Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[Roland]

Логи

ftp://ftp.burnet.ru/incoming/users/RD/Logs/

Вчера до того как сделал проверку (как на 1 стр) вылезала ошибка Svchost, теперь какие то левые тип H001.exe

[VR]

Roland

Выполни скрипт AVZ (как выполнять - в шапке):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
DeleteService('awp');
DeleteService('satey Service');
DeleteService('rrr');
DeleteService('gtgfh');
DeleteService('dllos');
QuarantineFile('C:\WINDOWS\system32\gtgfh.exe','');
QuarantineFile('C:\WINDOWS\system32\piljg.exe','');
QuarantineFile('C:\WINDOWS\df.exe','');
QuarantineFile('c:\windows\system32\o1652ib1y\j002.exe','');
QuarantineFile('c:\windows\df.exe','');
QuarantineFile('C:\WINDOWS\system32\awp.exe','');
QuarantineFile('C:\WINDOWS\system32\O1652IB1Y\J002.exe','');
QuarantineFile('C:\PROGRA~1\DOWNLO~1\dmiehlp.dll','');
QuarantineFile('c:\windows\system32\tdeaqb.gtm','');
QuarantineFile('F:\Проги\fpsetup.exe','');
QuarantineFile('?','');
BC_DeleteFile('?');
TerminateProcessByName('?');
DeleteFile('F:\Проги\fpsetup.exe');
DelBHO('{9961627E-4059-41B4-8E0E-A7D6B3854ADF}');
DeleteFile('C:\autorun.inf');
DeleteFile('c:\windows\system32\tdeaqb.gtm');
DeleteFile('C:\PROGRA~1\DOWNLO~1\dmiehlp.dll');
BC_DeleteFile('C:\WINDOWS\df.exe');
BC_DeleteFile('C:\WINDOWS\system32\piljg.exe');
BC_DeleteFile('C:\WINDOWS\system32\gtgfh.exe');
DeleteFile('C:\WINDOWS\system32\O1652IB1Y\J002.exe');
DeleteFile('C:\WINDOWS\system32\awp.exe');
DeleteFile('c:\windows\df.exe');
DeleteFile('c:\windows\system32\o1652ib1y\j002.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В AVZ Файл/Мастер поиска и устранения проблем нажми Поиск отметь все найденные проблеммы и нажми Исправаить отмеченные проблемы

>> Таймаут завершения служб находится за пределами допустимых значений

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

quarantine.zip из папки AVZ залей на фтп

повтори лог sysinfo (2й стандартный скрипт AVZ)

[Omega]

Можно сделать все гораздо проще с помощью одной лишь утилиты AVZ... Если кому надо пишите в личку, примерно напишу что и как надо делать.

[Budan]

D_Master

а не ошибка продолжает вылазить что еще сделать помоги пожалуйста

Добавлено спустя 45 минут 43 секунды:

адресная строка вот так выходит она еще заблокирована

[Genius]

посмотрите, пожалуста, мои логи ftp://ftp.burnet.ru/incoming/users/Magistr/

[VR]

Genius

Выполни скрипт AVZ (как выполнять - в шапке):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
QuarantineFile('C:\WINDOWS.0\system32\ntshrui.dll','');
QuarantineFile('C:\Games\Читпроги\Ufasoft.rar','');
QuarantineFile('C:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('H:\Setup.exe','');
QuarantineFile('C:\WINDOWS.0\system32\rebuild.exe','');
QuarantineFile('C:\DOCUME~1\738E~1.WIN\LOCALS~1\Temp\Rar$EX01.782\Ufasoft\Sniffer\usft_sn4.sys','');
DeleteFile('H:\Setup.exe');
DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
DeleteFile('C:\Games\Читпроги\Ufasoft.rar');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После выполни еще один скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Профикси в HiJackThis (как фиксить - в шапке):

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS.0\system32\csrcs.exe

quarantine.zip из папки AVZ залей на фтп

повтори лог sysinfo (2й стандартный скрипт AVZ) и HiJackThis

[Genius]

Genius

Выполни скрипт AVZ (как выполнять - в шапке):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
QuarantineFile('C:\WINDOWS.0\system32\ntshrui.dll','');
QuarantineFile('C:\Games\Читпроги\Ufasoft.rar','');
QuarantineFile('C:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('H:\Setup.exe','');
QuarantineFile('C:\WINDOWS.0\system32\rebuild.exe','');
QuarantineFile('C:\DOCUME~1\738E~1.WIN\LOCALS~1\Temp\Rar$EX01.782\Ufasoft\Sniffer\usft_sn4.sys','');
DeleteFile('H:\Setup.exe');
DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
DeleteFile('C:\Games\Читпроги\Ufasoft.rar');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После выполни еще один скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Профикси в HiJackThis (как фиксить - в шапке):

