Caonabo Опубликовано 22 мая, 2017 Опубликовано 22 мая, 2017 Своим вопросом я достаю модераторов, консультантов и всех кого только можно уже второй день. Тем не менее, я до сих пор не уверен, как мне действовать. Сейчас этот зараженный компьютер единственное с чего я могу выйти в сеть(не все вышли из палеолита, знаете ли), поэтому каждая секунда на счету. Сейчас будет много текста, а так как четко формулировать мысли у меня не получалось никогда, хочу заранее выразить благодарность, тому кто это осилит, и окажет любую помощь. Итак, у меня завелся вирус, о нем известно, о нем много говорили, его смогли удалить(не WannaCry). Почему бы не сделать как сказали там? Я плохо разбираюсь в компьютерах, и сначала я хотел так сделать, но потом подумал что у меня могут быть какие-то свои особенности и решение приведенное там, может причинить компьютеру вред, поэтому решил обратиться на форум "Удаление вирусов". Но, не все так просто. - антивирус на моем ПК регулярно блокирует процесс, который старается изменить какой-то пароль. - чтобы написать на форум "Удаление вирусов", сначала нужно сделать скан ПК и логи, а обе программы требуют отключение антивируса на время работы. - у меня не стоит патч закрывающий дыру в smb(или как там правильно), через него вирус скорее всего и пробрался. - консультант посоветовал мне установить патч, перед лечением вируса, но вирус, после попадания на ПК, сам закрывает эту дыру, в таком случае патч станет нормально? - с самим патчем тоже могут быть проблемы, я видел не мало сообщений в которых говорилось, что после установки патча то bsod вылетет, то просто какая-то ошибка всплывет, как выбрать или как поставить патч, чтобы не прострелить себе ногу? Первое что мне пришло в голову - я дам ссылку на описание и решение проблемы консультантам, если решение приведенное там не может повлечь за собой какие-то беды в случае чего-нибудь, воспользоваться им и посмотреть что будет, может хотя бы перестанет появляться тот процесс который постоянно блокирует антивирус, и тогда я сделаю логи и все остальное, сказали - логи нужны в первую очередь. Посоветуйте пожалуйста, в каком порядке действовать, как будет правильнее? И как себя обезопасить, как вернуться к прежнему состоянию, или что-то в этом роде, если что-то пойдет не по плану?
ajina.n Опубликовано 23 мая, 2017 Опубликовано 23 мая, 2017 Порядок один - выполнить все требования консультантов. Без самодеятельности и инициатив, просто выполнить, предоставить логи и ждать дальнейших указаний. 1
andrew75 Опубликовано 23 мая, 2017 Опубликовано 23 мая, 2017 Панель управления - Система - Администрирование - Службы. Отключите службу "Сервер". Это защитит от заражения вирусами, подобными WannaCry через уязвимость в Smb. После этого скачайте и установите патч для вашей системы из шапки этой темы: https://forum.kasperskyclub.ru/index.php?showtopic=55543 Дальше следуйте инструкциям консультантов. 1 1
Sapfira Опубликовано 23 мая, 2017 Опубликовано 23 мая, 2017 в таком случае патч станет нормально? На этот вопрос, нельзя конкретно ответить, нужно пробовать. Перед установкой патча, создайте контрольную точку восстановления системы (если, конечно, вирус не нарушил её работу), чтобы в случае проблем после установки патча, можно было откатиться. 1
Caonabo Опубликовано 26 мая, 2017 Автор Опубликовано 26 мая, 2017 (изменено) 1. На VirusTotal всего 1 антивирус показывает что файл может быть опасен. Файл - установщик CCleaner, с оф.сайта, но оф.сайт перенаправляет на другой сайт, откуда уже и качается программа. Это ложная тревога или нет? Точнее, может ли быть так, что 1 антивирус из всех, прав? Если важно какой именно это антивирус, то это - ESET-NOD32. 2. В папке Windows\Temp может быть что-то важное, или ее можно полностью очищать? Изменено 26 мая, 2017 пользователем Caonabo
regist Опубликовано 26 мая, 2017 Опубликовано 26 мая, 2017 Скорее всего ложная тревого, но лучше ссылку на отчёт показали бы. В папке Windows\Temp может быть что-то важное, или ее можно полностью очищать? Можно очистить полностью. 1
Caonabo Опубликовано 26 мая, 2017 Автор Опубликовано 26 мая, 2017 https://www.virustotal.com/ru/file/8d7262f4107fc7b1c1bdfd406d3662474be51ebb71437a86d6065c22d05b6f39/analysis/ https://www.virustotal.com/ru/file/71b44cd3d14376bbb619b2fe8a632d29200385738dd186680e988ce32662b3d6/analysis/ Лучше почистить реестр до сканирования ПК KVRT или после? К примеру некоторые удаленные программы все еще присутствуют в автозагрузке, хоть и не отмечены флажком, это значит что остались какие-то записи в реестре, верно?
