Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[Санёк1401818235]

Логи

Симптомы: Не заходит во ВКонтакте, чистка хостса не помогает. Помогите, пожалуйста!

[VR]

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xvidvfw.dll','');
QuarantineFile('C:\WINDOWS\system32\vp8vfw.dll','');
QuarantineFile('C:\Documents and Settings\Admin\blxh.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\gylt.exe','');
QuarantineFile('C:\WINDOWS\system32\XDva388.sys','');
QuarantineFile('C:\WINDOWS\system32\XDva386.sys','');
QuarantineFile('C:\WINDOWS\system32\XDva385.sys','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\xywo1mv3.dll','');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\xywo1mv3.dll');
BC_DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\xywo1mv3.dll');
DeleteFile('C:\Documents and Settings\Admin\Application Data\gylt.exe');
BC_DeleteFile('C:\Documents and Settings\Admin\Application Data\gylt.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe');
BC_DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe');
DeleteFile('C:\Documents and Settings\Admin\blxh.exe');
BC_DeleteFile('C:\Documents and Settings\Admin\blxh.exe');
ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. 

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[Санёк1401818235]

quarantine.zip

virusinfo_syscheck.zip

[VR]

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{CC01FC6C-252C-52F9-C82D-8C3A6D23938A}');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\xywo1mv3.dll');
BC_DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\xywo1mv3.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[Санёк1401818235]

virusinfo_syscheck.zip

[VR]

Санёк

в логах чисто

[Санёк1401818235]

Спасибо за помощь! Всё вылечилось!

[KOHCTPyKTOP T]

http://file.sibnet.ru/get/file/?id=1029239 KL )

[VR]

KOHCTPyKTOP T

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\System32\winlogon.exe','');
QuarantineFile('C:\WINDOWS.0\system32\msiexec.exe','');
QuarantineFile('C:\WINDOWS.0\system32\mnmsrvc.exe','');
QuarantineFile('C:\WINDOWS.0\system32\wac.sys','');
TerminateProcessByName('c:\windows.0\temp\guardguard.exe');
QuarantineFile('c:\windows.0\temp\guardguard.exe','');
DeleteFile('c:\windows.0\temp\guardguard.exe');
BC_DeleteFile('c:\windows.0\temp\guardguard.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 end. 

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[KOHCTPyKTOP T]

http://file.sibnet.ru/get/file/?id=1029245 Quarantine

[VR]

KOHCTPyKTOP T

а новые логи где?

[KOHCTPyKTOP T]

http://file.sibnet.ru/get/file/?id=1029336 это?

[VR]

http://file.sibnet.ru/get/file/?id=1029336 это?

да

в логах чисто

[Johnny B]

http://zalil.ru/31740171

[VR]

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\tscupgrd.exe','');
QuarantineFile('C:\WINDOWS\system32\AegisE5.dll','');
QuarantineFile('C:\Program Files\Ashampoo Burning Studio 6 FREE\burningstudio.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Fffnfs.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\AB4ACB1A414E54AB4ACB1A.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\9140AA6A414E549140AA6A.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\9140AA6A414E549140AA6A.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\AB4ACB1A414E54AB4ACB1A.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','9140AA6A414E549140AA6A');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','9140AA6A414E549140AA6A');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AB4ACB1A414E54AB4ACB1A');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AB4ACB1A414E54AB4ACB1A');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Fffnfs.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fffnfs');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
   CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. 

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[Johnny B]

Архив quarantine.zip залить на файлообменник, ссылку сюда.

http://zalil.ru/31744564

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

http://zalil.ru/31744572

[VR]

Johnny B

в логах чисто

[Johnny B]

VR

спасибо!

[chimit_]

KL_syscure

Добавлено спустя 30 минут 45 секунд:

+ лог gmer'а

http://zalil.ru/31752633

[VR]

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\psxss.exe','');
QuarantineFile('C:\Windows\system32\nvshext.dll','');
QuarantineFile('C:\PROGRA~2\VKSaver\vksaver3.dll','');
QuarantineFile('C:\Windows\system32\drivers\ArcSec.sys','');
QuarantineFile('C:\Windows\system32\viakaraokesrv.exe','');
QuarantineFile('C:\Users\Чимит\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpngackimfmofbokmjmljamhdncknpmg\5.0.3_0\plugin\screen_capture.dll','');
BC_ImportAll;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 end. 