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS.0\system32\csrcs.exe

quarantine.zip из папки AVZ залей на фтп

повтори лог sysinfo (2й стандартный скрипт AVZ) и HiJackThis

ftp://ftp.burnet.ru/incoming/users/magistr2/

[VR]

Genius

Выполни скрипт AVZ (как выполнять - в шапке):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('C:\DOCUME~1\738E~1.WIN\LOCALS~1\Temp\Rar$EX01.782\Ufasoft\Sniffer\usft_sn4.sys','');
QuarantineFile('C:\WINDOWS.0\system32\mstask.dll','');
BC_DeleteFile('C:\DOCUME~1\738E~1.WIN\LOCALS~1\Temp\Rar$EX01.782\Ufasoft\Sniffer\usft_sn4.sys');
BC_DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После выполни еще один скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ залей на фтп

повтори лог sysinfo (2й стандартный скрипт AVZ) и HiJackThis

[Genius]

Genius

Выполни скрипт AVZ (как выполнять - в шапке):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('C:\DOCUME~1\738E~1.WIN\LOCALS~1\Temp\Rar$EX01.782\Ufasoft\Sniffer\usft_sn4.sys','');
QuarantineFile('C:\WINDOWS.0\system32\mstask.dll','');
BC_DeleteFile('C:\DOCUME~1\738E~1.WIN\LOCALS~1\Temp\Rar$EX01.782\Ufasoft\Sniffer\usft_sn4.sys');
BC_DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После выполни еще один скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ залей на фтп

повтори лог sysinfo (2й стандартный скрипт AVZ) и HiJackThis

ftp://ftp.burnet.ru/incoming/users/magistr3/

[VR]

Genius

Очистите временные файлы через с помощью ATF Cleaner

– скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

– если вы используете Firefox, нажмите Firefox – Select All – Empty Selected

– нажмите No, если вы хотите оставить ваши сохраненные пароли

– если вы используете Opera, нажмите Opera – Select All – Empty Selected

– нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачай IceSword разархивируй и запусти. Сбоку выбери вкладку файл File откроется аналог проводника в котором найди следующий файл C:\SYSTEM\FILES\ARMY.exe вызови контестное меню этого файла нажав на нем правой клавишей миши и выбери пункт меню delete если удаление не произойдет то выбери force delete

повтори лог sysinfo (2й стандартный скрипт AVZ)

[Genius]

Genius

C:\SYSTEM\FILES\ARMY.exe

Указал данный путь в IceSword'е , но "ARMY.exe" не обнаружил

[VR]

Зайди с помощью IceSword в папку C:\SYSTEM\FILES\ там если увидишь данный файлы ARMY.exe то удаляй с помощью IceSword

[Genius]

Genius

повтори лог sysinfo (2й стандартный скрипт AVZ)

ftp://ftp.burnet.ru/incoming/users/Genius/

[VR]

Genius

Ты это удалял спомощью C:\SYSTEM\FILES\ARMY.exe спомощью IceSword ?

Скачай gmer

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del file "C:\SYSTEM\FILES\ARMY.exe"

И запустите cleanup.bat

Кроме этого нечего вредоносного невижу.

[Genius]

Зайди с помощью IceSword в папку C:\SYSTEM\FILES\ там если увидишь данный файлы ARMY.exe то удаляй с помощью IceSword

''ARMY.exe'' не удалял, т.к. не нашёл его (залил скрин)

ftp://ftp.burnet.ru/incoming/users/magistr2/2.bmp

Скачай gmer

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del file "C:\SYSTEM\FILES\ARMY.exe"

И запустите cleanup.bat

ftp://ftp.burnet.ru/incoming/users/magistr2/1.bmp

залил скрин с ошибкой, отсутвие файла ARMY.exe

[VR]

Genius

Значит все чисто

[Genius]

Genius

Значит все чисто

Огромное спасибо за помощь! *33

[infinitydeluxe]

3. Закройте все активные приложения, включая антивирус и файрвол. Для полной уверености, что не накапает трафик, можете отключиться от Интернета, но в этом случае вы не сможете обновить базы AVZ. Оставьте включеным только браузер - чтобы читать данное руководство

4. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.

