Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[D_Master]

Garib

Если подозрения на вирусы, читаем шапочку.

[giper86]

Garib это вирус KIDO у меня тож такой был в начале темы сделай что требуется и выложи на фтп логи и тебе тут помогут наши мастера-профессионалы: D_Master и VR за доброе дело которое они делают, им большое спасибо

[IlyaVovch]

giper86 Это точно! Лично меня D_Master всегда выручает.

[Garib]

Вот выложил ftp://ftp.burnet.ru/incoming/users/Garib/

Есть также Локальная сеть на 8 машин и эти сообщения появляются одновременно почти у всех.

Сопровождается все это подвисанием ситемы, пропадает звук, остается активным только рабочий стол, и невозможно перезагрузить, только кнопкой ресет на системнике.

Прочитал всю тему и воспользовался советом

Opium

Установи следующие заплатки

MS08-067 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958644-x86-RUS.exe

MS08-068 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB957097-x86-RUS.exe

MS09-001 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958687-x86-RUS.exe

Просканируй компьютер утилитой KidoKiller_v3.3.2 ftp://ftp.burnet.ru/incoming/users/VR/KidoKiller_v3.3.2.zip

Как заметил на практике kido один не ходит в месте с ним всегда ходит какой ни бут Agent например Trojan-Downloader.Win32.Agent.bcpf, вот он и вызывает эту ошибку. Уже на трех машинах встречал такое скан удаления агента перезагрузка и опять агент на месте пока kido не убьешь он будет заново появляется.

Если не поможет выполни правила из шапки этой темы http://ulanovka.ru/forum/viewtopic.php?t=54237

затем продублировал всю процедуру что в Шапке темы

[D_Master]

Garib

По идее, логи чистые.

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):

begin
SetServiceStart('RemoteRegistry', 4);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\hnetcfg.dll','');
 QuarantineFile('H:\Форум\Музон\Топ, Новинки С Разных Сайтов ver.3\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Затем из папки AVZ архив quarantine.zip залей на фтп, ссылку сообщи мне.

Garib это вирус KIDO

giper86

Попрошу в будущем воздержаться от таких заявлений.

Версия Windows: 5.1.2600, Service Pack 2

Лечится отключением служб "Сервер" и "Обозреватель компьютеров", но, так как,

Есть также Локальная сеть на 8 машин

то стоит поставить заплатку KB958644

Советую установить Пакет обновления 3 для семейства операционных систем Windows XP.

[Garib]

Затем из папки AVZ архив quarantine.zip залей на фтп, ссылку сообщи мне.

Готово ftp://ftp.burnet.ru/incoming/users/Garib/

Спасибо за информацию и помощь, если что-то изменится обязательно отпишусь

[D_Master]

Garib

карантин чистый.

[giper86]

giper86

Скачай Malwarebytes' Anti-Malware ftp://ftp.burnet.ru/incoming/users/VR/mbam-setup.exe, установи, обнови базы, выбери "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажми "Remove Selected" (удалить выделенные). Откройте лог и скопируй в тетстовый файл сохрани его и залей на фтп.

Проблеммы еще остались?

закинул лог ftp://ftp.burnet.ru/incoming/users/sevkavTV

[baikal]

D_Master посмотри ftp://ftp.burnet.ru/incoming/users/baikal/log/

[VR]

giper86

В логах все чисто. Проблеммы еще остались?

[giper86]

VR вроде все норм спасибо, а что мы с тобой за все это время выявили?? ну это деяния зловредов. а то если честно я плохо разбираюсь в логах.

[D_Master]

baikal

по логам всё чисто.

[baikal]

D_Master спасибо за проверку системы!

[VR]

giper86

У тебе был сетевой червь kido из-за него и увеличивался трафик.

[Jack_04]

ftp://ftp.burnet.ru/incoming/users/Jack/

Комп вырубается через час...

Ужос!Еле логи сделал..

[giper86]

giper86

У тебе был сетевой червь kido из-за него и увеличивался трафик.

огромное спасибо чуть уменьшился, но все равно сегодня с 00,00 по 12,00 в статистике stbur'a - 0.410Мб сьело(400кб) не пойму, вроде обновления все убрал, все равно видать что-то хочет протиснуться.

на платные сайты вообще не заходил, сидел тока на улановке.

можно ли определить что конкретно сьедает траф? мож traffic inspector'ом проверить?

[Pretor]

хелп,пипл!

