Всем привет. :) Эта тема будет содержать в себе набор необходимых инструкций\рекомендаций\советов, которые дают хелперы. Правила публикции: Один коммент - одна полная рекомендация. Все сообщения не попадающие под разряд рекомендаций будут удаляться безоговорочно.
Спасибо.
[hr]
Для более детального изучения утилиты HiJackThis доступна тема - HijackThis - краткое руководство (http://forum.oszone.net/thread-100149.html)
[hr]
Список рекомендаций


Рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html)
Как подготовить лог HiJackThis (http://forum.oszone.net/post-1430293-2.html)
Как пофиксить строки в HiJackThis (http://forum.oszone.net/post-1430293-2.html)
Как подготовить стандартные логи AVZ (http://forum.oszone.net/post-1430318-3.html)
Как выполнить скрипт в AVZ (http://forum.oszone.net/post-1430637-4.html)
Как обновить базы - данные в AVZ (http://forum.oszone.net/post-1445502-6.html)
Запуск программ и утилит в режиме совместимости (http://forum.oszone.net/post-1450054-7.html)
Как выбрать Полное сканирование в MBAM и сменить язык (http://forum.oszone.net/post-1814735-8.html)
Лечение файлового вируса (http://forum.oszone.net/post-1867330-10.html)
Как получить содержимое MBR (http://forum.oszone.net/post-1977234-11.html)
Самостоятельное устранение новой уязвимости: подмена зловредом системного файла RPCSS.DLL (http://forum.oszone.net/post-2125485-12.html)




Примечание: при запуске утилиты HiJackThis
AutoLogger, утилиту HiJackThis следует запускать из папки Автологера:
...\AutoLogger\HiJackThis\HiJackThis.exe
AVZ- Утилита находится в папке ...\AutoLogger\AVZ\avz.exe

Как подготовить лог HiJackThis


Скачайте HiJackThis (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) - распакуйте архив и запустите программу. После запуска вы увидите такой окошко. Нажмите вторую кнопку сверху Do a system scan only и дождитесь окончания сканирования.

http://tools.oszone.net/Drongo/Screenshot/HelpViruses/hjt-01.png


После окончания сканирования и программа покажет список того что нашла. Сохраните лог hijackthis.log нажав на кнопку Save log и укажите любое удобное Вам местоположение файла. А так как нам понадобится этот лог, то лучше всего сохраните его на диск C:\

http://tools.oszone.net/Drongo/Screenshot/HelpViruses/hjt-02.png

После того как хелперы проведут анализ лога и дадут необходимые рекомендации по фиксу, предложеные строку нужно будет пофиксить.

[hr]
Как пофиксить строки в HiJackThis


Запустите HiJackThis и проведите процедуру сканирования заново, после чего установите галочки на тех строках, которые Вам будут предложены, проверьте, не пропустили ли вы строки. И нажмите кнопку Fix checked

http://tools.oszone.net/Drongo/Screenshot/HelpViruses/fixhjt.png
Примечание: при использовании утилиты
AutoLogger, утилиту следует запускать из папки Автологера:
...\AutoLogger\HiJackThis\HiJackThis.exe

Как подготовить стандартные логи AVZ

Скачайте AVZ (http://z-oleg.com/avz4.zip) - распакуйте архив и запустите программу. Выберите Файл - Стандартные скрипты

http://tools.oszone.net/Drongo/Screenshot/HelpViruses/CreateLogt-01.jpg

В открывшемся диалоговом окошке, установите галочки напротив пунктов 2 и 3 и нажмите кнопку Выполнить отмеченые скрипты

http://tools.oszone.net/Drongo/Screenshot/HelpViruses/CreateLogt-02.png

Дождитесь окончания сканирования, после чего в папке, откуда была запущена AVZ появится папка LOG. Перейдите в неё и прикрепите к сообщению полученые архивы:

1. virusinfo_syscure.zip
2. virusinfo_syscheck.zip

Как выполнить скрипт в AVZ

Откройте AVZ и выберите Файл - Выполнить скрипт

http://tools.oszone.net/Drongo/Screenshot/HelpViruses/RunScript-01.jpg

Скопируйте представленый Вам скрипт и в открывшемся окошке, щёлкните правой кнопкой по форме - выберите пункт Вставить. Скрипт должен разместиться в форме. Нажмите кнопку Запустить. После выполнения скрипта, компьютер перезагрузится.

