Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[Baozzz]

подскажите пожалуйста, не помню когда но кто-то вылаживал архив с вирусами для проверки своего антивируса, может кто ссылку даст или на фтп зальет у кого есть.

[VR]

Проверять антивирус на реальных вирусах очень опасно, поэтому создан спецальный тестовый файл EICAR который определяется как вирус но не является таковым

Тестовый "вирус" EICAR был специально разработан для проверки работы антивирусных продуктов.

Тестовый "вирус" НЕ ЯВЛЯЕТСЯ ВИРУСОМ, и не содержит кода, который может навредить вашему компьютеру. Внизу в таблице дан код тестового "вируса". Загрузить тестовый "вирус", так же можно с официального сайта EICAR.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Чтобы получить тестовый "вирус" нужно сохранить вышеуказанный код в блокноте с расширением .txt или .com Для того чтобы проверить реакцию антивирусной системы на другие типы объектов, Вы можете модифицировать содержание "стандартного тестового вируса", добавив к нему один из префиксов.

[Pretor]

вроде установил нод.он сканировал,нашел вирусы,в основном на .exe файлах,т.е. у меня удалились проги-Internet Explorer,Opera,jet audio ну и т.д. ,но самое главное удалился файл

c\WINDOWS\syste32\rundl32.exe

теперь ни одна иконка из "Панели инструментов не запускается"

что делать?

[D_Master]

вроде установил нод.он сканировал,нашел вирусы,в основном на .exe файлах,т.е. у меня удалились проги-Internet Explorer,Opera,jet audio ну и т.д. ,но самое главное удалился файл

c\WINDOWS\syste32\rundl32.exe

теперь ни одна иконка из "Панели инструментов не запускается"

Нод не перестает меня удивлять.

[PADONAK]

HiJackThis - закиньте по новой

[D_Master]

PADONAK

Лежит он в папке. Качай через тотал коммандер или любой другой фтп-клиент.

[PADONAK]

ftp://ftp.burnet.ru/incoming/users/PRO100/ заархивировать не смог

[pentagon]

мои логи

ftp://ftp.burnet.ru/incoming/users/!!!pentagon/logs

[VR]

PADONAK

Какой вирус находил NOD? Очень похоже, что это был файловый вирус.

Пока так

Выполните скрипт

begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(16);
RebootWindows(true);
end.

[PADONAK]

VR у меня нода нету и антивируса никокого только oytpost стоит.

Выполнил и все прошло, у меня диспетчер задач не вылазил и regedit/ Спасибо за просвлетвление

[D_Master]

у меня нода нету и антивируса никокого только oytpost стоит.

Советую срочно установить антивирус.

[VR]

у меня нода нету и антивируса никокого только oytpost стоит.

Извеняюсь я тебя спутал с Pretor. Но скрипт правильный по твоим логам. Как я понимаю проблем больше нет?

[PADONAK]

проблем нету

[VR]

pentagon

Выполни скрипт AVZ

SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\28463\wchm.exe');
QuarantineFile('C:\d1vmq.exe','');
QuarantineFile('C:\WINDOWS\system32\nmdfgds1.dll','');
QuarantineFile('C:\WINDOWS\system32\afmain0.dll','');
QuarantineFile('C:\WINDOWS\system32\28463\WCHM.007','');
QuarantineFile('C:\WINDOWS\system32\optyhww0.dll','');
QuarantineFile('c:\windows\system32\28463\wchm.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\dsnpfd.sys','');
QuarantineFile('C:\WINDOWS\system32\28463\WCHM.006','');
DeleteFile('C:\WINDOWS\system32\28463\WCHM.006');
DeleteFile('c:\windows\system32\28463\wchm.exe');
DeleteFile('C:\WINDOWS\system32\optyhww0.dll');
DeleteFile('C:\WINDOWS\system32\28463\WCHM.007');
DeleteFile('C:\WINDOWS\system32\afmain0.dll');
DeleteFile('C:\WINDOWS\system32\nmdfgds1.dll');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\olhrwef.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\urretnd.exe');
DeleteFile('C:\d1vmq.exe');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
BC_DeleteFile('c:\windows\system32\28463\wchm.exe');
BC_DeleteFile('C:\WINDOWS\system32\twex.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

После перезагрузки выполни еще один скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip из папки AVZ вылажи на фтп

Повторите логи.

[pentagon]

выложил новые логи

ftp://ftp.burnet.ru/incoming/users/!!!pentagon/new logs

и там же карантин

[Dexter]

ftp://ftp.burnet.ru/incoming/users/dex

такая штука , когда захожу в рабочую группу локалки

[VR]

pentagon

Выполни

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WIN;DOWS\system32\28463\WCHM.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Перезагрузка.

Пофиксите:

R3 - URLSearchHook: (no name) -  - (no file)

По логам: все, что требовалось, вычистили - Ardamax Keylogger и компания. Скриптом, который я указал выше, добиваем бэкап.

Проблеммы остались?

[pentagon]

проблем больше нету. спасибо большое за помощь

[~Qred~]

вот логи, только я все сразу скинул чтоб время нетрарить, а то инет рассоиденяется и кста хайджек неможет запустится.

[Dexter]

кста хайджек неможет запустится.

Внимательно читайте 1 пост

Внимание! Некоторые вредоносные программы блокируют запуск защитных приложений по имени файла! Если при запуске HiJackThis у вас выдается сообщение, что файл не найден, переименуйте файл hijackthis.exe в любой набор букв (например, asdaefdsfas.exe ).

[D_Master]

~Qred~

Скрипт AVZ:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
 DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
 QuarantineFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe','');
 DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
 DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится. После загрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

Повтори 2й стандартный скрипт AVZ.

[Dexter]

вааай , я то думал тут хооть очеред есть

[~Qred~]

кста хайджек неможет запустится.

Внимательно читайте 1 пост

Внимание! Некоторые вредоносные программы блокируют запуск защитных приложений по имени файла! Если при запуске HiJackThis у вас выдается сообщение, что файл не найден, переименуйте файл hijackthis.exe в любой набор букв (например, asdaefdsfas.exe ).

я такто знаю, но серавно неполучилось

[D_Master]

Dexter

Сорри, не заметил Сейчас гляну

Добавлено спустя 4 минуты 6 секунд:

Dexter

Логи чистые.

Службы "Сервер" и "Обозреватель компьютеров" включены/запущены?

[~Qred~]

вот карантин а вот архив 2 скрипта