Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[VR]

vit007

в логах чисто

[Zaxar]

http://www.avast.com/ru-ru/lp-fr-virus-alert?p_ext=&utm_campaign=Virus_alert&utm_source=prg_fav_70_3&utm_medium=prg_systray&utm_content=.%2Ffa%2Fru-ru%2Fvirus-alert-default&p_vir=URL:Mal&p_prc=C:\Program%20Files\AVAST%20Software\Avast\AvastSvc.exe&p_obj=http://91.238.83.28&p_var=.%2Ffa%2Fru-ru%2Fvirus-alert-default&p_pro=0&p_vep=7&p_ves=0&p_lqa=0&p_lsu=0&p_lst=3&p_lex=30&p_lng=ru&p_lid=ru-ru&p_elm=7&p_vbd=1474#tab1

Помогите пожалуйста...всё перепробывал что мог...

[VR]

Zaxar

так а в чем собственно проблема?

[Zaxar]

VR

Инет блокирует в гугле хром((((( hosts почистил там чисто..на вирусы проверил..тоже чисто..программы которые устанавливал в этот день удалил, но EXPLOrer работает инет....((((

[Tex]

Не успел поменять ключ на Касперском - притащили с одноклассников блокиратор и баннер в оперу. Блокиратор ушел сам после загрузки в безопасном. Баннер не ушел после удаления оперы, всез папок связанных с ней и переустановки браузера. Также при нажатии кнопок на сайтах иногда в новой вкладке открывает по ссылке "earthmobile.ru/сайт_с_которого_выполнен_переход". Касперский (с новым ключом) блокирует загрузку, выдает предупредительное сообщение.

kl_syscure - лог сделан при работающей опере, в одной из вкладок баннер

hijackthis - - лог сделан при работающей опере, в одной из вкладок баннер

PS. Есть вероятность слива явок и паролей?

[VR]

Zaxar

делай логи

Добавлено спустя 11 минут 16 секунд:

Tex

Пофиксите в HiJack

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F780E14-494B-4EA2-957A-0C3E8ED78947}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1B29A33-E409-4FBC-A561-1AF026CF7619}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2793AE4-11FE-43BB-9C73-83C987BB0D17}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 80.82.209.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{4F780E14-494B-4EA2-957A-0C3E8ED78947}: NameServer = 80.82.209.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{4F780E14-494B-4EA2-957A-0C3E8ED78947}: NameServer = 80.82.209.180

PS. Есть вероятность слива явок и паролей?

Да есть и достаточно большая. Так как во первых у тебя на компе был блокер у которого кроме функционала блокера вполне мог быть функционал трояна или дропера который мог установить шпионский модуль, который сделав свое темное дела самоуничтожился. А во вторых у тебя в качестве DNS прописаны сервера злоумышленников и вместо настоящих сайтов тебя могли переправлять на фишинговые страницы и где ты сам вводил все свои явки.

[Tex]

HiJack - выполнено. Прописаны верные DNS. Заходил только на данный форум и почту (автовход через qip, без ввода пароля и логина) - адреса правильные, фишинговыми страницами, вроде, не пахло. Жду рез-таты по AVZ: баннер остался. Попытки подгрузить earthmobile тоже.

[VR]

Tex

сделай еще новые логи HiJack

[Tex]

hijack - опера открыта, во вкладке баннер

[VR]

Tex

нужны дополнительные логи

1. Проверить систему утилитой TDSSKiller.exe

- Запустите файл TDSSKiller.exe на зараженной (или потенциально зараженной) машине;

- Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения требуется.

2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

[Tex]

Malwarebytes log

TDSS log

Вспомнил про rescue disk от каспера. Запустил на ночь, логи не сохранил. Баннер ушел, но в логах подозрения. Malware ругается на АМD файлы, TDSS на кряки различные

[deidara_sv]

посмотрите http://zalil.ru/34230236

поставил новую винду, появились странные звуки из системника!

[VR]

Tex

Если снова запустить rescue disk kaspesky то в интерфейсе антивируса увидишь логи предыдущего сканирования.

Так логи TDSS ты делал после сканирования рекавери диском касперского?

