ЧаВо по разделу + полезные ссылки, советы

[AZЪ]

Получение отчета утилиты GetSystemInfo

 

Выполнение исследования утилитой GetSystemInfo.
Скачайте утилиту GetSystemInfo (~450 КБ). Даже если данная утилита уже есть у вас, всё равно загрузите её заново по указанной выше ссылке, чтобы вы точно использовали последнюю версию утилиты. Запустите файл GetSystemInfo.exe из-под учётной записи администратора или с правами администратора. Появится окно лицензионного соглашения, после прочтения которого необходимо с ним согласиться, нажав на кнопку I Agree (см. первый скриншот ниже). Далее в появившемся окне утилиты GetSystemInfo нажмите на кнопку "Create Report" (см. второй скриншот ниже). Дождитесь, пока программа соберёт необходимую информацию о вашем компьютере. Об окончании операции сбора информации вас оповестит специальный диалог программы (см. третий скриншот ниже). В этом окне будет написано имя файла с протоколом (на скриншоте выделено красным скруглённым прямоугольником), приблизительно запомните его. После этого нажмите на кнопку "ОК" и утилита GetSystemInfo закроется.
Перейдите на веб-страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор...", укажите путь к файлу с протоколом (в нашем случае это GetSystemInfo_MISTR_MiStr_2009_02_28_18_48_00.zip) и нажмите Открыть => Отправить. Дождитесь уведомления об успешной загрузке файла (на экране должна появиться надпись "GetSystemInfo_MISTR_MiStr_2009_02_28_18_48_00.zip успешно загружен"), подождите, пока страница с результатами автоанализа вашего отчёта загрузится. Далее скопируйте ссылку на протокол с адресной строки браузера и разместите её в вашей теме на форуме. Помимо ссылки также обязательно прикрепите к сообщению файл с протоколом (в нашем случае это GetSystemInfo_MISTR_MiStr_2009_02_28_18_48_00.zip).



Источник: Пункт 5

[Falcon]

Q - Куда я могу отправить подозрительные файлы для проверки?

Запакуйте подозрительный объект в архив и отправьте его по электронной почте на адрес newvirus@kaspersky.com в Вирусную Лабораторию ЛК, установите пароль на архив virus(пароль укажите в письме). Как это сделать:

- Клик правой кнопкой мыши на нужном файле ->добавить в архив WinRAR.

- Затем: Дополнительно->Установить пароль. Не забудьте поставить галочку "Отображать при вводе", чтобы не ошибиться с вводом пароля:

- Нажимаем ОК.

 

============================================================

Q - Существует ли сервис для проверки файлов сразу несколькими антивирусами?

Да, вы можете бесплатно проверить файлы на Virustotal.com и Virscan.net.

 

=====================

Q - Где я могу скачать AVPtool?

Бесплатную утилиту от ЛК можно скачать тут.

 

=============================================

Q - Консультант попросил "повторить логи". Что это значит?

Это значит, что вам необходимо сделать следующее:

- Запустить AVZ -> Меню -> Файл -> Обновление баз -> Пуск.

- Заново выполняем рекомендации, описанные в правилах оформления запроса.

- Свежий лог HijackThis также требуется предоставить.

 

================================================

Q - AVZ не запускается, не могу сделать нужные логи, помогите!

Зачастую зловреды блокируют запуск программ диагностики, чтобы хоть как-то продлить свое жалкое существование на вашем компьютере. Для запуска просто переименовать AVZ во что-то безобидное (12345.pif, prog.cmd, gggg.com) либо воспользоваться уже готовой к использованию версией. Зеркала:

DepositFiles.com - Rapidshare.com - Rapidshara.ru - Easy-share.com

 

=======================================================

Q - Консультант попросил повторить логи при включенном AVZPM, что это значит?

Это не что иное как AVZ Process Manager. Включается он следующим способом:

AVZ - Menu - AVZPM.

Выбрать опцию установить драйвер расширенного мониторинга процессов.

Если появиться диалоговое окно, то ответить утвердительно. Затем перезагрузить компьютер.

 

Удаление AVZPM (рекомендуется делать при смене версии AVZ):

Вариант I - AVZ - Menu - AVZPM, Выбрать опцию "удалить и выгрузить драйвер расширенного мониторинга процессов". Если появиться диалоговое окно, то ответить утвердительно. Затем перезагрузить компьютер.

