это осилит, и окажет любую помощь.

Итак, у меня завелся вирус, о нем известно, о нем много говорили, его смогли удалить(не WannaCry). Почему бы не сделать как сказали там? Я плохо разбираюсь в компьютерах, и сначала я хотел так сделать, но потом подумал что у меня могут быть какие-то свои особенности и решение приведенное там, может причинить компьютеру вред, поэтому решил обратиться на форум "Удаление вирусов". Но, не все так просто.

- антивирус на моем ПК регулярно блокирует процесс, который старается изменить какой-то пароль.

- чтобы написать на форум "Удаление вирусов", сначала нужно сделать скан ПК и логи, а обе программы требуют отключение антивируса на время работы.

- у меня не стоит патч закрывающий дыру в smb(или как там правильно), через него вирус скорее всего и пробрался.

- консультант посоветовал мне установить патч, перед лечением вируса, но вирус, после попадания на ПК, сам закрывает эту дыру, в таком случае патч станет нормально?

- с самим патчем тоже могут быть проблемы, я видел не мало сообщений в которых говорилось, что после установки патча то bsod вылетет, то просто какая-то ошибка всплывет, как выбрать или как поставить патч, чтобы не прострелить себе ногу?

Первое что мне пришло в голову - я дам ссылку на описание и решение проблемы консультантам, если решение приведенное там не может повлечь за собой какие-то беды в случае чего-нибудь, воспользоваться им и посмотреть что будет, может хотя бы перестанет появляться тот процесс который постоянно блокирует антивирус, и тогда я сделаю логи и все остальное, сказали - логи нужны в первую очередь.

Посоветуйте пожалуйста, в каком порядке действовать, как будет правильнее? И как себя обезопасить, как вернуться к прежнему состоянию, или что-то в этом роде, если что-то пойдет не по плану?

[ajina.n]

Порядок один - выполнить все требования консультантов. Без самодеятельности и инициатив, просто выполнить, предоставить логи и ждать дальнейших указаний.

[andrew75]

Панель управления - Система - Администрирование - Службы. Отключите службу "Сервер".

Это защитит от заражения вирусами, подобными WannaCry через уязвимость в Smb.

После этого скачайте и установите патч для вашей системы из шапки этой темы:

https://forum.kasperskyclub.ru/index.php?showtopic=55543

 

Дальше следуйте инструкциям консультантов.

[Sapfira]

 

 

в таком случае патч станет нормально?

На этот вопрос, нельзя конкретно ответить, нужно пробовать.

Перед установкой патча, создайте контрольную точку восстановления системы (если, конечно, вирус не нарушил её работу), чтобы в случае проблем после установки патча, можно было откатиться.

[Caonabo]

1. На VirusTotal всего 1 антивирус показывает что файл может быть опасен. Файл - установщик CCleaner, с оф.сайта, но оф.сайт перенаправляет на другой сайт, откуда уже и качается программа. Это ложная тревога или нет? Точнее, может ли быть так, что 1 антивирус из всех, прав? Если важно какой именно это антивирус, то это - ESET-NOD32.

2. В папке Windows\Temp может быть что-то важное, или ее можно полностью очищать?

Изменено 26 мая, 2017 пользователем Caonabo

[regist]

Скорее всего ложная тревого, но лучше ссылку на отчёт показали бы.

 

 

В папке Windows\Temp может быть что-то важное, или ее можно полностью очищать?

Можно очистить полностью.

[Caonabo]

https://www.virustotal.com/ru/file/8d7262f4107fc7b1c1bdfd406d3662474be51ebb71437a86d6065c22d05b6f39/analysis/

https://www.virustotal.com/ru/file/71b44cd3d14376bbb619b2fe8a632d29200385738dd186680e988ce32662b3d6/analysis/

 

Лучше почистить реестр до сканирования ПК KVRT или после? К примеру некоторые удаленные программы все еще присутствуют в автозагрузке, хоть и не отмечены флажком, это значит что остались какие-то записи в реестре, верно?

[regist]

@Caonabo, по первой ссылке не фолс, но и не вирус.Есет ругается из-за гугол тулбара который предлагается при установке, надо быть внимательным и снять галочку.

По второй фолс от байды. При чём этим детектом он даже на файлы касперского ругается. Тут подробней.

И оба файла имеют легальную цифровую подпись, так что можете не бояться.

 

 

Лучше почистить реестр до сканирования ПК KVRT или после?

я бы посоветовал после. В разделе лечения часто вижу, что антивирус удалил вирус, но при этом оставил ссылки на него в реестре (кстати, этим часто др. Веб грешит, но разумеется не только он). Так что имхо, лучше чистить после лечения.

[ЗЛОЙДЕД]

Рекомендую сделать резервную копию системы с помощью, например, Acronis True Image с загрузочного диска или флешки. После этого с системой можно проводить любые манипуляции, так как восстановить ее прежнее состояние не составит никакого труда.

[Caonabo]

Предположим что у меня на внешних накопителях вирусы, а компьютер чист. Как мне проверить/вылечить накопители не навредив компьютеру? Либо же мне просто их подсоединить, и проверить вместе с компьютером?

[regist]

@Caonabo, ,

1) Отключаете автозапуск с внешних устройств, к примеру таким скриптом AVZ

begin
  if MessageDLG('Отключить автозапуск на съемных накопителях?', mtConfirmation, mbYes+mbNo, 0) = 6 then
  RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
 end.

2) Подключаете к компьютеру и сканируете антивирусом.

PS. разумеется если после подключения вы вручную оттуда запустите вирус (вручную открыв файл), то отключение автозапуска не поможет.

Изменено 26 мая, 2017 пользователем regist

[ЗЛОЙДЕД]

Либо, чтобы со съемного носителя ничего не запустилось, подключайте его к компу зажав клавишу Shift.

[Caonabo]

Просканировал ПК KVRT - 14 объектов. Скриншот списка этих объектов перед лечением я не сделал, сделал 2 других, на втором хоть и криво но, вроде бы, вся нужная информация есть.

Отмечу, что 2 из них из папки AVZ, KMService всегда находится в диспетчере задач. И один находится там же где были трояны, но у него в описании - ПО управляющее паролями, или что-то в этом роде. Что делать?

 

P.S. На первом скрине трояны и их имена, может быть это нужно, не знаю. На втором скрине имена некоторых остальных объектов не видны, это: avz00001.dta + avz00002.dta, AutoCAD\autodesk_2010_64_bits.exe.

[andrew75]

В чем вопрос?

KVRT удалил все правильно.

Кейгены и активаторы он не тронул.

[regist]

 

 

avz00001.dta + avz00002.dta,

и т.д файлы с расширение .dta это карантин от AVZ - можете удалять.