5. Запустите AVZ. Обновите базы (Файл-Обновить базы). Затем выполните следующее: отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты. Выберите 3й скрипт ("Скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info"). Нажмите "Выполнить отмеченные скрипты". После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) обязательно выполните перезагрузку компьютера.

6. После перезагрузки запустите AVZ. Выберите из меню Файл-Стандартные скрипты, поставьте галку напротив 2-го скрипта ("Скрипт сбора информации для раздела "Помогите" virusinfo.info") и нажмите "Выполнить отмеченные скрипты".

установил avz4, обновил, проверил как написано выше. перезагрузил и теперь avz4 не запускается.

не могу выполнить 6-ое действие.

каспер тоже не запускается.

ЧТО делать???

ЗЫ

винду вчера поставил. установлены тока дрова. и несколько прог

[VR]

infinitydeluxe

а перменовывать пробывал AVZ пробывал например games.pif?

[infinitydeluxe]

вот

а после перезагрузки

ехе-шник avz пропал, переустановил прогу.

а она все равно не запускается.

появится на 1 сек и изчезает

[D_Master]

infinitydeluxe, погугли полиморфный AVZ, у меня нету

[VR]

infinitydeluxe

Скачай полиморфный AVZ сылка1 сылка2

Сделай так же лог gmer

Если gmer небудет запускатся то перменуй ее на пример в tetris.com

[Batt]

Логи

ftp://ftp.burnet.ru/incoming/users/Batt

Проблема: не изменяется стартовая страница (стоит гугл), не обновляется Касперский, т.к. сам сайт тоже не открывается, и учетные записи пользователя вообще никак не открываются. Help me please

[D_Master]

Batt

Пофикси в HiJackThis (как фиксить - в шапке):

O1 - Hosts: 95.168.172.167 vkontakte.ru
O1 - Hosts: 95.168.172.167 www.vkontakte.ru
O1 - Hosts: 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com

O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe

O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-3ECC3E89.EXE

Выполни скрипт в AVZ (как выполнять - в шапке):

begin
SetServiceStart('Schedule', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\DkO122b0.exe','');
 QuarantineFile('C:\WINDOWS\RavMonE.exe','');
 QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');
 DeleteFile('C:\WINDOWS\system32\XP-3ECC3E89.EXE');
 DeleteFile('C:\WINDOWS\system32\DkO122b0.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('E:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

Повтори логи HiJackThis и 2й стандартный скрипт AVZ

[Batt]

А почему так странно:

Џ®дЁЄбЁ ў HiJackThis (Є Є дЁЄбЁвм - ў и ЇЄҐ):

Код:

O1 - Hosts: 95.168.172.167 vkontakte.ru

O1 - Hosts: 95.168.172.167 www.vkontakte.ru

O1 - Hosts: 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com

Код:

O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe

Код:

O4 - Startup: цццццц.lnk = C:\WINDOWS\system32\XP-3ECC3E89.EXE

‚лЇ®«­Ё бЄаЁЇв ў AVZ (Є Є ўлЇ®«­пвм - ў и ЇЄҐ):

Код:

begin

SetServiceStart('Schedule', 4);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('E:\autorun.inf','');

QuarantineFile('C:\autorun.inf','');

QuarantineFile('C:\WINDOWS\system32\DkO122b0.exe','');

QuarantineFile('C:\WINDOWS\RavMonE.exe','');

QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');

DeleteFile('C:\WINDOWS\system32\XP-3ECC3E89.EXE');

DeleteFile('C:\WINDOWS\system32\DkO122b0.exe');

DeleteFile('C:\autorun.inf');

DeleteFile('E:\autorun.inf');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Љ®¬ЇмовҐа ЇҐаҐ§ Јаг§Ёвбп. Џ®б«Ґ ЇҐаҐ§ Јаг§ЄЁ Ґйс ®¤Ё­:

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

ЂаеЁў quarantine.zip Ё§ Ї ЇЄЁ AVZ § «Ґ© ­ двЇ, ббл«Єг б®®ЎйЁ ¬­Ґ.

Џ®ўв®аЁ «®ЈЁ HiJackThis Ё 2© бв ­¤ ав­л© бЄаЁЇв AVZ

ЗЫ я про Џ®дЁЄбЁ...