http://tools.oszone.net/Drongo/Screenshot/HelpViruses/RunScript-02.png

Место зарезервировано

Как обновить базы - данные в AVZ

1. Откройте AVZ и выберите Файл - Обновление баз
2. Нажав ''ПУСК'' и ждать, чтобы завершить программу

http://tools.oszone.net/Drongo/Screenshot/HelpViruses/UpdateBase.gif

Запуск программ и утилит в режиме совместимости
Некоторые программы, рекомендуемые хелперами для проведения диагностики и лечения, иногда отказываются работать в новых операционных системах. Проблем можно избежать, попробовав запустить программу "в режиме совместимости".

(Запуск RSIT в Windows 7 в режиме совместимости с Windows XP SP3):

http://tools.oszone.net/okshef/TechImg/In_SP3_mode.jpg

Как выбрать Полное сканирование в MBAM и сменить язык

1.При установке отказываетесь от пробной версии.
Запускаете MBAM.
Кликаете мышкой и отмечаете - Полная проверка.(отмечено красным позиция 1.) И нажимаете кнопку - Сканирование. Ждете окончания проверки . После сообщения об окончании проверки жмете --Показать результаты. Копируете содержимое лога и присоединяете к теме.

2.Если нужно - меняете язык нажимая на стрелку -выделено красным позиция 2.
выбираете вкладку - Настройки. В окне смены языка выбираете нужный.

http://tools.oszone.net/Drongo/Screenshot/HelpViruses/mbam.gif

Создайте новую точку восстановления и удалите старые (http://safezone.cc/forum/showthread.php?t=2065).
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Регулярно обновляйте программное обеспечение.
Включите функцию автоматического обновления программного обеспечения (http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5), когда таковое доступно, например, вы можете автоматически обновлять все программное обеспечение Microsoft.

К числу программ, которые необходимо своевременно обновлять, относятся:



Adobe Reader (http://get.adobe.com/reader/otherversions/);
Adobe Flash Player (http://get.adobe.com/ru/flashplayer/otherversions/);
Sun Java (http://www.java.com/ru/download/faq/remove_olderversions.xml);
Apple QuickTime (http://www.apple.com/ru/quicktime/download/);
Надстройки браузеров (http://ru.wikipedia.org/wiki/Категория:Расширения_браузеров).
Базы и модули антивирусных программ



И, конечно, нужно обновлять сами браузеры – все они имеют собственные возможности обновления, кроме Internet Explorer (до версии 10), который обновляется с помощью Windows Update.

Проверить свой компьютер на наличие открытых уязвимостей можно при помощи следующих сервисов:

Secunia (http://secunia.com/vulnerability_scanning/personal/) — датская компания, специализирующаяся на компьютерной и сетевой безопасности
SurfPatrol (СёрфПатрол) (http://www.surfpatrol.ru/) — бесплатный онлайн сервис проверки безопасности браузера и плагинов, разработка компании Positive Technologies.
Проверка плагинов от Firefox (http://www.mozilla.org/ru/plugincheck/)



Устанавливайте антивирусные и антишпионские программы из надежных источников.
Не загружайте ничего в ответ на предупреждение программы, которую вы не устанавливали или которую не знаете, предлагающей защитить ваш компьютер или удалить вирусы. Велика вероятность мошенничества.

Получайте надежные программы для защиты вашего компьютера у продавца, которому вы доверяете.


Основной набор программ для защиты компьютера (http://safezone.cc/forum/showthread.php?t=1841).



Не устанавливайте несколько антивирусных программ.
Не устанавливайте одновременно несколько антивирусных программ на компьютер, из-за конфликта программных модулей это значительно осложнит работу операционной системы.