Вот это очень подозрительный объект, хорошо бы в TDSSKiller скопировать utixmzyw.sys файл в карантин

Добавлено спустя 3 минуты 42 секунды:

deidara_sv

Выполнить скрипт AVZ (как выполнять скрипт - в шапке) скрытый текст

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wuauolt.exe','');
QuarantineFile('C:\WINDOWS\system32\.dll','');
QuarantineFile('C:\WINDOWS\Installer\aad0b.msi','');
QuarantineFile('C:\WINDOWS\system32\drivers\svv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\mi2c.sys','');
QuarantineFile('c:\windows\system32\wuauolt.exe','');
ClearHostsFile;
DeleteFile('C:\WINDOWS\system32\wuauolt.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
       CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Cделай новые логи AVZ (2й стандартный скрипт AVZ)

[deidara_sv]

2-ой скрипт http://zalil.ru/34243840

http://zalil.ru/34243845

[VR]

deidara_sv

Выполнить скрипт AVZ (как выполнять скрипт - в шапке) скрытый текст

SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\wuauolt.exe');
ClearHostsFile;
DeleteFile('c:\windows\system32\.dll');
DeleteFile('C:\WINDOWS\system32\.dll');
DeleteFile('C:\WINDOWS\system32\wuauolt.exe');
DeleteFile('c:\windows\system32\wuauolt.exe');
BC_DeleteFile('c:\windows\system32\wuauolt.exe');
BC_DeleteFile('C:\WINDOWS\system32\.dll');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\.lnk');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.

begin

Cделай новые логи AVZ (2й стандартный скрипт AVZ)

[deidara_sv]

2-ой скрипт http://zalil.ru/34246797

http://zalil.ru/34246796

[VR]

deidara_sv

в логах чисто

[хозяйка рыжего кота]

VR

Здравствуйте! Снова я. В прошлый раз под вашим руководством почистила компьютер от вирусов, единственное, осталось всплывающее окно "заблокирован подозрительный IP".

Сегодня не смогла зайти на Одноклассники, и аккаунт сына тоже заблокирован - вылезает такая надпись:

Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон.

Я чуть было не повелась, отправив номер телефона, после чего мне пришла смс с таким содержанием:

Для получения кода отправьте Да в ответ на это смс, для отказа от услуги - "Нет".

Поддержка 7hip.com

88001007337 БЕСПЛАТНО

Само собой, я никуда ничего отправлять не стала, сделала попытку зайти на сайт со смартфона. Что увенчалось успехом. Пришла к выводу - мой ай пи компьютера заблокирован вирусом, и была подмена страницы.

Прошла в папку hosts, открыв с помощью блокнота, там вместо обычной записи ВООБЩЕ НИЧЕГО НЕ БЫЛО! То есть файл был совсем пустой, вниз прокрутить не было возможности, так как не было бегунка даже, то есть совсем пусто было.

Создала новую запись в файле, скопировав его с соседней ветки,

# © Корпорация Майкрософт (Microsoft Corp.), 1993-1999

#

# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.

#

# Этот файл содержит сопоставления IP-адресов именам узлов.

# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен

# находиться в первом столбце, за ним должно следовать соответствующее имя.

# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.

#

# Кроме того, в некоторых строках могут быть вставлены комментарии

# (такие, как эта строка), они должны следовать за именем узла и отделяться

# от него символом '#'.

#

# Например:

#

# 102.54.94.97 rhino.acme.com # исходный сервер

# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost

Перезагрузила комп, не получается войти. Изменила пароль на одноклассниках, та же хрень вылазит.

Вот лог: b2qwd62

[VR]

Вот лог: b2qwd62

что то я не понял где именно лог?

[хозяйка рыжего кота]

вот: http://zalil.ru/34248079 *127

Посмотрите, пожалуйста...

[VR]

хозяйка рыжего кота

Выполнить скрипт AVZ (как выполнять скрипт - в шапке) скрытый текст

SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('1335024drv');
DeleteService('02717699');
QuarantineFile('C:\WINDOWS\system32\drivers\ljpnrs.sys','');
QuarantineFile('C:\WINDOWS\system32\Filt\VBFilt.dll','');
QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll','');
DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\02717699.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\1335024drv.sys');
DeleteFile('02717699.sys');
DeleteFile('1335024drv.sys');
DeleteFile('C:\Documents and Settings\Лариса\Local Settings\Temp\_uninst_96957256.bat');
ClearHostsFile;
DeleteFile('\SystemRoot\system32\DRIVERS\1335024drv.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
       CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. 

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Cделай новые логи AVZ (2й стандартный скрипт AVZ)

[хозяйка рыжего кота]

http://zalil.ru/34248311

[ToNY667]

http://zalil.ru/34281309

посмотрите, пожалуйста

ничего не могу понять

[VR]

ToNY667

Выполнить скрипт AVZ (как выполнять скрипт - в шапке) скрытый текст

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\cnab4rpk.exe','');
QuarantineFile('C:\Windows\system32\taskmqr.exe','');
TerminateProcessByName('c:\windows\system32\taskmqr.exe');
QuarantineFile('c:\windows\system32\taskmqr.exe','');
DeleteFile('c:\windows\system32\taskmqr.exe');
DeleteFile('C:\Windows\system32\taskmqr.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
       CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Cделай новые логи AVZ (2й стандартный скрипт AVZ)

[ToNY667]

virusinfo

qurantine.zip

а есть какой-нить мануал по скриптам?