Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

  Показать контент

 

Как сделать лог Malwarebytes Antimalware

  Показать контент

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[Алексей888]

VR

ссылка на quarantine.zip

http://files.mail.ru/0766335263E6448799CFBAFEF4008A10

ссылка повторный лог AVZ

http://files.mail.ru/B78B8AACA43F4174BD46D7998400A857

что касается Malwarebytes Antimalware - в общем первый раз я его запустил видимо на экспресс проверку, проверка шла мин 5, он нашел угрозы и устранил их. Затем я нашел нужный режим с проверкой всех дисков, нашел еще одну угрозу и устранил ее. Куда он сохранял логи я найти не смог((( но в результате всех вышеперечисленных действий все проблемы исчезли)

Огромное спасибо за помощь

[VR]

Алексей888

По хорошему лог должен открыться сам в текстовом редакторе по умолчанию после окончания сканирования системы.

[Алексей888]

VR

нашел логи)

http://files.mail.ru/7611FBC323E64E2086354F83E778E1CB

3 файла xml.

Вообще очень понравилась эта программа(Malwarebytes Antimalware), если найду к ней лекарство, можно ли использовать ее совместно с КИС2014, конфликтовать не будут?

[VR]

Алексей888

к сожалению это не те логи, лог задачи проверки должен быть в текстовом файле.

  Цитата

Вообще очень понравилась эта программа(Malwarebytes Antimalware), если найду к ней лекарство, можно ли использовать ее совместно с КИС2014, конфликтовать не будут?

насколько знаю особых конфликтов небыло. Но смысла использовать Malwarebytes Antimalware постоянной основе нету. Так как MBAT хорош именно как сканер аномалий в системе основанных на эвристических методах детектирования (из-за этого кстати вытекает достаточное большое число возможных ложных детектов). А постоянная защита в режиме реального времени у MBAT довольно слабая.

[sAREs]

Проверьте пожалуйста

http://gfile.ru/a6SZf

[VR]

Sares

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe','');
QuarantineFile('C:\Windows\ehome\ehrec','');
QuarantineFile('C:\Windows\ehome\mcupdate','');
QuarantineFile('C:\Program Files (x86)\Overwolf\Overwolf.exe','');
DeleteService('VGPU');
QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\vjoy.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\oem-drv64.sys','');
DeleteFile('C:\Windows\system32\drivers\rdvgkmd.sys','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\mcupdate','64');
DeleteFile('C:\Windows\ehome\mcupdate','32');
DeleteFile('C:\Windows\ehome\ehrec','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\RecordingRestart','64');
DeleteFile('C:\Windows\system32\Tasks\{BD4B1C47-18B6-44CA-8D22-A2628992476E}','64');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Cделай новые логи AVZ (2-й стандартный скрипт AVZ)

[sAREs]

http://gfile.ru/a6UQz quarantine.zip

http://gfile.ru/a6UPM 2-й стандартный скрипт AVZ

[VR]

Sares

в логах чисто

[Хр]

VR посмотри пожалуйста, что-то комп тормозить стал

http://gfile.ru/a67Wi

[VR]

Хр

Если еще актуально, то по логом визуально чисто, но версия AVZ очень старая.

AVZ 4.35

  Цитата

Внимание !!! База поcледний раз обновлялась 03.09.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

http://z-oleg.com/secur/avz/download.php

[saksur]

будьте добры

проблема

http://gfile.ru/a71RX

[VR]

steppe13

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('aitagent','');
QuarantineFile('C:\Windows\system32\Drivers\PortTalk.sys','');
DeleteService('VGPU');
DeleteFile('C:\Users\steppe\AppData\Local\Temp\1142930E-47AB4682-96D70A63-2F6FD184\7q44gd55.exe','32');
DeleteFile('C:\Users\steppe\AppData\Local\Temp\1142930E-47AB4682-96D70A63-2F6FD184\lw8uxx7z.exe','32');
DeleteFile('C:\Windows\system32\drivers\rdvgkmd.sys','32');
DeleteFile('C:\Windows\system32\Tasks\{B319CBED-494D-456A-BF5E-4ACC87D31CF0}','32');
DeleteFile('C:\Windows\system32\Tasks\{E27F0FB8-B1AF-4C25-BAF1-63F6B61DD4D5}','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Cделай новые логи AVZ (2-й стандартный скрипт AVZ)

Так же уточните какой антивирус установлен в системе.