regist Опубликовано 26 мая, 2017 Опубликовано 26 мая, 2017 @Caonabo, по первой ссылке не фолс, но и не вирус.Есет ругается из-за гугол тулбара который предлагается при установке, надо быть внимательным и снять галочку. По второй фолс от байды. При чём этим детектом он даже на файлы касперского ругается. Тут подробней. И оба файла имеют легальную цифровую подпись, так что можете не бояться. Лучше почистить реестр до сканирования ПК KVRT или после? я бы посоветовал после. В разделе лечения часто вижу, что антивирус удалил вирус, но при этом оставил ссылки на него в реестре (кстати, этим часто др. Веб грешит, но разумеется не только он). Так что имхо, лучше чистить после лечения. 1
ЗЛОЙДЕД Опубликовано 26 мая, 2017 Опубликовано 26 мая, 2017 Рекомендую сделать резервную копию системы с помощью, например, Acronis True Image с загрузочного диска или флешки. После этого с системой можно проводить любые манипуляции, так как восстановить ее прежнее состояние не составит никакого труда. 1
Caonabo Опубликовано 26 мая, 2017 Автор Опубликовано 26 мая, 2017 Предположим что у меня на внешних накопителях вирусы, а компьютер чист. Как мне проверить/вылечить накопители не навредив компьютеру? Либо же мне просто их подсоединить, и проверить вместе с компьютером?
regist Опубликовано 26 мая, 2017 Опубликовано 26 мая, 2017 (изменено) @Caonabo, , 1) Отключаете автозапуск с внешних устройств, к примеру таким скриптом AVZ begin if MessageDLG('Отключить автозапуск на съемных накопителях?', mtConfirmation, mbYes+mbNo, 0) = 6 then RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221'); end. 2) Подключаете к компьютеру и сканируете антивирусом. PS. разумеется если после подключения вы вручную оттуда запустите вирус (вручную открыв файл), то отключение автозапуска не поможет. Изменено 26 мая, 2017 пользователем regist 1
ЗЛОЙДЕД Опубликовано 26 мая, 2017 Опубликовано 26 мая, 2017 Либо, чтобы со съемного носителя ничего не запустилось, подключайте его к компу зажав клавишу Shift. 1
Caonabo Опубликовано 27 мая, 2017 Автор Опубликовано 27 мая, 2017 Просканировал ПК KVRT - 14 объектов. Скриншот списка этих объектов перед лечением я не сделал, сделал 2 других, на втором хоть и криво но, вроде бы, вся нужная информация есть. Отмечу, что 2 из них из папки AVZ, KMService всегда находится в диспетчере задач. И один находится там же где были трояны, но у него в описании - ПО управляющее паролями, или что-то в этом роде. Что делать? P.S. На первом скрине трояны и их имена, может быть это нужно, не знаю. На втором скрине имена некоторых остальных объектов не видны, это: avz00001.dta + avz00002.dta, AutoCAD\autodesk_2010_64_bits.exe.
andrew75 Опубликовано 27 мая, 2017 Опубликовано 27 мая, 2017 В чем вопрос? KVRT удалил все правильно. Кейгены и активаторы он не тронул. 1
regist Опубликовано 27 мая, 2017 Опубликовано 27 мая, 2017 avz00001.dta + avz00002.dta, и т.д файлы с расширение .dta это карантин от AVZ - можете удалять. 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти