Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[VR]

Сканирование запущено в 11.11.2012 13:59:24

После выполнения 2-го стандартного скрипта должен сформировать файл лога virusinfo_syscheck.zip, а этот лог который ты опять выложил от выполнения 7-го скрипта

[Sheogorath]

А, блин *43

http://zalil.ru/33957239

[VR]

Ты кстати где еще смог откопать такую старую avz 4.35, скачал по ссылке в первом мосте темы последнюю версию avz 4.39 и сделал ей логи.

Выполнить скрипт AVZ (как выполнять скрипт - в шапке) скрытый текст

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
ClearHostsFile;
BC_ImportAll;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.

После перзагрузки еще один скрипт AVZ:

begin
       CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Cделай новые логи AVZ (2й стандартный скрипт AVZ)

[Sheogorath]

http://zalil.ru/33957663

http://zalil.ru/33957664

[VR]

Sheogorath

Выполнить скрипт AVZ (как выполнять скрипт - в шапке) скрытый текст

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\progra~1\micros~4\rapimgr.exe','');
QuarantineFile('copy D:\WINDOWS\TEMP\93707171FdOh D:\WINDOWS\system32\drivers\etc\hosts','');
QuarantineFile('copy D:\WINDOWS\TEMP\6483281FdOh D:\WINDOWS\system32\drivers\etc\hosts','');
QuarantineFile('D:\Program Files\Mozilla Firefox\mozsqlite3.dll','');
QuarantineFile('D:\Program Files\Mozilla Firefox\mozjs.dll','');
QuarantineFile('D:\Program Files\Mozilla Firefox\freebl3.dll','');
DeleteFile('D:\WINDOWS\TEMP\6483281FdOh');
DeleteFile('D:\WINDOWS\TEMP\93707171FdOh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','93707218');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6483359');
DeleteFileMask('D:\WINDOWS\TEMP\', '*.*', true);
ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
       CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Cделай новые логи AVZ (2й стандартный скрипт AVZ)

[Sheogorath]

Карантин

Логи

[VR]

Sheogorath

что сейчас с проблемами?

[Sheogorath]

VR спам по прежнему вылезает, но в хостс новые записи появляться перестали.

[VR]

Sheogorath

Покажи скриншот окна со спамом.

[Sheogorath]

[VR]

Sheogorath

эта страница загружается после каких действий или самопроизвольной в любой момент времени?

[Sheogorath]

VR открываю новый сайт, кликаю в любое место (сайта) и открывается окно.

[VR]

Sheogorath

Интересно. Давай попробуем еще вот так:

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

[Sheogorath]

Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org

Версия базы данных: v2012.11.15.04

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 7.0.5730.13

Admin :: MYCOMP [администратор]

15.11.2012 15:45:49

mbam-log-2012-11-15 (16-57-06).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|)

Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM

Опции сканирования отключены: P2P

Просканированные объекты: 354475

Времени прошло: 54 минут , 42 секунд

Обнаруженные процессы в памяти: 0

(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0

(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0

(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

Объекты реестра обнаружены: 0

(Вредоносных программ не обнаружено)

Обнаруженные папки: 0

(Вредоносных программ не обнаружено)

Обнаруженные файлы: 11

C:\Games\Blizzard Entertainment\warcraft III 1.26\Launcher\iccwc3.icc (PUP.GameTool) -> Действие не было предпринято.

C:\Games\Misc\Gish\Uninstall.exe (Malware.Packer.Krunchy) -> Действие не было предпринято.

C:\Games\Misc\LIMBO\TDU.exe (Packer.ModifiedUPX) -> Действие не было предпринято.

C:\Downloads\Программы\Adobe Photoshop CS5 Extended 12.0 [Официальная русская версия]\Adobe.Photoshop.CS5.Extended.v12.0\Adobe.Photoshop.CS5.Extended.v12.0.Keymaker-EMBRACE.exe (Malware.Packer.Gen) -> Действие не было предпринято.

C:\Downloads\Программы\garmin_mobile\crack\keygen_v1.5.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

C:\Downloads\VVVVVV\NFOviewer.exe (Malware.Packer.Krunchy) -> Действие не было предпринято.

C:\Downloads\Call.of.Duty.Black.Ops.II.Russian_Steam-FullRip - R.G.Origins\Crack\buddha.dll (Malware.Gen.SKR) -> Действие не было предпринято.

C:\Downloads\trilogy Angry Birds\Angry Birds Rio\NFOviewer.exe (Malware.Packer.Krunchy) -> Действие не было предпринято.

C:\Downloads\Autodesk AutoCAD 2011 x32 x64 ISO\activation\keygens\xf-a2011-32bits.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

C:\Downloads\Autodesk AutoCAD 2011 x32 x64 ISO\activation\keygens\xf-a2011-64bits.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

D:\Program Files\Volumecontrol2\LConfig.exe (Trojan.Agent) -> Действие не было предпринято.

(конец)

[VR]

Sheogorath

Так просканируй еще на всякий случай систему TDSSKiller

[Sheogorath]

VR угроз не обнаружено.

[VR]

Sheogorath

Давай еще вот так попробуем

Скачайте GMER

- Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканирование приостановить их работу.

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[Sheogorath]

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

какие пункты убрать?

[VR]

какие пункты убрать?

так некакие пункты убирать не надо, только главное сними отметки со всех локальных дисков кроме системного. правдо это тоже можно не делать, просто тогда сканирование будет идти дольше

[Sheogorath]

Лог.

[VR]

Sheogorath

по логам все чисто. только у тебя в системе висит драйвер от dr.web ведать ранее стоял этот антивирус. сейчас смотрю стоит нод, не помешает пройтись ремувером от др. веб чтоб удалить хвосты

[CoolNero]

Проверьте,пожалуйста:

http://zalil.ru/34007874

[Sheogorath]

VR у меня никогда др веба не было, только иногда пользуюсь сканнером dr.web cureit.

[VR]

у меня никогда др веба не было, только иногда пользуюсь сканнером dr.web cureit.

значит он и оставил хвосты в системе. пройдись ремувером для их удаления.

CoolNero

В логах чисто

[Podtyajka]

можно спросить, сколько стоит переустановить оперативную память?