Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[D_Master]

Tigr@

Честно, вопрос - глупость. Ну откуда я могу знать, почему этот файл отсюда удалился, а тот - оттуда?

[Tigr@]

Ну не знаешь да не знаешь. С чего глупость-то, сами по себе файлы не исчезают! *20

Ты невнимательно прочитал мой пост или не понял вопроса. Представь, ты копируешь файл, скопировал значит, и в том месте, откуда ты его скопировал, его нет! Исчез! Именно копировал, а не переносил. Никаких больше действий произведено не было.

[D_Master]

Ты невнимательно прочитал мой пост или не понял вопроса.

Всё я понял.

С чего глупость-то

Хорошо, делай логи, будем смотреть.

[Зориктоха]

у меня вопрос вот в папке C:\RECYCLER\S-1-5-21-3505442485-7458756694-308190355-0203\winservices.exe сидит вирус как от него избавиться? помогите плиз

[D_Master]

Зориктоха

Читаем первый пост.

[The ArGen]

фот переделал сегодня!!

ftp://ftp.burnet.ru/incoming/users/WAYNE/

[D_Master]

ArGen

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):

SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('E:\Installs\Virtual_fcd\VDP.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\RICH20.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\MSISIP.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\MSIMSG.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\MSIHND.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\MSIE.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\MSIA.CAB','');
QuarantineFile('E:\Installs\Virtual_fcd\MM43.CAB','');
QuarantineFile('E:\ОЛЕНЬ\Саша\Программа\Support\Формы.exe','');
QuarantineFile('E:\ОЛЕНЬ\Саша\Программа\Формы.CAB','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe','');
QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('RemoteRegistry', 4);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

Компьютер перезагрузится. После загрузки выполни ещё один:

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

begin

Архив Quarantine.zip из папки AVZ залей на фтп, ссылку напиши сюда.

Скачай Malwarebytes' Anti-Malware. Установи, обнови базы и выбери Perform Full Scan (Провести полную проверку), нажми Scan (Проверить), после сканирования выбери Ок и далее Show Results (Показать результаты), нажми "Remove Selected" (Удалить выделенные). После удаления открой лог и скопируй в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Повтори логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и HiJackThis

[The ArGen]

так..значит лог

Malwarebytes' Anti-Malware 1.31

Версия базы данных: 1456

Windows 5.1.2600 Service Pack 2

02.03.2009 21:23:20

mbam-log-2009-03-02 (21-23-20).txt

Тип проверки: Полная (C:\|D:\|E:\|)

Проверено объектов: 129951

Прошло времени: 1 hour(s), 12 minute(s), 53 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 1

Заражено значений реестра: 0

Заражено параметров реестра: 0

Заражено папок: 1

Заражено файлов: 3

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08b0e5c0-4fcb-11cf-aax5-00401c608512} (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

Заражено папок:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015 (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено файлов:

D:\для FTP\проги\dream_aquarium_xp\Dream Aquarium XP\patch.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

D:\для FTP\проги\FarStone.VirtualDrive.Pro.v11.50.07071718.Incl.Keymaker\Crack\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.

и Quarantine.zip ,логи virusinfo_syscheck.zip иHiJackThis

здесь _> ftp://ftp.burnet.ru/incoming/users/WAYNE/111/

[D_Master]

ArGen

Пофикси в HiJackThis (как фиксить - в шапке):

O23 - Service: Network Driver Interface - Unknown owner - G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe (file missing)

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/F082~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

Выполни скрипт в AVZ:

SetAVZGuardStatus(True);
SearchRootkit(true, true);
StopService('Network Driver Interface');
SetServiceStart('Network Driver Interface', 4);
DeleteService('Network Driver Interface');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe');
DeleteFile('G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

begin

Компьютер перезагрузится.

После загрузки скачай ATF Cleaner, запусти. Отметь галочкой пункт "Select All" и нажми "Empy Selected". Это позволит очистить временные файлы. Если хочешь сохранить сессии на сайтах и сохраненные пароли, сними галочку с "Cookies" (куки только Internet Explorer). Затем, после очистки, перейди на вкладку Firefox или Opera (в зависимости от того, какой браузер используешь), и выдели все пункты. Если хочешь сохранить сессии на сайтах и сохраненые пароли, сними галчоки с "Opera Cookies" (или "Firefox Cookies") и "Opera Saved Passwords" (или "Firefox Saved Passwords") и нажми "Empty selected".

Повтори логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и HiJackThis

[The ArGen]

смотри вот логи virusinfo_syscheck.zip иHiJackThis

ftp://ftp.burnet.ru/incoming/users/WAYNE/112/

[D_Master]

ArGen

1. По логам не вижу установленного антивируса. Каким пользуешься?

2. Флэшки подключались в процессе создания логов? После создания?

Выполни скрипт в AVZ:

SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe');
DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
DelCLSID('23KLN5J0-4OPM-11WE-AAX5-24EF1F387232');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187562');
BC_Activate;
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
end.

begin

Компьютер перезагрузится.

---

Скачай SDFix, загрузись в безопасном режиме. Запусти SDFix.exe, дождись распаковки файлов. Затем запусти файл C:\SDFix\RunThis.bat и нажми Y, затем Enter.

Дождись окончания сканирования и загрузи на фтп файл C:\Report.txt.

---

Скачай ComboFix и сохрани на рабочий стол.

Перед началом работы с ComboFix, необходимо установить консоль восстановления. Скачай

обновление KB310994 (Recovery Console for Windows XP Professional SP2), сохрани на рабочий стол. Затем перетащи файл на иконку ComboFix, подтверди лицензионное соглашение и установи Recovery Console.

