Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[deidara_sv]

vot http://zalil.ru/31484693

[VR]

ASWENCIM

GMER вроде ни чего не нашел

мне не нужно говорит нашел он что то или нет, мне нужны логи

Добавлено спустя 16 минут 11 секунд:

deidara_sv

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wuauolt.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\Program Files\Common Trioris\jsloader.dll','');
QuarantineFile('C:\WINDOWS\system32\SCVVHSOT.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0859388095-7118926752-395624946-6086\sysdate.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\.lnk','');
QuarantineFile('c:\mars\Новая папка\warkey.exe','');
QuarantineFile('c:\documents and settings\admin\local settings\application data\{72c34643-bee0-dde0-fc39-317e5d0fd426}\.exe','');
DeleteFile('c:\documents and settings\admin\local settings\application data\{72c34643-bee0-dde0-fc39-317e5d0fd426}\.exe');
BC_DeleteFile('c:\documents and settings\admin\local settings\application data\{72c34643-bee0-dde0-fc39-317e5d0fd426}\.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\.lnk');
DeleteFile('C:\RECYCLER\S-1-5-21-0859388095-7118926752-395624946-6086\sysdate.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-0859388095-7118926752-395624946-6086\sysdate.exe');
DeleteFile('C:\WINDOWS\system32\SCVVHSOT.exe');
ClearHostsFile;
DeleteFile('C:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\wuauolt.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.

begin

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

begin
         CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

Сделай еще лог Gmer

Загрузите GMER

Запустите программу, начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и выложи его.

[ASWENCIM]

не мой комп ,антивирус не может установиться, лог http://zalil.ru/31486959

из папки Quarantine http://zalil.ru/31486975

на моем компе опять появилась куча процессов rundll32.exe *94

вот после проверки моего компьютера GMERом http://zalil.ru/31487357

[deidara_sv]

quarantine.zip - http://zalil.ru/31487764

2-ой AVZ http://zalil.ru/31487819

[VR]

ASWENCIM

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Новая папка\школа.exe','');
QuarantineFile('C:\Windows\Temp\TS_6EEC.tmp','');
QuarantineFile('C:\Users\Мария\AppData\Roaming\Ugvmvg.exe','');
QuarantineFile('C:\Users\Мария\AppData\Local\Temp\_uninst_63117784.bat','');
QuarantineFile('C:\Windows\system32\drivers\csc.sys','');
DeleteFile('C:\Users\Мария\AppData\Local\Temp\_uninst_63117784.bat');
BC_DeleteFile('C:\Users\Мария\AppData\Local\Temp\_uninst_63117784.bat');
DeleteFile('C:\Users\Мария\AppData\Roaming\Ugvmvg.exe');
BC_DeleteFile('C:\Users\Мария\AppData\Roaming\Ugvmvg.exe');
ClearHostsFile;
DeleteFile('C:\Windows\Temp\TS_6EEC.tmp');
DeleteFile('D:\Новая папка\школа.exe');
DeleteFile('C:\Documents and Settings\Мария\Documents\Новая папка\школа.exe');
DeleteFile('C:\Documents and Settings\Мария\Мои документы\Новая папка\школа.exe');
DeleteFile('C:\Users\Мария\Documents\Новая папка\школа.exe');
DeleteFile('C:\Users\Мария\Мои документы\Новая папка\школа.exe');
DeleteFile('C:\Windows\Temp\TS_62E2.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
ExecuteRepair(9);
BC_Activate;
end.

begin

Выполни скрипт AVZ (как выполнить скрипт - в шапке): Код:

begin
          CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

Сделай еще лог Gmer

Загрузите GMER

Запустите программу, начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и выложи его.

Добавлено спустя 12 минут 10 секунд:

на моем компе опять появилась куча процессов rundll32.exe

вот после проверки моего компьютера GMERом http://zalil.ru/31487357

Gmer точно запускал от имени администратора?

Добавлено спустя 31 минуту 41 секунду:

deidara_sv

что с проблемами?

где лог Gmer?

[deidara_sv]

VR будет

[deidara_sv]

gmer ничего не показал

[VR]

gmer ничего не показал

а где сам лог gmer?