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[chimit_]

quarantine.zip

virusinfo_syscheck

[VR]

chimit_

в логах чисто

[Галсан]

Сегодня вдруг касперский начал во всех браузерах находить вот это:

25.09.2011 22:53:38 Запрещено: http://yandexdns.com/loPtfdn3dSasoicn/get.php?key=294&id=D6408450D16ADA98001B386EAA7D0000&os=6.1.7600.0&av=16&vm=0&al=0&p=125&z=351 (проверка по базе подозрительных веб-адресов) Host Process for Windows Services http://yandexdns.com/loPtfdn3dSasoicn/get.php?key=294&id=D6408450D16ADA98001B386EAA7D0000&os=6.1.7600.0&av=16&vm=0&al=0&p=125&z=351 Ссылка обнаружена в базе
25.09.2011 22:53:59 Запрещено: http://94.102.49.64/loPtfdn3dSasoicn/get.php?key=294&id=D6408450D16ADA98001B386EAA7D0000&os=6.1.7600.0&av=16&vm=0&al=0&p=125&z=351 (проверка по базе подозрительных веб-адресов) Host Process for Windows Services http://94.102.49.64/loPtfdn3dSasoicn/get.php?key=294&id=D6408450D16ADA98001B386EAA7D0000&os=6.1.7600.0&av=16&vm=0&al=0&p=125&z=351 Ссылка обнаружена в базе
25.09.2011 22:54:00 Запрещено: http://94.102.49.64/loPtfdn3dSasoicn/get.php?key=294&id=D6408450D16ADA98001B386EAA7D0000&os=6.1.7600.0&av=16&vm=0&al=0&p=125&z=351 (проверка по базе подозрительных веб-адресов) Host Process for Windows Services http://94.102.49.64/loPtfdn3dSasoicn/get.php?key=294&id=D6408450D16ADA98001B386EAA7D0000&os=6.1.7600.0&av=16&vm=0&al=0&p=125&z=351 Ссылка обнаружена в базе
25.09.2011 22:59:00 Запрещено: http://yandexdns.com/loPtfdn3dSasoicn/post.php?id=D6408450D16ADA98001B386EAA7D0000&form=goog%2Dmalware%2Dshavar%3Ba%3A37571%2D50569%3As%3A50176%2D61554%3Amac%Agoog%2Dphish%2Dshavar%3Ba%3A153098%2D164425%3As%3A76792%2D80469%3Amac%A&url=http%3A%2F%2Fsafebrowsing%2Eclients%2Egoogle%2Ecom%2Fsafebrowsing%2Fdownloads%3Fclient%3Dnavclient%2Dauto%2Dffox%26appver%3D4%2E0%26pver%3D2%2E2%26wrkey%3DAKEgNisCmN7Q80txdkinj8PE%2DdJLlooHKb8zpAD4gNAMmFSW6qlz2hKnND%2DuqtvvypD0SL9iR4zO7biMFfvs483O5oHmS2tgOg%3D%3D (проверка по базе подозрительных веб-адресов) Firefox http://yandexdns.com/loPtfdn3dSasoicn/post.php?id=D6408450D16ADA98001B386EAA7D0000&form=goog%2Dmalware%2Dshavar%3Ba%3A37571%2D50569%3As%3A50176%2D61554%3Amac%Agoog%2Dphish%2Dshavar%3Ba%3A153098%2D164425%3As%3A76792%2D80469%3Amac%A&url=http%3A%2F%2Fsafebrowsing%2Eclients%2Egoogle%2Ecom%2Fsafebrowsing%2Fdownloads%3Fclient%3Dnavclient%2Dauto%2Dffox%26appver%3D4%2E0%26pver%3D2%2E2%26wrkey%3DAKEgNisCmN7Q80txdkinj8PE%2DdJLlooHKb8zpAD4gNAMmFSW6qlz2hKnND%2DuqtvvypD0SL9iR4zO7biMFfvs483O5oHmS2tgOg%3D%3D Ссылка обнаружена в базе
25.09.2011 23:01:45 Запрещено: http://yandexdns.com/loPtfdn3dSasoicn/post.php?id=D6408450D16ADA98001B386EAA7D0000&form=%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D41184676334%D%AContent%2DDisposition%3A%20form%2Ddata%3B%20name%3D%22file%22%3B%20filename%3D%22KL%5Fsyscure%2Ezip%22%D%AContent%2DType%3A%20application%2Foctet%2Dstream%D%A%D%APK%3%4%14&url=http%3A%2F%2Fzalil%2Eru%2Fupload%2F (проверка по базе подозрительных веб-адресов) Firefox http://yandexdns.com/loPtfdn3dSasoicn/post.php?id=D6408450D16ADA98001B386EAA7D0000&form=%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D41184676334%D%AContent%2DDisposition%3A%20form%2Ddata%3B%20name%3D%22file%22%3B%20filename%3D%22KL%5Fsyscure%2Ezip%22%D%AContent%2DType%3A%20application%2Foctet%2Dstream%D%A%D%APK%3%4%14&url=http%3A%2F%2Fzalil%2Eru%2Fupload%2F Ссылка обнаружена в базе
25.09.2011 23:02:20 Запрещено: http://yandexdns.com/loPtfdn3dSasoicn/post.php?id=D6408450D16ADA98001B386EAA7D0000&form=sid%3Da76a72f101e06357f276e0431a0f75d2%26codeUrl2%3D%26message%3D%5Burl%3Dhttp%3A%2F%2Fzalil%2Eru%2F31757020%5DKL%5Fsyscure%2Ezip%5B%2Furl%5D%26mode%3Dreply%26t%3D54237%26preview%3D%CF%F0%E5%E4%E2%2E%2B%EF%F0%EE%F1%EC%EE%F2%F0%26attach%5Fsig%3Don%26jnotify%3Don&url=http%3A%2F%2Fulanovka%2Eru%2Fforum%2Fposting%2Ephp (проверка по базе подозрительных веб-адресов) Firefox http://yandexdns.com/loPtfdn3dSasoicn/post.php?id=D6408450D16ADA98001B386EAA7D0000&form=sid%3Da76a72f101e06357f276e0431a0f75d2%26codeUrl2%3D%26message%3D%5Burl%3Dhttp%3A%2F%2Fzalil%2Eru%2F31757020%5DKL%5Fsyscure%2Ezip%5B%2Furl%5D%26mode%3Dreply%26t%3D54237%26preview%3D%CF%F0%E5%E4%E2%2E%2B%EF%F0%EE%F1%EC%EE%F2%F0%26attach%5Fsig%3Don%26jnotify%3Don&url=http%3A%2F%2Fulanovka%2Eru%2Fforum%2Fposting%2Ephp Ссылка обнаружена в базе
25.09.2011 23:02:36 Запрещено: http://yandexdns.com/loPtfdn3dSasoicn/post.php?id=D6408450D16ADA98001B386EAA7D0000&form=%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D265001916915724%D%AContent%2DDisposition%3A%20form%2Ddata%3B%20name%3D%22file%22%3B%20filename%3D%22virusinfo%5Fsyscheck%2Ezip%22%D%AContent%2DType%3A%20application%2Foctet%2Dstream%D%A%D%APK%3%4%14&url=http%3A%2F%2Fzalil%2Eru%2Fupload%2F (проверка по базе подозрительных веб-адресов) Firefox http://yandexdns.com/loPtfdn3dSasoicn/post.php?id=D6408450D16ADA98001B386EAA7D0000&form=%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D%2D265001916915724%D%AContent%2DDisposition%3A%20form%2Ddata%3B%20name%3D%22file%22%3B%20filename%3D%22virusinfo%5Fsyscheck%2Ezip%22%D%AContent%2DType%3A%20application%2Foctet%2Dstream%D%A%D%APK%3%4%14&url=http%3A%2F%2Fzalil%2Eru%2Fupload%2F Ссылка обнаружена в базе