 

Вариант II - выполнить следующий скрипт в AVZ:

begin
// Отключение AVZ PM 
SetAVZPMStatus(false);
// Удаление всех драйверов AVZ с диска и из реестра 
ExecuteStdScr(6);
// Перезагрузка
RebootWindows(true); 
end.

 

==========================================================

Q - Меня просят прислать скриншот, но я не знаю что это такое. Как мне быть?

Ответ вы наверняка найдете в теме Как сделать скриншот?

 

===========================================

Q - Подскажите, как отключить восстановление системы?

Пуск -> Пpогpаммы -> Стандаpтные -> Пpоводник Windows. (Start -> Programs -> Accessories -> Windows Explorer)

Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).

Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives):

 

Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

 

==============================================================================

Q - Не определяются исполняемые файлы EXE, значок сменился и сделался как у файлов неизвестного формата!

У вас слетели файловые ассоциации. Решение проблемы вы найдете здесь: Восстановление файловых ассоциаций.

 

=====================================================

Q - Где я могу прочесть о том, как защитить свои данные в Интернете?

В этом вам поможет книга Николая Головко "Безопасный Интернет. Универсальная защита для Windows ME - Vista", скачать ее вы можете по адресу http://security-advisory.ru/.

 

=================================================================

Q - У меня поселился какой-то Kido, который никак не хочет удаляться, что мне делать?

Воспользуйтесь утилитой для удаления Net-Worm.Win32.Kido и оформите запрос согласно правилам.

Изменено 27 января, 2010 пользователем ТроПа

[Falcon]

Работа с антируткитами RootRepeal, Gmer, IceSword, Vba32 AntiRootkit.

 

Как сделать лог при помощи антируткита RootRepeal.
1) Скачайте RootRepeal. Запустите программу.
2) Идем на вкладку "Report", жмем Scan. Поставьте все галки в появившемся окне:


На вновь появившемся окне выберите только диск С:


После окончания исследования системы нажмите на кнопку Save Report и сохраните лог у себя на диске. Затем прикрепите лог к сообщению.

=========================================================================

Как сделать лог при помощи Gmer.
1) Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

=========================================================================

Как удалить/скопировать файл с помощью IceSword.
Скачать саму программу можно здесь: IceSword 1.22, IceSword для Vista.

Для удаления файла требуется:
- Запустить программу.
- Внизу слева выбрать меню File.
Появится аналог проводника. Найти в нем файл руткита, путь к которому Вам написал специалист.
- Кликнуть на нем правой кнопкой мыши и выбрать force delete.
- На запрос потверждения ответить "да".
- Перезагрузить компьютер.

Для того, чтобы скопировать:
- Повторить пункты 1 и 2.
- Кликнуть на нем правой кнопкой мыши и выбрать Copy to.
- Выбрать папку, куда Вы хотите скопировать файл и перед сохранением внизу набрать произвольное имя файла, например virus.
Скопированный файл послать по адресу, который укажет консультант в процессе лечения.

=========================================================================

Как сделать лог при помощи Vba32 AntiRootkit.
1) Скачайте Vba32 AntiRootkit отсюда или отсюда. Распакуйте и запустите программу (файл Vba32arkit.exe);
2) Уберите галочку с Use AntiVirus Kernel:



3) Далее File -> Logging State и нажмите Start;



Сохраните лог (файл Vba32arkitLog) и прикрепите его к сообщению.

Спасибо порталу VirusInfo за предоставленную информацию.

[AlexNEW]

Как исправить файл hosts

Вариант с использованием Hijackthis:

Запускаем Hijackthis
Выбираем пункт справа внизу "Config..."
Затем "MiscTools".
Далее "Open hosts file manager".
Далее "Open in Notepad".
Удаляем все строчки, кроме

127.0.0.1 localhost

Если такой записи нет, то добавляем.

---------------------------------------------

Вариант с использованием AVZ:

Самый простой рецепт - выполнить скрипт в AVZ:

begin
ClearHostsFile;
end.

Команда ClearHostsFile найдет Hosts файл, почистит из него все значащие строки (оставив комментарии) и добавит строчку "127.0.0.1 localhost"



Информация из раздела Чаво virusinfo http://virusinfo.info/forumdisplay.php?f=70

[mike 1]

Как подготовить лог AdwCleaner?

• Скачайте AdwCleaner и сохраните его на Рабочем столе.

