Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[Tuman]

VR

Файлы музыки (.mp3) - не приложения win32. Подозрения на вирусы, посмотри пожалуйста:

http://disk.tom.ru/hcf4t7u

[Roland]

Товарищи у меня вот такая поблемка (может и не та тема совсем, но похожую не нашел) - у меня тариф Венера, ограничение на скачку соответсвенно 60 гиг. с начала мая скачал всего лишь 2 гига с внешки а накапало целых 5 с чем то, может кто-нибудь объяснитьв чем тут дело и как это можно исправить ???

[VR]

Tex

дрова SF здесь

чисто

Добавлено спустя 13 минут 25 секунд:

Tuman

Выполни скрипт AVZ (как выполнить скрипт в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
QuarantineFile('C:\WINDOWS\system32\ntshrui.dll','');
QuarantineFile('C:\PROGRA~1\MICROS~3\Office14\1049\GrooveIntlResource.dll','');
QuarantineFile('C:\DOCUME~1\Adr\LOCALS~1\Temp\PXN7BF.tmp','');
QuarantineFile('\\?\globalroot\systemroot\system32\eg6qbKO.exe','');
StopService('Netprotocol');
DeleteService('Netprotocol');
QuarantineFile('C:\Documents and Settings\Adr\Application Data\netprotocol.exe','');
QuarantineFile('c:\windows\system32\rundll32.exe','');
QuarantineFile('c:\documents and settings\adr\application data\qipguard\qipguard.exe','');
TerminateProcessByName('c:\documents and settings\adr\application data\netprotocol.exe');
QuarantineFile('c:\documents and settings\adr\application data\netprotocol.exe','');
DeleteFile('c:\documents and settings\adr\application data\netprotocol.exe');
DeleteFile('C:\Documents and Settings\Adr\Application Data\netprotocol.exe');
DeleteFile('\\?\globalroot\systemroot\system32\eg6qbKO.exe');
DeleteFile('C:\DOCUME~1\Adr\LOCALS~1\Temp\PXN7BF.tmp');
BC_DeleteFile('C:\DOCUME~1\Adr\LOCALS~1\Temp\PXN7BF.tmp');
DeleteFile('C:\!Моё!\Progs\Internet_Download_Manager_5.15_Build_4_+_Patch_+_Keygen.rar');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
RebootWindows(true);
end.

begin

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

Сделать лог AVZ (2й стандартный скрипт AVZ)

Добавлено спустя 39 секунд:

Товарищи у меня вот такая поблемка (может и не та тема совсем, но похожую не нашел) - у меня тариф Венера, ограничение на скачку соответсвенно 60 гиг. с начала мая скачал всего лишь 2 гига с внешки а накапало целых 5 с чем то, может кто-нибудь объяснитьв чем тут дело и как это можно исправить ???

Поставь нормальный фаервол. Если подозреваешь заражение то делай логи

[Tex]

VR

Большое спасибо(:

[Tuman]

VR

http://disk.tom.ru/a3tmpdd

[Unreal]

Карантин

лог 2

[ligalize]

Выложи тогда минидампы которые создаются, они находятся в папке %SystemRoot%\Minidump последний по времени дамп

http://file.sibnet.ru/get/file/?id=834753

http://file.sibnet.ru/get/file/?id=834754

[VR]

Unreal

Выполни скрипт AVZ (как выполнить скрипт в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('dtscsi');
DeleteService('Regview Controler');
QuarantineFile('C:\WINDOWS\System32\Drivers\dtscsi.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Regview.exe','');
QuarantineFile('C:\MAD\TRACK\mad.exe','');
QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
QuarantineFile('C:\xAVx\ReleAsE\xAVy.exe','');
QuarantineFile('C:\KALBA\MAAFENA\LAXOURY.exe','');
DeleteFile('C:\KALBA\MAAFENA\LAXOURY.exe');
DelCLSID('{12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441}');
DelCLSID('{14MAD6M8-1MAD-81AD-JIM6-26OP5G3369085}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC2A323342}');
DelCLSID('{67MAD3M8-3MAD-81AD-MAD6-78OP5G1234521}');
DeleteFile('C:\xAVx\ReleAsE\xAVy.exe');
DeleteFile('C:\BIN\RECYCLE\Bin.exe');
DeleteFile('C:\MAD\TRACK\mad.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Regview.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\Regview.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\dtscsi.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\dtscsi.sys');
DeleteFile('C:\WINDOWS\system32\cmdow.exe');
BC_DeleteFile('C:\WINDOWS\system32\cmdow.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. 

