Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[IgA]

посмотрите пожалуйста

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[VR]

ayubaz

Выполни скрипт AVZ (как выполнить скрипт в шапке)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ice_time.dll','');
QuarantineFile('prio.dll','');
QuarantineFile('C:\WINDOWS\system32\ice_time.dll','');
QuarantineFile('C:\WINDOWS\system32\prio.dll','');
QuarantineFile('C:\WINDOWS\system32\XP-20F98D30.EXE','');
QuarantineFile('C:\Program Files\БИОСТАТИСТИКА\biostat.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pcouffin.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\cdrbsdrv.SYS','');
QuarantineFile('C:\WINDOWS\system32\Drivers\vidstub.sys','');
QuarantineFile('C:\WINDOWS\system32\quartz.dll','');
QuarantineFile('C:\WINDOWS\system32\mui\0019\hhctrlui.dll','');
QuarantineFile('C:\WINDOWS\system32\bgsvcgen.exe','');
QuarantineFile('c:\windows\system32\bgsvcgen.exe','');
DeleteFile('C:\WINDOWS\system32\XP-20F98D30.EXE');
QuarantineFile('C:\WINDOWS\system32\ntshrui.dll','');
DeleteFile('ice_time.dll');
DeleteFile('prio.dll');
DeleteFile('C:\WINDOWS\system32\ice_time.dll');
DeleteFile('C:\WINDOWS\system32\prio.dll');
BC_DeleteFile('C:\WINDOWS\system32\XP-20F98D30.EXE');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
RebootWindows(true);
end.

Выполни скрипт AVZ

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Выложи quarantine.zip из папки AVZ

Заново сделать лог AVZ (2й стандартный скрипт AVZ) и лог hijackthis

http://file.sibnet.ru/get/file/?id=776256

ссылка битая

Добавлено спустя 13 минут 57 секунд:

IgA

Нечего плохого в логах не увидел

Версия Windows: 5.1.2600, Service Pack 2

Уже давно пора было поставить Service Pack 3

[IgA]

VR

хм... странно, я думал 4ёт есть.... т.к. когда по ссылкам перехожу, из аськи, или агента, то открывается Media Player, да ещё и процессы какие .....

[VR]

хм... странно, я думал 4ёт есть.... т.к. когда по ссылкам перехожу, из аськи, или агента, то открывается Media Playe

Проверь ассоциации файлов

да ещё и процессы какие .....

какие именно подозрительные процессы?

[IgA]

Проверь ассоциации файлов

а как это сделать??

какие именно подозрительные процессы?

[VR]

IgA

Все приведенные тобой процессы это ситемные процессы винды

[IgA]

VR

сори тогда)) и спс....

[Hover]

VR

делал всё до 8 пункта как написано, что он там писал, писал.

Ничё не понял.

Потом 8 пункт вроде что то тыкнул, а как заархивировать(hijackthis.log в архив просто кинуть)? И что там архивировать, голову сломаеш.

вот такой файл появился

hijackthis.log

---

а потом, что скрипты надо делать? загрузить надо?(а что, я ничего не сохранял)

Объясни плиз, а то там расписано что только те кто в компах хорошо шарят поймут, а остальные как в тумане.

---

у меня вирусня появилась, я касперским проверил 3 торяна удалил до этого, и после этого когда заходиш на локальный диск, он его не определяет (пишет какой прогой открыть)

[VR]

Hover

Выложи на любой файлообменик файлы логов из каталоге где находится авз есть папка LOG изнее надо выложит файл virsinfo_syscure.zip и virusinfo_syscheck.zip а так же лог HijackThis это файл hijackthis.log можешь его не архивировать, а так выложить.

а потом, что скрипты надо делать? загрузить надо?(а что, я ничего не сохранял)

Объясни плиз, а то там расписано что только те кто в компах хорошо шарят поймут, а остальные как в тумане.

Потом когда выложишь логи посмотрим что надо делать.

[Hover]

virusinfo_syscheck.zip

virsinfo_syscure.zip

_______

hijackthis.log

____блин, так не так

[VR]

Hover

Да все правильно сделал.