[ASWENCIM]

VR на чужом компе переставил систему, не дождался ответа(((

вот лог от avz второго скрипта моего компа http://zalil.ru/31490291

вот лог GMER http://zalil.ru/31490432

[deidara_sv]

VR

я незнаю, тупо ок было и все и не одной надписи.

[VR]

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и выложи его.

Вот это читал? надо было после того как закончится сканирования нажать ОК и после чего нажать на кнопку Save и сохранить под любым именем

Добавлено спустя 40 минут 24 секунды:

ASWENCIM

Выполни скрипта AVZ

ClearQuarantine;
QuarantineFile('C:\Windows\TEMP\C19AE641026246608CEADE1D4B55A5F3.exe','');
QuarantineFile('C:\Windows\TEMP\8A6B0CB1087F4699AE18DABAC3004062.exe','');
QuarantineFile('C:\Windows\TEMP\1C1AE271E6084DFDA9A6A787581AE194.exe','');
QuarantineFile('C:\Windows\TEMP\553F6E4B7870497B8254C3CDA16015BF.exe','');
QuarantineFile('C:\Windows\TEMP\B5D1AD29A59F482E8EBC63EB1716978E.exe','');
QuarantineFile('C:\Windows\TEMP\2270A6767845437995A9D3331559E9C3.exe','');
QuarantineFile('C:\Windows\TEMP\498572D3BF5B4D23A36007A58FD4D6CE.exe','');
QuarantineFile('C:\Windows\TEMP\F66574C9DB1A478EB7AA70D7CE787624.exe','');
QuarantineFile('C:\Program Files (x86)\Winstep\workshelf.exe','');
QuarantineFile('C:\Windows\TEMP\GuardGuard.exe','');
QuarantineFile('GuardGuard.exe','');
TerminateProcessByName('GuardGuard.exe');
DeleteFile('GuardGuard.exe');
DeleteFile('C:\Windows\TEMP\GuardGuard.exe');
BC_DeleteFile('GuardGuard.exe');
end.

begin

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[deidara_sv]

VR да так и сделал, в блокноте пусто!

[VR]

deidara_sv

Что то странно тогда попробуй еще сделать логи ComboFix

Скачайте ComboFix , и сохраните на рабочий стол.

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[ASWENCIM]

VR Вот http://zalil.ru/31494476

[VR]

ASWENCIM

Сделай еще для полной уверенности лог MBAM)

Загрузите программу Malwarebytes' Anti-Malware (MBAM)

Скачиваемый файл может иметь различные имена, например, mbam-setup.exe, mbam-setup-<>.exe и т.д.

1. Закройте все программы и окна на Вашем компьютере, выгрузите из памяти все программы защиты (антивирус, файервол и т.д.), которые обычно загружаются при старте системы.

2. Вы должны устанавливать и запускать программу в учетной записи с правами администратора.

3. Запустите сохраненный на Рабочем столе файл и выполняйте инструкции программы установки. Установите программу с настройками по умолчанию.

4. После успешной установки будет проверен состояние баз программы. Возможно, Вы получите сообщение о необходимости их обновления. Пожалуйста, сделайте это обязательно!

5. Запустите МВАМ. Для операционных систем Vista и Windows 7 Вы должны запустить программу "от имени Администратора"

6. После запуска программы Вы увидите ее главное окно с несколькими вкладками. 7. Пожалуйста, перейдите на вкладку Сканнер (Scanner).

7. Выберите пункт меню Полное сканирование (Full Scan).

8. Нажмите кнопку Сканирование (Scan).

9. В появившемся окне отметьте все локальные диски и все флеш-диски (карты памяти), подключенные к компьютеру.

10. Нажмите в этом окне кнопку Сканирование (Scan). Начнется проверка.

11. Пожалуйста, постарайтесь не выполнять никаких действий за компьютером во время этого процесса.

12. После завершения проверки Вы получите сообщение о результатах исследования, нажмите кнопку OK.

13. Протокол проверки (лог) будет открыт в редакторе, принятом в системе по умолчанию.