quarantine.zip из папки AVZ выложи на файлообменик

С делай новый лог AVZ (2й стандартный скрипт AVZ)

Добавлено спустя 16 минут 58 секунд:

Tuman

Выполни скрипт AVZ (как выполнить скрипт в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\netprotocol.dll','');
DeleteFile('C:\WINDOWS\system32\netprotocol.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. 

quarantine.zip из папки AVZ выложи на файлообменик

Сделать заново лог AVZ (2й стандартный скрипт AVZ)

Добавлено спустя 31 минуту 5 секунд:

ligalize

Выложи тогда минидампы которые создаются, они находятся в папке %SystemRoot%\Minidump последний по времени дамп

http://file.sibnet.ru/get/file/?id=834753

http://file.sibnet.ru/get/file/?id=834754

Analyzing "N:\Mini050710-01.dmp", please wait... Done.

Crash date:         Fri May  7 14:40:48.796 2010 (GMT+9)
Stop error code:    0x9C_AuthenticAMD
Process name:       RTLCPL.exe
Probably caused by: Unknown_Image ( ANALYSIS_INCONCLUSIVE ) 

Analyzing "N:\Mini050710-02.dmp", please wait... Done.

Crash date:         Fri May  7 18:48:53.218 2010 (GMT+9)
Stop error code:    0x9C_AuthenticAMD
Process name:       RTLCPL.exe
Probably caused by: Unknown_Image ( ANALYSIS_INCONCLUSIVE )

У тебя в обоих дампах ошибка 0x0000009C, о данной ошибки можно почитать тут http://support.microsoft.com/kb/329284/ru

Ищи причину ошибки вот по этим рекомендациям http://www.oszone.net/8774/Drivers_List#general

[Ily@]

Собственно вот(делал вроде все по пунктам на 1 стр)

[Tuman]

VR

http://disk.tom.ru/2hqmg4s

[VR]

Tuman

Выполни скрипт AVZ (как выполнить скрипт в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Adr\LOCALS~1\Temp\QDM6B1.tmp','');
DeleteFile('C:\DOCUME~1\Adr\LOCALS~1\Temp\QDM6B1.tmp');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

С делай новый лог AVZ (2й стандартный скрипт AVZ)

Что с проблеммами?

Добавлено спустя 12 минут 47 секунд:

Ily@

Выполни скрипт AVZ (как выполнить скрипт в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\1thes92p.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\1thes92p.exe','');
QuarantineFile('C:\1thes92p.exe','');
QuarantineFile('E:\Музыка\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3','');
QuarantineFile('C:\WINDOWS\Temp\nodqq.exe','');
QuarantineFile('C:\WINDOWS\Temp\nodqq0.dll','');
DeleteFile('C:\WINDOWS\Temp\nodqq0.dll');
DeleteFile('C:\WINDOWS\Temp\nodqq.exe');
DeleteFile('E:\System Volume Information\_restore{DED7A4D7-95DA-405B-BAB2-FB4A803D771F}\RP4\A0007352.exe');
DeleteFile('E:\System Volume Information\_restore{DED7A4D7-95DA-405B-BAB2-FB4A803D771F}\RP4\A0036665.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\1thes92p.exe');
DeleteFile('D:\1thes92p.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\1thes92p.exe');
DeleteFileMask('C:\WINDOWS\Temp\', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
RebootWindows(true);
end.

begin

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. 

quarantine.zip из папки AVZ выложи на файлообменик

С делай новый лог AVZ (2й стандартный скрипт AVZ)

[Ily@]

VR

quarantine.zip

2й стандартный скрипт

То что я сейчас сделал не помогло.Не все вирусы удалились.У меня Nod пишет что вирус в оперативе.

