Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[VR]

У тебя Win 7 x64?

Попробуй выполнить такой скрипт

QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
QuarantineFile('C:\Windows\system32\drivers\tsusbhub.sys','');
QuarantineFile('C:\Windows\Temp\TS_A3DB.tmp','');
QuarantineFile('C:\Windows\zreklem.exe','');
QuarantineFile('C:\Windows\system32\drivers\synth3dvsc.sys','');
QuarantineFile('C:\Program Files\iZ3D Driver\Win32\S3DInjectionDriver.sys','');
DeleteService('GarenaPEngine');
QuarantineFile('C:\Users\C248~1\AppData\Local\Temp\HHX5A5A.tmp','');
QuarantineFile('Tbsvedr.sys','');
DeleteService('Tbsvedr');
QuarantineFile('C:\Program Files\iZ3D Driver\Win32\S3DCService.exe','');
DeleteFile('Tbsvedr.sys');
DeleteFile('C:\Users\C248~1\AppData\Local\Temp\HHX5A5A.tmp');
DeleteFile('C:\Windows\zreklem.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','33shutochka1aaa332addd');
DeleteFile('C:\Windows\Temp\TS_A3DB.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

begin

[Firebot]

У меня х32

Выполнил, перезагрузился, ок. А теперь что делать? То что в предыдущем посте?

Из процессов исчез PING.EXE пока нету...

[Prov1rus]

Firebot http://www.securelist.com/ru/descriptions/24235673/Trojan-Clicker.JS.Agent.op

[VR]

Firebot

Выполни скрипт AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. 

quarantine.zip из папки AVZ выложи на файлообменик

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[Firebot]

http://files.mail.ru/AIORSX quarantine.zip

http://files.mail.ru/RTV87F virusinfo_syscheck.zip

[VR]

Firebot

в логах чисто

[gickpool]

Не запускается AVZ и вместе с ним несколько программ.

[VR]

gickpool

перменовывать пробовал avz например в explorer.exe если не поможет то скачай полимофную avz здесь и ей сделай логи

[gickpool]

Как только запускаю скрипт программа закрывается с ошибкой.

[VR]

Попробуй проверить систему эти

[gickpool]

HiJackThis

AVZ

Просмотри пожалуйста.

[aRger]

Здравствуйте. Нужна срочная помощь.

Вчера брат сидел, качал рефераты, набрал данные в поисковике и начал переходить по ссылкам, которые предоставил гугл. По дополнительным ссылкам не переходил, по баннерам всяким не кликал. Спустя пару минут после начала поиска, опера сама по себе закрылась и вылез xp anti-spyware, который начал проверять все на вирусы, нашел штук 20 их. Антивирус стоит нод, вроде работал нормально. Этот xp antispyware заблокировал возможность выхода в интернет через оперу, мозиллу, инет эксплорер. Скайп и торрент продолжали нормально функционировать. Через скайп знакомый скинул мне Dr web cureit и я его запустил. Нашел 2 вируса в папке system32, потребовал перезагрузки. После перезагрузки из программ запустились только xp anti spyware, скайп, нод не смогли. Операционная система windows xp sp3. И еще я не могу видеть скрытые файлы. Нажимаю как обычно через "сервис", "показывать скрытые файлы и папки", "применить", "ок", но папки все равно не видно. Открываю снова "сервис", галочка снова стоит напротив "не показывать скр файлы и папки". После перезагрузки комп очень сильно тормозит, курсор двигается рывками.

[VR]

aRger

Делай логи как написано в шапке темы.

Добавлено спустя 21 минуту 35 секунд:

gickpool

В логах чисто. Ты делал проверку системы kaspersky removal tool?

[aRger]

http://zalil.ru/30807838

http://zalil.ru/30807839

[VR]

aRger

Скрипт сформировался как то криво, не все проверки были проведены. Когд делал скрипт нод был включен? Следует отключать антивирус на время выполнения скрипта.

Выполни скрипт AVZ (как выполнить скрипт в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ieudinit.exe','');
QuarantineFile('C:\WINDOWS\System32\syssetup.dll','');
QuarantineFile('C:\Program Files\mos.exe','');
DeleteFile('C:\Program Files\mos.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

begin

Выполни скрипт AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. 

quarantine.zip из папки AVZ выложи на файлообменик

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[aRger]

VR Да, был включен. В прошлые разы просто он не включался, а тут че то включился. Переделать скрипт?