недавно флэшку принес,проверил НОДом(за день до этого удалил кис8)

и вылезает ошибка такого вида:

Windows - Диск отсутствует

Exception Processing Message c0000013 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c

"Отмена" "Повторить" "Продолжить"

жму все время отмена на раз 8 исчезает на 10 секунд(

Фаера нет.

нод 3.0.667,0

[VR]

giper86

огромное спасибо чуть уменьшился, но все равно сегодня с 00,00 по 12,00 в статистике stbur'a - 0.410Мб сьело(400кб) не пойму, вроде обновления все убрал, все равно видать что-то хочет протиснуться.

Принципе это нормально, аська, майл-агент или другие месенжеры есть?

Можно уже удалять установленные программы

Для деинсталяции ComboFix с компьютера необходимо выполнить:

Нажать Пуск затем Выполни в окне набери команду Combofix /u (обязательно нужен пробел между х и /), нажми кнопку "ОК"

Скачайте OTCleanIt ftp://ftp.burnet.ru/incoming/users/VR/OTCleanIt.exe, запустите, нажмите Clean up

Перед удалением гмера в папке Windows найдите файл gmer_uninstall.cmd запустите его, после удалите gmer_uninstall.cmd и gmer.ini, теперь можно удалять папку с Гмером.

[krava]

При врубленном торренте через некоторое время вылетает:

"Generic Host Process for Win 32 Services - обнаружена ошибка.

Приложение будет закрыто. Приносим извинения за неудобства."

При проверке Касперосяном удаляется какая-то херь, но через

некоторое время фсё по новой! Шо мона сделать???

[giper86]

krava

логи давай, шапку этой темы читай.

VR

аська, майл-агент или другие месенжеры есть?

вообще ниче нет, давно еще убил

comboFix удалилась

Перед удалением гмера в папке Windows найдите файл gmer_uninstall.cmd запустите его, после удалите gmer_uninstall.cmd и gmer.ini, теперь можно удалять папку с Гмером.

чето немогу найти gmer_uninstall.cmd и через поисковик тоже

OTCleanIt скачал, но она не грузится ошибка вылазит

OTCleanIt - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

подпись ошибки

AppName: otcleanit.exe AppVer: 1.0.6.0 ModName: kernel32.dll

ModVer: 5.1.2600.2180 Offset: 0001eb33

[D_Master]

Jack_04

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):