[saksur]

благодарю за отзыв
 

Изменено 15 марта, 2015 пользователем steppe

[VR]

steppe13

в логах чисто.

[saksur]

что посоветуете ?

[Tuman]

VR

Проверь, пожалуйста: http://gfile.ru/a5mrX

[VR]

steppe13

Я так понимаю что основная проблемам это вылеты проигрывателей?

Случаем бсодов нету? проверьте нету ли дампов в папки C:\Windows\Minidump

  Цитата

Pass 1 Errors 0

Так же на счет теста оперативки. 1 pass это не показатель, по хорошему нужно прогнать как минимум 10 pass.

Tuman

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\cpldapu\produkey.exe','');
QuarantineFile('D:\WINDOWS\system32\ff_vfw.dll','');
QuarantineFile('D:\WINDOWS\System32\logon.scr','');
QuarantineFile('D:\WINDOWS\INF\custom.inf','');
DeleteService('antiss');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\antiss.sys','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Скачай последнию версию AVZ 4.4.3 и сделай новые логи AVZ (2-й стандартный скрипт AVZ)

[Tuman]

VR

http://rghost.ru/55094576

[VR]

Tuman

в логах чисто

[Tuman]

VR

Спасибо большое, но реклама продолжает появляться в браузере + антивирус при включенном браузере выдает уведомление о блокировки соединения с одним сайтом skachkalist.ru *18

[VR]

Tuman

Сделай еще лог Malwarebytes Antimalware

1. Скачайте Malwarebytes Antimalware

2. Установите ее по стандартному пути с настройками по умолчанию.

3. Запустите полное сканирование = отметьте ВСЕ подключённые к ПК жесткие диски и флешки.

4. По окончании сканирования будет сгенерирован лог. Сохраните его на диске в доступном месте, нажав на кнопку Сохранить отчет.

5. Прикрепите его без переименования к Вашему следующему сообщению.

[saksur]

  Цитата

проверьте нету ли дампов

были, появятся выложу

Pass 18 Errors 0

[saksur]

  VR сказал:

Случаем бсодов нету?

 

 

http://gfile.ru/a9ESH

[VR]

steppe, 

Судя по дампу проблема с памятью

*************************************************************************

32 errors : !kmixer (ad74f286-ad74f2ff)
ad74f280 c0 74 15 8b 4e 18 *f8 *ff 1b c9 81 e1 c0 d8 *f8 *ff .t..N...........
ad74f290 51 50 ff 15 e4 fc *f8 *ff 85 ff 76 08 85 db *e1 *ff QP........v.....
ad74f2a0 72 fe ff ff 8b 45 *fb *ff 96 48 01 00 00 89 *fa *ff r....E...H......
ad74f2b0 00 00 00 8b 86 20 *ba *ff 00 85 c0 75 6a 8b *f8 *ff ..... .....uj...
ad74f2c0 01 00 00 8b 81 50 *f8 *ff 00 bb 01 00 00 00 *f8 *ff .....P..........
ad74f2d0 89 5d f4 76 4f bf *f8 *ff 00 00 8d 9b 00 00 *f8 *ff .].vO...........
ad74f2e0 8b 96 48 01 00 00 *f8 *ff d8 8d 04 17 39 88 *f8 *ff ..H.........9...
ad74f2f0 00 00 75 06 8b 55 *f8 *ff 55 e0 8b 4d e0 8b *f8 *ff ..u..U..U..M....

MODULE_NAME: memory_corruption

IMAGE_NAME: memory_corruption

FOLLOWUP_NAME: memory_corruption

MEMORY_CORRUPTOR: STRIDE

STACK_COMMAND: .cxr 0xffffffffb9819914 ; kb

FAILURE_BUCKET_ID: MEMORY_CORRUPTION_STRIDE

BUCKET_ID: MEMORY_CORRUPTION_STRIDE

ANALYSIS_SOURCE: KM

FAILURE_ID_HASH_STRING: km:memory_corruption_stride

FAILURE_ID_HASH: {574dbc1b-92cb-fb09-cb7a-cacc1bb2c511}

Followup: memory_corruption
---------

[saksur]

VR, какая программа дает такой отчет ?