• Запустите программу от имени Администратора. Важно! На Windows Vista/7/8 программу нужно запускать от имени Администратора через контекстное меню проводника

• Нажмите на кнопку "Scan\Сканировать" и дождитесь окончания сканирования

• Когда сканирование будет завершено нажмите на кнопку "Report\Отчет"

• После нажатия на кнопку "Report\Отчет" отчет будет по умолчанию сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению в вашей теме.

[mike 1]

Как удалить найденное в AdwCleaner?

 

 

• Запустите AdwCleaner с рабочего стола. Важно! На Windows Vista/7/8 программу нужно запускать от имени Администратора через контекстное меню проводника.

• Нажмите кнопку "Scan\Сканирование", а по окончанию сканирования нажмите кнопку "Clean\Очистить" и дождитесь окончания удаления.

 

 

 

 

 

• После окончания удаления отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

• Прикрепите отчет к своему следующему сообщению в вашей теме

 

Внимание! Для успешного удаления потребуется перезагрузка компьютера!

[mike 1]

Как восстановить по ошибке удаленные записи в AdwCleaner?

 

 

• Запустите AdwCleaner с рабочего стола. Важно! На Windows Vista/7/8 программу нужно запускать от имени Администратора через контекстное меню проводника.

• В главном окне AdwCleaner щелкните по вкладке "Tools\Инструменты", затем щелкните по кнопке "Quarantine manager\Менеджер карантина".

 

 

 

 

• Откроется новое окно, в котором нужно будет выбрать элементы для восстановления. После того как вы выбрали элементы для восстановления, нажмите на кнопку "Restore\Восстановить". 

 

 

 

 

Важно! Для корректного восстановления может потребоваться перезагрузка компьютера.

 

[mike 1]

Деинсталляция AdwCleaner

 

 

• Запустите AdwCleaner с рабочего стола. Важно! На Windows Vista/7/8 программу нужно запускать от имени Администратора через контекстное меню проводника.

• Откроется главное окно программы

 

 

 

• В главном окне программе нажмите на кнопку "Uninstall/Удалить"

 

 

 

 

• Если вы ранее удаляли что-то в AdwCleaner появиться окно, которое предупредит вас о том, что при удалении программы карантин AdwCleaner будет удален.

 

 

 

 

• Подтверждаем удаление программы нажатием на кнопку "Да"

 

 

 

[mike 1]

Как подготовить лог MBAM?

 

 

 

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл. Установите программу (во время установки откажитесь от использования PRO версии).

Запустите программу "Malwarebytes' Anti-Malware" с рабочего стола. 

 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

 

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Проверить обновления". После установки обновлений перейдите на вкладку "Проверка". На вкладке "Проверка" выберите "Выборочная проверка" и нажмите на кнопку "Настроить сканирование".

В параметрах выборочной провеки поставьте галочку "Проверка на наличие руткитов". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Запустить проверку".

Пойдет процесс проверки, который займет некоторое (зависит от размера жёсткого диска и количества файлов на нём) время. По окончанию проверки нажмите на кнопку "Сохранить результаты".

Затем сохраните полученный лог как текстовой файл (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

 

 

Самостоятельно без рекомендации Консультанта ничего не удаляйте!

 

 

Информация из раздела Чаво virusinfo http://virusinfo.info/forumdisplay.php?f=70 с актуализацией от консультантов форума ФКЛК.

Изменено 22 августа, 2015 пользователем Roman_Five

[Roman_Five]

Как подготовить лог Farbar Recovery Scan Tool?

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[mike 1]

Как подготовить лог Farbar Recovery Scan Tool, если система не грузится?

 

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.

 

Скопируйте FRST на флэш-накопитель:

 

 

Загрузитесь в среду восстановления с жесткого диска (нажмите F8 и выберите пункт Устранение неполадок компьютера). Вставьте USB-накопитель в  компьютер. 

 

Выберите Командная строка

 

 

В командной строке введите следующее  :

 

notepad и нажмите клавишу Enter. 

Откроется Блокнот. В меню Файл выберите Открыть. 

Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот. 

В окне введите команду e:\frst.exe и нажмите клавишу Enter

Примечание: Замените букву e на букву вашего флэш-накопителя. 

 

• После того, как программа запустится, нажмите Yes для соглашения с предупреждением.

• Нажмите кнопку Scan. 

• После окончания сканирования на флэш-накопителе будет создан отчёт (FRST.txt). Пожалуйста, прикрепите его в следующем сообщении.

Изменено 24 февраля, 2015 пользователем Roman_Five