25.09.2011 22:53:38	Запрещено: http://yandexdns.com/loPtfdn3dSasoicn/get.php?key=294&id=D6408450D16ADA98001B386EAA7D0000&os=6.1.7600.0&av=16&vm=0&al=0&p=125&z=351 (проверка по базе подозрительных веб-адресов)	Host Process for Windows Services		http://yandexdns.com/loPtfdn3dSasoicn/get.php?key=294&id=D6408450D16ADA98001B386EAA7D0000&os=6.1.7600.0&av=16&vm=0&al=0&p=125&z=351	Ссылка обнаружена в базе

и с оперы страницы не открываются

з.ы. это троян

http://www.dsci.in/node/858

http://www.emagined.com/security-threat/trojan-zatvex

KL_syscure.zip

virusinfo_syscheck

[VR]

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Launch Manager\DPortIO.sys','');
QuarantineFile('C:\Windows\system32\drivers\dpclat_driver.sys','');
QuarantineFile('C:\Windows\system32\drivers\ArcSec.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\Apfiltr.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\rspAux32.sys','');
QuarantineFile('C:\Windows\system32\acqffwi.dll','');
DeleteFile('C:\Windows\system32\acqffwi.dll');
BC_DeleteFile('C:\Windows\system32\acqffwi.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);

После перзагрузки еще один скрипт AVZ:

begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
  end. 

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

end.

[Галсан]

VR

При нажатии выполнить скрипт выдает ошибку