Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[VR]

giper86

Скачай Gmer ftp://ftp.burnet.ru/incoming/users/VR/gmer.zip. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. Залей на фтп сылку кинь здесь

nefi

А его вообще там нет, был только тут C:\Documents and Settings\All Users\Документы\

Всетаки выполни скрипт, по логом этот файл есть.

[nefi]

VR, я на С антивирус поставила, убил с десяток файлов. Но скрипт сделаю! СПасибо.

[2 good of Baz!X]

D_Master

VR

ftp://ftp.burnet.ru/incoming/users/Duffman/

Спасайте ребята, плиз)))

[D_Master]

2 good of Baz!X

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):

SetServiceStart('mnmsrvc', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187332');
QuarantineFile('C:\WINDOWS\system32\Drivers\sptd.sys','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
DeleteFile('H:\autorun.inf');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

begin

Компьютер перезагрузится. После перезагрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залей на фтп, ссылку сообщи мне.

---

Сделай новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

Для отключения возможности автозапуска со съемных устройств, советую отключить автозапуск.

[2 good of Baz!X]

вай, благодарю)))))))))))))))))) бальшое спасибо =) щас выложу новый лог

[D_Master]

2 good of Baz!X

После выполнения первого скрипта флэшки подключались?

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):

SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('c:\program files\common files\logishrd\lvmvfm\lvprcsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\VIDEX32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\3112Rx47.sys','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\BLUE.exe');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
DeleteFile('C:\System Volume Information\_restore{9BFF8A1E-3CAA-45C3-8DA0-326C3BA2F060}\RP4\A0013518.exe');
DeleteFile('C:\System Volume Information\_restore{9BFF8A1E-3CAA-45C3-8DA0-326C3BA2F060}\RP4\A0013594.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

Компьютер перезагрузится. После перезагрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залей на фтп, ссылку сообщи мне.

---

После загрузки компьютера скачай ATF Cleaner, запусти. Отметь галочкой пункт "Select All" и нажми "Empy Selected". Это позволит очистить временные файлы. Если хочешь сохранить сессии на сайтах и сохраненные пароли, сними галочку с "Cookies" (куки только Internet Explorer). Затем, после очистки, перейди на вкладку Firefox или Opera (в зависимости от того, какой браузер используешь), и выдели все пункты. Если хочешь сохранить сессии на сайтах и сохраненые пароли, сними галчоки с "Opera Cookies" (или "Firefox Cookies") и "Opera Saved Passwords" (или "Firefox Saved Passwords") и нажми "Empty selected".

---

Скачай Malwarebytes' Anti-Malware. Установи, обнови базы и выбери Perform Full Scan (Провести полную проверку), нажми Scan (Проверить), после сканирования выбери Ок и далее Show Results (Показать результаты), нажми "Remove Selected" (Удалить выделенные). После удаления открой лог и скопируй в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

---

Скачай RSIT, запусти, в выпадающем списке выбери пункт "3 Months" и нажми "Contimue". После окончания сканирования откроются файлы log.txt и info.txt. Сохранены они в папке C:\RSIT\. Так же, загрузи их на фтп.

---

После всего этого запусти AVZ, обязательно обнови базы! В меню AVZPM выбери пункт "Установить драйвер расширенного мониторинга процессов". Дождись окончания установки и перезагрузи компьютер.

---

Повтори логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и HiJackThis

[giper86]

VR я просканировал gmer'ом кидаю логи лови ftp://ftp.burnet.ru/incoming/users/sevkavTV

там вроде определил ROOTKITA модифицировавшего svchost.exe я думаю ты увидешь, че с ним сделать?

[VR]

giper86

Это лог экспресс-проверки. Нужен полный лог.

Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[VR]

У тебя кидо.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner ftp://ftp.burnet.ru/incoming/users/VR/ATF-Cleaner.exe, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь ftp://ftp.burnet.ru/incoming/users/VR/ComboFix.exe и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
C:\WINDOWS\system32\aenxf.dll
Driver::
rqsymqpk
Folder::

Registry::

FileLook::

DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и выложи на фтп.

[giper86]

VR я сделал логи ComboFix они здесь ftp://ftp.burnet.ru/incoming/users/sevkavTV

[VR]

giper86

Надеюсь эти заплатки установленны если нет то установи.