После установки Recovery Console, запусти ComboFix.exe с рабочего стола. Внимание! Если ComboFix не запускается, переименуй его в Combo-Fix.exe.

Дождись окончания процесса ComboFix'a и загрузи на фтп файл C:\ComboFix.txt

После окончания работы ComboFix необходимо загрузиться в обычный режим.

---

Скачай RSIT, запусти, в выпадающем списке выбери пункт "3 Months" и нажми "Contimue". После окончания сканирования откроются файлы log.txt и info.txt. Сохранены они в папке C:\RSIT\. Так же, загрузи их на фтп.

---

После всего этого запусти AVZ, обязательно обнови базы! В меню AVZPM выбери пункт "Установить драйвер расширенного мониторинга процессов". Дождись окончания установки и перезагрузи компьютер.

---

Сделай полные логи AVZ (3й и 2й стандартные скрипты AVZ) и HiJackThis.

[The ArGen]

1. По логам не вижу установленного антивируса. Каким пользуешься?

да сейчас нету(форматнул все), до этого были касперский и NOD!!!

2. Флэшки подключались в процессе создания логов? После создания?

а у меня нет сейчас флешки!!!

вопрос

а как загрузится в безопасном режиме??...я не знаю!!

и как загрузиться в обычный режим??

[D_Master]

а как загрузится в безопасном режиме??...я не знаю!!

Нажимай F8 после появления POST-экрана и в появившемся меню загрузки выбирай "Безопасный режим".

да сейчас нету

Поставь и просканируй полностью все диски

до этого были касперский и NOD!!!

Одновременно что ли?

[The ArGen]

D_Master

терь у меня другая проблема...

когда я загружаюсь в безопасном режиме...то система требует пароля....я его не знаю!!!

(т.е. не помню.....в обычном режиме он у меня так заходит, а в безопасном почему-то запрашивает пароль!!!)

Одновременно что ли?

нет....сначало касперский потом NOD!!

[D_Master]

когда я загружаюсь в безопасном режиме...то система требует пароля....я его не знаю!!!

То есть, ты думаешь, что я его знаю?

[The ArGen]

нет ...хыыы...ну это и так понятна!!!!может ты знаещ как его можно заменить!! напиши как и все......!!!!!!!!спасиба заранее!!!

зы: остальное завтра выполню!!!!!!!!

[Opium]

"Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства." - после вот этого сообщения у меня недоступен интернет и начинает глючит компьютер. Поискал в гугле все сводится к обновлениям скачал обновление вот это - "WindowsXP-KB894391-x86-RUS" установил не помогло. Винду жалко переустанавливать инфу терять и настройки всякие. Помогите умоляю!

[VR]

Opium

Установи следующие заплатки

MS08-067 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958644-x86-RUS.exe

MS08-068 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB957097-x86-RUS.exe

MS09-001 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958687-x86-RUS.exe

Просканируй компьютер утилитой KidoKiller_v3.3.2 ftp://ftp.burnet.ru/incoming/users/VR/KidoKiller_v3.3.2.zip

Как заметил на практике kido один не ходит в месте с ним всегда ходит какой ни бут Agent например Trojan-Downloader.Win32.Agent.bcpf, вот он и вызывает эту ошибку. Уже на трех машинах встречал такое скан удаления агента перезагрузка и опять агент на месте пока kido не убьешь он будет заново появляется.

Если не поможет выполни правила из шапки этой темы http://ulanovka.ru/forum/viewtopic.php?t=54237

[giper86]

"Generic Host Process for Win32 Services - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства."

вот-вот такая же лажа была я еще темку писал отрубает инет и все.

кстати VR верно подметил этот вирус Kido с трояном agent. заодно)) и KAV 2009 вроде удалял их, но инет все равно отключался с этой ошибкой.

но за это время я уже успел переустановить винду, но этот вирус все равно появлялся Net-Worm.Win32.Kido.ih (правда я на диск С: переустановил с форматированием, а диск D: не трогал. мож через D проник незнаю)

вообщем помогло KIS 8 и пока не появляется эта ошибка. но я все равно не уверен, что все ок. да и трафик чето начало по многому жрать (нервоз) пожалуй залью логи попозже.

у меня вопрос. на диске с: лежат сис файлы ntldr; autoexec.bat; bootfont.bin; boot.ini; config.sys; hiberfil.sys; io.sys; msdos.sys; pagefile.sys; NTDETECT.com - это случайно не вирус???

[D_Master]

giper86

NTDETECT.COM - не вирус, однако есть зловреды, маскирующиеся под этот файл. Носят они названия NTDE1ECT.COM или NIDEIECT.COM.

[Tex]

логи здесь

[giper86]

giper86

NTDETECT.COM - не вирус, однако есть зловреды, маскирующиеся под этот файл. Носят они названия NTDE1ECT.COM или NIDEIECT.COM.

о спасибо за ответ, я уж думал удалить его нафиг.)) *156

о а случайно не знаешь как настроить KIS8, чтобы лишний трафик нежрало.

а в сетевом экране заметил присутствует процесс GENERIC Host Process for Win32 Services и кушает немножко трафика. - Это так должно быть, а то когда отрубаю этот процесс он вообще к интернету не подключается.

[VR]

Tex

E:\Download\Daemon_Tools_Pro_4.30.0303_Advanced-DARK0D3R\ext.dll >>>>> Trojan.Win32.Small.yhs успешно удален

ты откуда такой daemon tools-то скачал...

[Tex]

отсюда

[D_Master]

ext.dll >>>>> Trojan.Win32.Small.yhs

Ложное срабатывание.