Если он не запустился, перейдите на вкладку Отчеты (Logs), найдите последний по времени отчет, отметьте его и нажмите кнопку Открыть (Open).

[alaska13]

Зацепили где-то bcd8f464.exe

не видится, не лечится.((

Лог 7 скрипта

http://zalil.ru/31497461

выручайте...

[VR]

alaska13

Выполни скрипта AVZ

SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('npggsvc');
QuarantineFile('C:\Windows\system32\GameMon.des -service','');
QuarantineFile('c:\program files\fingerprint sensor\atservice.exe','');
QuarantineFile('c:\program files\digitalpersona\bin\dphostw.exe','');
QuarantineFile('C:\Program Files\Fingerpr','');
QuarantineFile('C:\Users\sveta\AppData\Roaming\Hdeiep.exe','');
DeleteFile('C:\Users\sveta\AppData\Roaming\Hdeiep.exe');
BC_DeleteFile('C:\Users\sveta\AppData\Roaming\Hdeiep.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Hdeiep');
DeleteFile('C:\Windows\system32\GameMon.des -service');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

begin

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

begin
       CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

Сделай еще лог Gmer

Загрузите GMER

Запустите программу, начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и выложи его.

[alaska13]

VR,

логи

http://zalil.ru/31497978 -quarantine.zip

http://zalil.ru/31497981 -virusinfo_syscheck.zip

http://zalil.ru/31497986 -gmerlog.log

Вдобавок: перед работой скриптов прогнал в безопасном режиме CureIt...нашел Hdeiep.exe..вроде удалил автоматом...больше ничего не нашел( в обычном режиме вообще ничего не находил)...KRD10 тоже ничего не нашел

Скрипты AVZ запускал в безопасном режиме.

[VR]

Скрипты AVZ запускал в безопасном режиме.

а почему из безопасного режима? в обычном не загружается система?

[alaska13]

нет..грузится..но в безопасном на флэшку вирь не садится...поэтому решил в безопасном запустить..

[VR]

в логах чисто

[alaska13]

сейчас проверил в нормальном режиме..с флэшкой вроде все нормально..

Добавлено спустя 25 секунд:

Прекрасно..спасибо огромное.))

[ASWENCIM]

VR прогой Malwarebytes' Anti-Malware (MBAM) про верил

вот лог

06:40:52 Александр MESSAGE Protection started successfully

06:40:56 Александр MESSAGE IP Protection started successfully

20:15:36 Александр DETECTION C:\program files (x86)\the sims 3.gold edition.v 6.0.81.009001\Key\the sims 3\Key\The_Sims_3_Keygen.exe Trojan.Downloader QUARANTINE

20:20:03 Александр MESSAGE Protection started successfully

20:20:07 Александр MESSAGE IP Protection started successfully

но при запуске системы серавно появляется очень много окон для подключения интернета

[VR]

а где сам лог проверки?

[ASWENCIM]

а где сам лог проверки?

так это и есть он , скопировал с него .

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org

Версия базы данных: 7344

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

02.08.2011 20:15:53

mbam-log-2011-08-02 (20-15-53).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|)

Просканированные объекты: 519034

Времени прошло: 1 часов, 5 минут, 36 секунд

Зараженные процессы в памяти: 0

Зараженные модули в памяти: 0

Зараженные ключи в реестре: 1

Зараженные параметры в реестре: 0

Объекты реестра заражены: 0

Зараженные папки: 0

Зараженные файлы: 2

Зараженные процессы в памяти:

(Вредоносных программ не обнаружено)

Зараженные модули в памяти:

(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:

HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> Quarantined and deleted successfully.

Зараженные параметры в реестре:

(Вредоносных программ не обнаружено)

Объекты реестра заражены:

(Вредоносных программ не обнаружено)

Зараженные папки:

(Вредоносных программ не обнаружено)

Зараженные файлы:

c:\program files (x86)\the sims 3.gold edition.v 6.0.81.009001\Key\the sims 3\Key\the_sims_3_keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\wsus.cmd (Trojan.Agent) -> Quarantined and deleted successfully.