Установи следующие заплатки

MS08-067 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958644-x86-RUS.exe

MS08-068 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB957097-x86-RUS.exe

MS09-001 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958687-x86-RUS.exe

После установки заплаток просканируй компьютер утилитой KidoKiller_v3.4.1. ftp://ftp.burnet.ru/incoming/users/VR/KKiller_v3.4.1.zip

Сделай №2 стандартный скрипт AVZ с включенным AVZMP, Файл-AVZMP-Включить драйвер расширенного мониторинга процессов, после выполнения скрипта перезагрузитесь, лог и карантин выложи на фтп.

[giper86]

VR все сделал выложил скрипт AVZ на ftp://ftp.burnet.ru/incoming/users/sevkavTV

[baikal]

D_Master посмотри ftp://ftp.burnet.ru/incoming/users/baikal/log/

[D_Master]

baikal

C:\Program Files\Зоркий Глаз\ANTIVIRЬ.exe - файл знакомый?

Пофикси в HiJackThis (как фиксить - в шапке):

R3 - URLSearchHook: (no name) -  - (no file)

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):

SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
QuarantineFile('C:\backup\backup.bat','');
QuarantineFile('C:\Program Files\vampina\vampina.exe','');
QuarantineFile('c:\program files\Зоркий Глаз\antivirЬ.exe,'');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

begin

Архив quarantine.zip залей на фтп, ссылку сообщи мне.

В принципе, логи можно сказать чистые.

[VR]

giper86

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::

Driver::
vgscqhfk
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1364:TCP"=-
FileLook::

DirLook::

Collect::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, ComboFix.txt выложи на фтп.

Повтори лог Gmer, так же выложи.

Заплатки установленны? Что сказал KidoKiller?

[baikal]

D_Master

baikal

C:\Program Files\Зоркий Глаз\ANTIVIRЬ.exe - файл знакомый?

это антивирус http://ulanovka.ru/forum/viewtopic.php?t=61665

выполнил

Пофикси в HiJackThis (как фиксить - в шапке): Код:

R3 - URLSearchHook: (no name) - - (no file)

появилось такое соощение

а не такое

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):

в твоём скрипте ошибка

[VR]

baikal

Нажми Scan потом отметь R3 - URLSearchHook: (no name) - - (no file) и Fix Checked

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
ClearQuarantine;
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
 QuarantineFile('C:\backup\backup.bat','');
 QuarantineFile('C:\Program Files\vampina\vampina.exe','');
 QuarantineFile('c:\program files\Зоркий Глаз\antivirЬ.exe','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Карантин выложи на фтп

P. S. Извиняюсь D_Master за вмешательство

[giper86]

да VR заплатки установил. с avz я вылаживал только virusinfo_syscure.zip

Kkiller показал по нулям.

сейчас выложил 3ComboFix.rar и 2gmer_giper86.log вот тут ftp://ftp.burnet.ru/incoming/users/sevkavTV

на этот раз gmer ничего подозрительного не показал.

[baikal]

выложил quarantine.zip ftp://ftp.burnet.ru/incoming/users/baikal/log/

[VR]

giper86

Скачай Malwarebytes' Anti-Malware ftp://ftp.burnet.ru/incoming/users/VR/mbam-setup.exe, установи, обнови базы, выбери "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажми "Remove Selected" (удалить выделенные). Откройте лог и скопируй в тетстовый файл сохрани его и залей на фтп.

Проблеммы еще остались?

[baikal]

Скачай Malwarebytes' Anti-Malware ftp://ftp.burnet.ru/incoming/users/VR/mbam-setup.exe, установи, обнови базы, выбери "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажми "Remove Selected" (удалить выделенные). Откройте лог и скопируй в тетстовый файл сохрани его и залей на фтп.

Проблеммы еще остались?

это мне?

[giper86]

VR ты мне говоришь???

[VR]

Извеняюсь это giper86

[D_Master]

baikal

Извиняюсь за задержку.

Карантин чистый, повтори логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и HiJackThis.

[Garib]

Ребята выручайте у меня какаято хрень постоянно вылазит, скатина замучала