Вот этот вирус.

Че я только не делал.Ни один антивирус не может удалить.

Даже форматирование не помогло.

[Tuman]

VR

Да вот недавно не мог авторизоваться ни на один сайт, сейчас всё нормально. Сейчас открываю любой файл формата .mp3 (музыка), выходит окно, которое говорит, что эти файлы не являются приложениями Win32

http://disk.tom.ru/yd8ysg3

[VR]

Tuman

В логах чисто

Попробуй выполнить следующее, в контестное меню любого файла mp3 выбрать Открыть с помощью - Выбрать программу в открывшемся окне выбрать свою проигрыватель через который слушаешь музыку и поставить флажок Использовать ее для всех файлов этого типа и нажать ОК.

Добавлено спустя 12 минут 52 секунды:

Ily@

Выполни скрипт AVZ (как выполнить скрипт в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\termsrv.dll','');
DeleteFile('c:\windows\system32\termsrv.dll');
BC_DeleteFile('c:\windows\system32\termsrv.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

С делай новый лог AVZ (2й стандартный скрипт AVZ)

[Tuman]

VR

ПКМ - Открыть с помощью - Выбрать программу - Вместо списка программ вылезает блокнот и пробует загрузить музыку *60

Наеврное винда глючная

ЗЫ: Спасибо за логи

[Far East]

Tuman

Возьми aimp или winamp и добавляй через программу

[VR]

Tuman

Это только на mp3 или на других типах файлов так же.

[Tuman]

Far East

Так и делаю :0, но всё равно непривычно.

VR

На всех типах. В первый день, когда поставил систему - такого не было.

[Ily@]

VR

quarantine.zip

virusinfo_syscheck.zip

Ух спасибо тебе уважаемый VR вроде удалился.

[VR]

Ily@

В логах чисто. Проблемы остались?

Добавлено спустя 16 минут 17 секунд:

Tuman

Примени твик реестра(как применить смотри в шапке темы)

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With]
@="{09799AFB-AD67-11d1-ABCD-00C04FC30936}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu]
@="{A470F8CF-A1E8-4f65-8335-227475AA5C46}"

И еще один твик

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.mp3]
"PerceivedType"="audio"
"Content Type"="audio/mpeg"
@="mp3file"

[HKEY_CLASSES_ROOT\.mp3\OpenWithList]

[HKEY_CLASSES_ROOT\.mp3\OpenWithList\wmplayer.exe]

[HKEY_CLASSES_ROOT\.mp3\OpenWithProgIds]
"mp3file"=hex(0):

[HKEY_CLASSES_ROOT\.mp3\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

После чего проверь работу меню открыть с помощью, а так же воспроизведения mp3

[Tuman]

VR

Всё сделал и перезагрузил компьютер - всё также ...

[VR]

Tuman

Тогда такой еще твик попробуй

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Unknown\shell\openas\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,75,00,\
  6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,78,00,65,00,20,00,25,00,53,\
  00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,\
  79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,65,00,6c,00,6c,\
  00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,4f,00,70,00,65,00,6e,00,41,00,\
  73,00,5f,00,52,00,75,00,6e,00,44,00,4c,00,4c,00,20,00,25,00,31,00,00,00

Выполни скрипт АВЗ

begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.

Какой результат?

[ligalize]

VR, начитался умных статей- пришел к выводу что сдох кулер на матери- частое явление на моей серии ((

[VR]

ligalize

И какой результат после замены?

[ligalize]

VR

еще не заменил ((, обчитался всяких форумов все что советуют, уже сто лет в обед как не продается. кулер на чипсете лежит фактически под видюхой, расстояние минимальное, что туда можно запихать то ?