Не отключайте встроенный брандмауэр, если у вас не установлен комплексный продукт для защиты компьютера (Internet Security) от стороннего производителя.
Брандмауэр (http://ru.wikipedia.org/wiki/Межсетевой_экран) создает защитный заслон между вашим компьютером и Интернетом. Выключение брандмауэра даже на минуту увеличивает риск заражения ПК вредоносной программой.


Осторожно используйте флеш-накопители и др. съемные носители информации.

Отключите автозапуск (http://support.microsoft.com/kb/967715/ru) со сменных носителей (актуально для Windows 2000/XP/2003 Server) - это поможет избежать заражения так называемыми Autorun-червями.
По возможности старайтесь не подключать неизвестные флеш-накопители (или USB-накопители) в свой компьютер.
Не открывайте неизвестные файлы на накопителе, если вы предварительно их не просканировали антивирусом и не убедились в их безопасности.



Включите контроль учетных записей (http://ru.wikipedia.org/wiki/Контроль_учётных_записей_пользователей) (в Windows Vista/Seven), или создайте учетную запись пользователя с ограниченными правами (в Windows XP)
Необходимо также поставить сложные пароли на учетные записи всех пользователей.


Используйте надежные пароли и храните их в секрете.

Надежные пароли должны состоять минимум из 8-14 символов и содержать сочетание букв, цифр и символов. Как создать надежный пароль. (http://www.microsoft.com/ru-ru/security/online-privacy/passwords-create.aspx)
Никому не раскрывайте свои пароли.
Не используйте одинаковый пароль на всех сайтах. Если его украдут, вся защищенная информация подвергнется риску.
Создавайте разные надежные пароли для маршрутизатора (роутера) и ключ безопасности для беспроводного соединения дома.



Регулярно сохраняйте резервные копии своих данных (http://windows.microsoft.com/ru-RU/windows7/Back-up-your-files) на компакт-диске (CD), DVD-диске или внешнем USB-накопителе. В случае повреждения или шифрования вредоносной программой данных на жестком диске вы сможете восстановить их из резервной копии.


Соблюдайте несложные правила снижающие вероятность заражения

10 советов по безопасности в Интернете (http://safezone.cc/forum/showthread.php?t=4857)
Правила, снижающие вероятность вирусного заражения (http://safezone.cc/forum/showthread.php?t=1842)
Десять непреложных законов безопасности (http://technet.microsoft.com/ru-ru/library/cc722487.aspx)
Социальные сети - исследование вирусных и фишинговых угроз (http://safezone.cc/forum/showthread.php?t=16162)
Как обеспечить безопасность своих данных в соцсети (http://www.microsoft.com/ru-ru/security/online-privacy/social-networking.aspx)
Защита своей конфиденциальности в Интернете (http://www.microsoft.com/ru-ru/security/online-privacy/prevent.aspx)
Открытые уязвимости ПО - прямой путь к зараженному компьютеру (http://www.anti-malware.ru/node/2482)

Лечение файлового вируса

Скачивать и записывать на диск утилиты нужно только на чистом компьютере !!!

Использование LiveCD (http://ru.wikipedia.org/wiki/Live_CD), собранного специально для очистки компьютера от вредоносных программ, которых обычными средствами проблематично уничтожить.

1. В нашем случае (заражении файловым вирусом) необходимо использовать Dr.Web LiveCD (http://www.freedrweb.com/livecd/), позволяет восстановить работоспособность системы, пораженной действиями вредоносных программ. Эта сборка LiveCD не только очистит компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты.

Документация (ftp://ftp.drweb.com/pub/drweb/livecd/drweb-livecd-600-ru.pdf) (перед началом использования и если у Вас нет опыта работы с подобными продуктами, обязательно почитайте документацию по продукту)
Прямой линк на скачивание образа диска (ftp://ftp.drweb.com/pub/drweb/livecd/)

В состав сборки Dr.Web LiveCD входят следующие приложения:

Сканер Dr.Web® для Linux;
Браузер Firefox;
Файловый менеджер Midnight Commander;
Терминал для работы с командной строкой непосредственно перед из-под графической оболочки;
Текстовый редактор Leafpad.

Более подробная информация находится в документации.