Выполни скрипт AVZ (как выполнить скрипт в шапке)

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Install\новый софт (2007-2009)\новый софт\Cdr_w\CloneCDRus\ClonrCDreg.exe','');
QuarantineFile('C:\Install\kasper\программы\Помощь\Всё по касперу\KasperskyTrialReset.rar','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\SystemRoot\System32\drivers\vidstub.sys','');
QuarantineFile('C:\PROGRA~1\MDaemon\WebAdmin\WebAdmin.exe','');
QuarantineFile('c:\program files\dicter\dicterservice.exe','');
DeleteFile('C:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Выполни скрипт AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Профикси в HijackThis (как фиксить в шапке темы)

R3 - URLSearchHook: (no name) -  - (no file)

Выложи quarantine.zip из папки AVZ

Заново сделать лог AVZ (2й стандартный скрипт AVZ)

[Hover]

сделал,

R3 - URLSearchHook: (no name) -  - (no file)

но не было сообщения

подождал минут 5 и закрыл, заново запустил, теперь так:

______

Выложи quarantine.zip из папки AVZ

__________

virusinfo_syscheck.zip

--------

virsinfo_syscure.zip

[VR]

Hover

проблемы остались?

[Hover]

нормально всё вроде.

касперычем ещё вирусню сёдня нашёл. И тут почистил.

Как заразился хз.

VR спасибо. Я думал то что написал D_Master вообще не въеду))

[Johnny B]

началось с того, что периодически вылетает аська и подвисает браузер... при отключении не известных мне процессов, выделенных красным на

аська работает стабильно, а браузер всё глючит. С сегодняшнего дня заметил - два раза было - в поле быстрого поиска в браузере сами по себе вводятся символы!!!

еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые

. За клавиатурой не ем и не пью )))) клавиши нормально работают, без залипаний. Обратил внимание на одну особенность: сочетание "еуые" при смене раскладки образует слово "test"

И второе - при попытке подключить флэшку появляется со вчерашнего дня

и соответственно флэшку не видит.

[VR]

Johnny B

Нечего плохого в логах не увидел. Ты делал логи предварительно отключив подозрительные процессы.

аська работает стабильно, а браузер всё глючит. С сегодняшнего дня заметил - два раза было - в поле быстрого поиска в браузере сами по себе вводятся символы!!! следующего содержания

еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые .

За клавиатурой не ем и не пью )))) клавиши нормально работают, без залипаний. Обратил внимание на одну особенность: сочетание "еуые" при смене раскладки образует слово "test"

Это дай угадаю появилась вовремя работы АВЗ, это ее работа так АВЗ ищит клавиатурные перехватчики. Все в порядке.

К сожелению картинки я сейчас не увижу так как на работу у меня другой провайдер.

Можешь написать эти процессы?

[Johnny B]

Нечего плохого в логах не увидел. Ты делал логи предварительно отключив подозрительные процессы.

нет, логи делались при этих процессах, тем более скрипт №2 делался сразу после перезагрузки )

так АВЗ ищит клавиатурные перехватчики.

точно сказать не могу, но кажется, авз не работал, когда это проявилось. Как раз факт неконтролируемого процесса ввода данных и сподвиг меня обратиться к вам )

К сожелению картинки я сейчас не увижу так как на работу у меня другой провайдер.

Можешь написать эти процессы?

PsiService_2.exe

SynTPEnh.exe

Насчет флэшки тоже подскажите плз. Пишет, что проблемы с электропитанием... Предпосылок этому не было никаких...

[rafex]

народ, стал проверять свой комп через АВЗ, включил все функции по максимуму и он мне выдал:

Функция NtAlertResumeThread (0D) перехвачена (82093F0D->89B333A0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlertThread (0E) перехвачена (8200CE01->89B33480), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAllocateVirtualMemory (12) перехвачена (82048F19->89B33DC0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtConnectPort (36) перехвачена (81FCEAA7->90059C78), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateMutant (43) перехвачена (820213AC->89B330F0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateThread (4E) перехвачена (82092580->9009D2C0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtFreeVirtualMemory (93) перехвачена (81E85F3F->89B33C20), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtImpersonateAnonymousToken (9C) перехвачена (81FBBEBE->89B331E0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtImpersonateThread (9E) перехвачена (81FD14C0->89B332C0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtMapViewOfSection (B1) перехвачена (82011446->89B33B40), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenEvent (B8) перехвачена (81FFA9E7->89BB5FD0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenProcessToken (C3) перехвачена (820025F8->9001C728), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenThreadToken (CA) перехвачена (8201CE48->89B33918), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtResumeThread (11A) перехвачена (8201C6E5->86D1C100), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetContextThread (121) перехвачена (82093253->89B33858), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetInformationProcess (131) перехвачена (82015474->89B339E8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetInformationThread (132) перехвачена (81FF9EC5->89B33788), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSuspendProcess (14A) перехвачена (82093E47->89BB5EF0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSuspendThread (14B) перехвачена (81F9B929->89B335C8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateProcess (14E) перехвачена (81FF1D5D->9001CAC8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateThread (14F) перехвачена (8201D0CF->89B336A8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtUnmapViewOfSection (15C) перехвачена (82011709->9001C2C8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtWriteVirtualMemory (166) перехвачена (8200E4D9->89B33CF0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Что это значит? еще красным цветом выделил этот текст....