SetAVZGuardStatus(True);
SearchRootkit(true, true);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
QuarantineFile('D:\RECYCLER\S-8-6-74-100027181-100011619-100030664-8501.com','');
QuarantineFile('D:\RECYCLER\S-6-7-41-100016720-100028081-100009599-2621.com','');
QuarantineFile('D:\RECYCLER\S-4-3-42-100004175-100003435-100029380-7699.com','');
QuarantineFile('D:\RECYCLER\S-4-0-21-100013379-100023239-100018975-1050.com','');
QuarantineFile('D:\RECYCLER\S-3-2-86-100030458-100030873-100020089-7579.com','');
QuarantineFile('D:\RECYCLER\S-0-4-35-100025426-100010926-100023999-6156.com','');
QuarantineFile('D:\RECYCLER\S-0-3-46-100022538-100007906-100017995-2050.com','');
QuarantineFile('C:\RECYCLER\S-8-6-74-100027181-100011619-100030664-8501.com','');
QuarantineFile('C:\RECYCLER\S-4-0-21-100013379-100023239-100018975-1050.com','');
QuarantineFile('C:\RECYCLER\S-3-2-86-100030458-100030873-100020089-7579.com','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\lirsgt.sys','');
QuarantineFile('C:\WINDOWS\system32\vpfprqbg.dll','');
QuarantineFile('C:\WINDOWS\system32\mjwedf.dll','');
QuarantineFile('C:\WINDOWS\system32\juyerq.dll','');
QuarantineFile('C:\WINDOWS\system32\gjgsys.dll','');
QuarantineFile('C:\WINDOWS\system32\fjkbiseh.dll','');
QuarantineFile('C:\WINDOWS\system32\fccyxUkh.dll','');
QuarantineFile('C:\WINDOWS\system32\bwnxmiyk.dll','');
QuarantineFile('C:\WINDOWS\system32\afmain1.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\senekaplphhliq.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atksgt.sys','');
QuarantineFile('D:\Download\слух\fdgfd\vampina.exe','');
DeleteFile('C:\WINDOWS\system32\bwnxmiyk.dll');
DeleteFile('C:\WINDOWS\system32\fccyxUkh.dll');
DeleteFile('C:\WINDOWS\system32\fjkbiseh.dll');
DeleteFile('C:\WINDOWS\system32\gjgsys.dll');
DeleteFile('C:\WINDOWS\system32\iifgGASM.dll');
DeleteFile('C:\WINDOWS\system32\drivers\senekaplphhliq.sys');
DeleteFile('C:\RECYCLER\S-3-2-86-100030458-100030873-100020089-7579.com');
DeleteFile('C:\RECYCLER\S-4-0-21-100013379-100023239-100018975-1050.com');
DeleteFile('C:\RECYCLER\S-8-6-74-100027181-100011619-100030664-8501.com');
DeleteFile('D:\RECYCLER\S-0-3-46-100022538-100007906-100017995-2050.com');
DeleteFile('D:\RECYCLER\S-0-4-35-100025426-100010926-100023999-6156.com');
DeleteFile('D:\RECYCLER\S-3-2-86-100030458-100030873-100020089-7579.com');
DeleteFile('D:\RECYCLER\S-4-0-21-100013379-100023239-100018975-1050.com');
DeleteFile('D:\RECYCLER\S-4-3-42-100004175-100003435-100029380-7699.com');
DeleteFile('D:\RECYCLER\S-6-7-41-100016720-100028081-100009599-2621.com');
DeleteFile('D:\RECYCLER\S-8-6-74-100027181-100011619-100030664-8501.com');
DelBHO('{E8F21F37-7498-4E8E-9983-5BF3C50AA7D4}');
DelBHO('{BDF6E57E-7330-40CB-8363-D82E9BFF223B}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
DelBHO('{15f3d69c-7b66-4fa7-93cb-cc2d08022a48}');
DelBHO('{3b4085d6-11ff-4acb-a48d-1c2d58a4f15e}');
DelBHO('{FAC8B27D-5F67-404F-A483-1E24069FD558}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks', '{BB4C402F-882A-4526-8C08-51278EA437C1}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks', '{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '980eb726');
DelWinlogonNotifyByKeyName('iifgGASM');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

Компьютер перезагрузится. После перезагрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip и папки AVZ залей на фтп, ссылку сообщи мне.

---

Очисти временные файлы:

- Скачай ATF Cleaner, запусти, поставь галочку напротив Select All и нажми Empty Selected.

- если используешь Firefox, нажми Firefox -> Select All -> Empty Selected

- нажми No, если надо оставить сохраненные пароли

- если пользуешься Oпeрой, выбери Opera -> Select All -> Empty Selected

- нажми No, если надо оставить сохраненные пароли

Сделай новые полные логи AVZ и HiJackThis

Для отключения возможности автозапуска со съемных устройств, советую отключить автозапуск.

[VR]

giper86

OTCleanIt скачал, но она не грузится ошибка вылазит

Цитата:OTCleanIt - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

Перезалил на фтп OTCleanIt ftp://ftp.burnet.ru/incoming/users/VR/OTCleanIt.exe был коцанный файл

Если все-таки есть подозрения на зловредов давай еще выполним вот такой лог.

Скачай RSIT ftp://ftp.burnet.ru/incoming/users/VR/RSIT.exe. Запусти, выбери проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Залей их на фтп. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[XDD]

У Jack_04

После перезагрузки компа нет звука в видео и играх, пропали все подключения, при создании нового, пунт "через высокоскоросное подключение, запрашивающее имя пользователя и пароль" горит серым и не выбирается. Стиль оформления виндоус стал классическим и не изменяется, модем тоже не распознается.

[Pretor]

сори,но у меня жесткие тупняки в компе,даже кнтрл+V не работает(

фтп.бурнет-инкаминг-юзерс-д_мастер,там лог свой скинул pretor.log.

это все что я смог сделать-avz не могу запустить(видимо вирус его блочит) переименовывал,менял даже .exe , Вкладки "Восстановление системы" нет у меня.

Диспетчер не запускается(3мя кнорками) только в обход(каждый раз эт делать трудно,при том что виснет комп)

хелп!!!

[D_Master]

Pretor

пофикси в HiJackThis (как фиксить - в шапке):

O4 - HKLM\..\Run: [XP-5032ADC9] C:\WINDOWS\system32\XP-5032ADC9.EXE

O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-5032ADC9.EXE

Перезагрузись и попробуй снова запустить AVZ.