2. Если нет возможности воспользоваться DVD/CD приводом, то пригодиться Dr.Web® LiveUSB (http://www.freedrweb.com/liveusb) - это утилита, позволяющая создать загрузочную флэш-карту с переносной операционной системой на базе Linux и встроенным программным обеспечением, предназначенным для проверки излечения компьютера (антивирусное решение Dr.Web LiveUSB), работы с файловой системой, просмотра и редактирования текстовых файлов, просмотра веб-страниц и ведения электронной переписки. С помощью загрузочной флэш-карты можно восстановить систему в тех случаях, когда вследствие вирусной активности не представляется возможным произвести загрузку компьютера с жесткого диска обычным способом.

Dr.Web® LiveUSB поставляется в виде исполняемого файла drwebliveusb.exe (http://download.geo.drweb.com/pub/drweb/liveusb/win/drwebliveusb.exe).

Более подробная информация находится в документации (http://download.geo.drweb.com/pub/drweb/liveusb/win/drweb-liveusb-600-ru.pdf).


3. А так-же можно воспользоваться Avira AntiVir Rescue System (http://www.avira.com/ru/support-download-avira-antivir-rescue-system) которая является linux-приложением, позволяющим получить доступ к компьютеру, который не удается загрузить. Это позволяет:

восстановить поврежденную систему,
спасти данные,
выполнить проверку системы на наличие вирусов.

Если у вас есть старый установочный файл, то вам прийдется его скачать еще раз т.к., Avira AntiVir Rescue System (http://www.avira.com/ru/support-download-avira-antivir-rescue-system) обновляется несколько раз в день.

Не забывайте, что установочный файл (rescuecd.exe примерно 60 mb) необходимо скачивать и запускать на заведомо здоровом компьютере.


4. Или же можно воспользоваться Kaspersky Rescue Disk 10 (http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk10/kav_rescue_10.iso) который формируется на базе на базе ядра операционной системы Linux и представляет собой .iso-образ, который включает:

системные и конфигурационные файлы Linux;
набор утилит для диагностики операционной системы;
набор вспомогательных утилит (файловый менеджер и др.);
файлы Kaspersky Rescue Disk;
файлы, содержащие антивирусные базы.


Если у вас установлен один из продуктов ЛК линейки 2010, то образ можно поддержать в актуальном состоянии.

Подробнее на сайте технической поддержки ЛК (http://support.kaspersky.ru/faq/?qid=208636415)

Или же создать локальную папку с базами обновлениями (http://support.kaspersky.ru/faq/?qid=208636338) и обновить базы Диска аварийного восстановления (Kaspersky Rescue Disk) с помощью утилиты обновления (http://support.kaspersky.ru/faq/?qid=208637351)


5. Еще одним вариантом лечения будет Live CD Vba32 Rescue (http://www.anti-malware.ru/node/1131) который содержит:


Консольный сканер для *UNIX (VBA32.L)
Файловый менеджер Midnight Commander


Основные возможности продукта:

Сканирование ПК на наличие вредоносных объектов;
Создание отчетов сканирования системы для последующего обращения в службу тех. поддержки;
Выполнение основных операций с файлами, находящимися на компьютере пользователя (переименование, копирование, перемещение и т.д.);


Скачать LiveCD Vba32 Rescue (ftp://anti-virus.by/pub/vbarescue.iso)

Удачного лечения.

Как получить содержимое MBR

I этап - выполняется на чистой машине

1. Скачайте образ Alkid Live CD (или ERD Commander), запишите образ на болванку
2a. Скачайте TDSSkiller (http://support.kaspersky.ru/faq/?qid=208639606), и запишите на флешку
или
2b. Скачайте эту утилиту (http://safezone.cc/forum/showthread.php?t=15525)

II этап - выполняется на проблемной машине

1. Включите в BIOS загрузку с CD
2. Подключите флешку
3. Загрузитесь с созданного диска
4a. Запустите TDSSkiller таким образом буква флешки:\tdsskiller.exe -qpath c:\log -qmbr
или
4b. Запустите утилиту, которую скачали в п. 2b первого этапа
5. Запакуйте папку c:\log (или полученный в п. 4b файл) с паролем virus и пришлите в соответствии с рекомендациями хэлпера