Это значит, что мой комп был взломан, что ли?

[VR]

PsiService_2.exe

SynTPEnh.exe

Эти процессы полностью безопасны первое что то от корола, а второе это утилита тачпада от Synaptics

Насчет флэшки тоже подскажите плз. Пишет, что проблемы с электропитанием... Предпосылок этому не было никаких...

попробуй воткнуть флешку в другой разъем на материнке.

rafex

народ, стал проверять свой комп через АВЗ, включил все функции по максимуму и он мне выдал:

Функция NtAlertResumeThread (0D) перехвачена (82093F0D->89B333A0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAlertThread (0E) перехвачена (8200CE01->89B33480), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtAllocateVirtualMemory (12) перехвачена (82048F19->89B33DC0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtConnectPort (36) перехвачена (81FCEAA7->90059C78), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateMutant (43) перехвачена (820213AC->89B330F0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtCreateThread (4E) перехвачена (82092580->9009D2C0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtFreeVirtualMemory (93) перехвачена (81E85F3F->89B33C20), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtImpersonateAnonymousToken (9C) перехвачена (81FBBEBE->89B331E0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtImpersonateThread (9E) перехвачена (81FD14C0->89B332C0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtMapViewOfSection (B1) перехвачена (82011446->89B33B40), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenEvent (B8) перехвачена (81FFA9E7->89BB5FD0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenProcessToken (C3) перехвачена (820025F8->9001C728), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtOpenThreadToken (CA) перехвачена (8201CE48->89B33918), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtResumeThread (11A) перехвачена (8201C6E5->86D1C100), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetContextThread (121) перехвачена (82093253->89B33858), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetInformationProcess (131) перехвачена (82015474->89B339E8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSetInformationThread (132) перехвачена (81FF9EC5->89B33788), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSuspendProcess (14A) перехвачена (82093E47->89BB5EF0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtSuspendThread (14B) перехвачена (81F9B929->89B335C8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateProcess (14E) перехвачена (81FF1D5D->9001CAC8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtTerminateThread (14F) перехвачена (8201D0CF->89B336A8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtUnmapViewOfSection (15C) перехвачена (82011709->9001C2C8), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Функция NtWriteVirtualMemory (166) перехвачена (8200E4D9->89B33CF0), перехватчик не определен

>>> Функция воcстановлена успешно !

>>> Код перехватчика нейтрализован

Что это значит? еще красным цветом выделил этот текст....

Это значит, что мой комп был взломан, что ли?

Это значит только что данные функции перехватила в процессе своей работы сама АВЗ, есть или нет заражение это не как не показатель. Нужны полные логи а не обрывак хода проверки.

[Johnny B]

попробуй воткнуть флешку в другой разъем на материнке.

если втыкать в другой разъём, то перестает работать и соседний порт, в котором мышь воткнута ))) не было такого никогда )

[ViktorOBM]

D_Master

А можно потом снова включить Восстановление системы? Я чего - то не врубаюсь, где найти логи AVZ? И ещё. Я пользователь СТК, и мне выкладывать на Бурнет запрещено, куда, тогда выкладывать? На Сибнет, а потом ссылку? Или весь текст копировать, и в спойлер вставить?

[Hover]

А можно потом снова включить Восстановление системы?

я тоже забыл спросить

[Дэн]

А антивирус обязательно выключать?

[Tobi]

А антивирус обязательно выключать?

ну раз уж в инструкции написано, что надо (: , а D_Master, плохого не посоветует (:

[Дэн]

Tobi

ок, попытаюсь сделать логи.. вирусня кажись хозяйничает *90