попытался сделать этот скрипт

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\system32\ieudinit.exe','');

QuarantineFile('C:\WINDOWS\System32\syssetup.dll','');

QuarantineFile('C:\Program Files\mos.exe','');

DeleteFile('C:\Program Files\mos.exe');

BC_ImportAll;

ExecuteSysClean;

ExecuteWizard('TSW',2,3,true);

BC_Activate;

RebootWindows(true);

end.

но вылезла такая надпись:

Access violation at adress 02C6AB79. Write of address 02D5DFA4.

Добавлено спустя 43 секунды:

Надо ли делать следующие 2 скрипта, если щас вылезла такая надпись?

[gickpool]

VR

да я сделал проверку. Вирус заразил все exe файлы. сейчас все нормально.

[KOHCTPyKTOP T]

Вроде сделал не посмотрите?

http://file.sibnet.ru/get/file/?id=984289

http://file.sibnet.ru/get/file/?id=984291

[VR]

Надо ли делать следующие 2 скрипта, если щас вылезла такая надпись?

да сделай сейчас 2й стандартный скрипт, и на время выполения скрипта закрой все программы и обязательно выключи нод

Добавлено спустя 6 минут 2 секунды:

KOHCTPyKTOP T

В логах чисто

[aRger]

Надо ли делать следующие 2 скрипта, если щас вылезла такая надпись?

да сделай сейчас 2й стандартный скрипт, и на время выполения скрипта закрой все программы и обязательно выключи нод

http://zalil.ru/30809989

комп жутко тормозит, даже флэшку открыть не мог сначала, писал: не хватает ресурсов. После перезагрузки только получилось скинуть на флэшку.

[VR]

aRger

Выполни скрипт AVZ (как выполнить скрипт в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntshrui.dll','');
QuarantineFile('C:\WINDOWS\system32\iertutil.dll','');
QuarantineFile('C:\WINDOWS\system32\ieudinit.exe','');
QuarantineFile('C:\Program Files\mos.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\CM108.sys','');
TerminateProcessByName('c:\documents and settings\admin\local settings\application data\iix.exe');
QuarantineFile('c:\documents and settings\admin\local settings\application data\iix.exe','');
DeleteFile('c:\documents and settings\admin\local settings\application data\iix.exe');
DeleteFile('C:\Program Files\mos.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

begin

Выполни скрипт AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[aRger]

http://zalil.ru/30813949 quarantine

http://zalil.ru/30813950 virusinfo

[VR]

aRger

Выполни скрипт AVZ (как выполнить скрипт в шапке)

DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
ImagePathStr, RootStr, SubRootStr, LangID: string;
AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

procedure CheckAndRestoreSection(Root: String);
begin
Inc(AllRoots);
if RegKeyExistsEx('HKLM', Root)
then RegKeyResetSecurity('HKLM', Root)
else
begin
Inc(RootsRestored);
RegKeyCreate('HKLM', Root);
AddToLog(RegSectMsg + Root + RestMsg);
end;
end;

procedure CheckAndRestoreSubSection;
begin
CheckAndRestoreSection(SubRootStr);
end;

procedure RestoredMsg(Root, Param: String);
begin
AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
Inc(KeysRestored);
end;

procedure FixedMsg(Root, Param: String);
begin
AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
Inc(KeysFixed);
end;

procedure RestoreStrParam(Root, Param, Value: String);
begin
RegKeyStrParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;

procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param)
then RestoreStrParam(Root, Param, Value);
end;

procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
begin
RegKeyIntParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;
end;

procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, Param)
then
begin
ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
RestoredMsg(RootStr, Param);
end;
end;

// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
RegStr:= 'SYSTEM\' + Node + '\Services\' + Srv;
if RegKeyExistsEx('HKLM', RegStr) then
begin
Inc(AllKeys);
RegKeyResetSecurity('HKLM', RegStr);
RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
FixedMsg(RegStr, 'ImagePath');
end;
end;

{ Выполнение исправление всех ключей в ветках -
'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
i : integer;
begin
if Srv = 'BITS'
then FileServiceDll := FullPathSystem32 + 'qmgr.dll'
else FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

CheckAndRestoreSection(RootStr);

CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, 'ImagePath')
then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
else
begin
Dec(AllKeys);
if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr)
then
for i:= 0 to 999 do
begin
if i > 0
then CCSNumber:= FormatFloat('ControlSet000', i)
else CCSNumber:= 'CurrentControlSet';
ImagePathFix(CCSNumber, Srv);
end;
end;

CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
CheckAndRestoreIntParam(RootStr, 'Start', 2);
CheckAndRestoreIntParam(RootStr, 'Type', 32);

if Srv = 'BITS'
then
begin
CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
end;

SubRootStr:= RootStr + '\Enum';
CheckAndRestoreSubSection;

CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

SubRootStr := RootStr + '\Security';
CheckAndRestoreSubSection;

Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
begin
RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
RestoredMsg(SubRootStr, 'Security');
end;

SubRootStr:= RootStr + '\Parameters';
CheckAndRestoreSubSection;

Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll')
then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
RestoredMsg(SubRootStr, 'ServiceDll');
end
else
if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll)
then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
FixedMsg(SubRootStr, 'ServiceDll');
end
end;

{ Главное выполнение }
begin
ClearLog;
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
if LangID = '0419'
then
begin
DescriptionTextWuauServ:= 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
DispayNameTextWuauServ:= 'Автоматическое обновление';
DescriptionTextBITS:= 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
DispayNameTextBITS:= 'Фоновая интеллектуальная служба передачи (BITS)';
AddToLog('Операционная система - русская');
FinishMsg:= '–––– Восстановление завершено ––––';
RestoreMsg:= 'Восстановлено разделов\параметров: ';
FixMsg:= 'Исправлено параметров: ';
CheckMsg:= 'Проверено разделов\параметров: ';
RegSectMsg:= 'Раздел реестра HKLM\';
ParamMsg:= 'Параметр ';
ParamValueMsg:= 'Значение параметра ';
InRegSectMsg:= ' в разделе реестра HKLM\';
CorrectMsg:= ' исправлено на оригинальное.';
RestMsg:= ' восстановлен.';
end
else
if LangID = '0409'
then
begin
DescriptionTextWuauServ:= 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
DispayNameTextWuauServ := 'Automatic Updates';
DescriptionTextBITS:= 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
DispayNameTextBITS:= 'Background Intelligent Transfer Service';
AddToLog('Operation system - english');
FinishMsg:= '–––– Restoration finished ––––';
RestoreMsg:= 'Sections\parameters restored: ';
FixMsg:= 'Parameters corrected: ';
CheckMsg:= 'Sections\parameters checked: ';
RegSectMsg:= 'Registry section HKLM\';
ParamMsg:= 'Parameter ';
ParamValueMsg:= 'Value of parameter ';
InRegSectMsg:= ' in registry section HKLM\';
CorrectMsg:= ' corrected on original.';
RestMsg:= ' restored.';
end;
AddToLog('');

{ Определение папки X:\Windows\System32\ }
NameFolderSystem32:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
ImagePathStr:= NameFolderSystem32 + '\svchost.exe -k netsvcs';
Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
FullPathSystem32:= GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';

AllRoots:= 0;
AllKeys:= 0;
RootsRestored:= 0;
KeysRestored:= 0;
KeysFixed:= 0;

CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

AddToLog('');
AddToLog(FinishMsg);
AddToLog('');
AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
AddToLog(FixMsg + IntToStr(KeysFixed));
AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
end.

var

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

Что с проблемами?

[aRger]

http://zalil.ru/30814069

комп все также тормозит. Зато перестал вылазить xp anti-spyware. Через оперы в инет выйти не смог, но если раньше блокировал antispyware, то сейчас вылазит просто ошибка: невозможно найти удаленный сервер..........

Курсор мыши перестал быть простым белым, стал как раньше. Меню пуск и панель задач очень упрощенные на вид, не так как раньше и он не отображает свернутые окна. через альттаб видит, а в панели нет.

[VR]

aRger

А что с Internet Explorer?

В опере проверь не прописан ли в настройках левый прокси, для этого зайди в настройки - Расширенные - Сеть и в Прокси-Серверы.. если там прописан прокси то сними галочку использовать прокси

Выполни скрипт AVZ (как выполнить скрипт в шапке)

ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end.

begin

Что с проблемами после выполнения скрипта?