Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[D_Master]

Garib

карантин чистый.

[giper86]

giper86

Скачай Malwarebytes' Anti-Malware ftp://ftp.burnet.ru/incoming/users/VR/mbam-setup.exe, установи, обнови базы, выбери "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажми "Remove Selected" (удалить выделенные). Откройте лог и скопируй в тетстовый файл сохрани его и залей на фтп.

Проблеммы еще остались?

закинул лог ftp://ftp.burnet.ru/incoming/users/sevkavTV

[baikal]

D_Master посмотри ftp://ftp.burnet.ru/incoming/users/baikal/log/

[VR]

giper86

В логах все чисто. Проблеммы еще остались?

[giper86]

VR вроде все норм спасибо, а что мы с тобой за все это время выявили?? ну это деяния зловредов. а то если честно я плохо разбираюсь в логах.

[D_Master]

baikal

по логам всё чисто.

[baikal]

D_Master спасибо за проверку системы!

[VR]

giper86

У тебе был сетевой червь kido из-за него и увеличивался трафик.

[Jack_04]

ftp://ftp.burnet.ru/incoming/users/Jack/

Комп вырубается через час...

Ужос!Еле логи сделал..

[giper86]

giper86

У тебе был сетевой червь kido из-за него и увеличивался трафик.

огромное спасибо чуть уменьшился, но все равно сегодня с 00,00 по 12,00 в статистике stbur'a - 0.410Мб сьело(400кб) не пойму, вроде обновления все убрал, все равно видать что-то хочет протиснуться.

на платные сайты вообще не заходил, сидел тока на улановке.

можно ли определить что конкретно сьедает траф? мож traffic inspector'ом проверить?

[Pretor]

хелп,пипл!

недавно флэшку принес,проверил НОДом(за день до этого удалил кис8)

и вылезает ошибка такого вида:

Windows - Диск отсутствует

Exception Processing Message c0000013 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c

"Отмена" "Повторить" "Продолжить"

жму все время отмена на раз 8 исчезает на 10 секунд(

Фаера нет.

нод 3.0.667,0

[VR]

giper86

огромное спасибо чуть уменьшился, но все равно сегодня с 00,00 по 12,00 в статистике stbur'a - 0.410Мб сьело(400кб) не пойму, вроде обновления все убрал, все равно видать что-то хочет протиснуться.

Принципе это нормально, аська, майл-агент или другие месенжеры есть?

Можно уже удалять установленные программы

Для деинсталяции ComboFix с компьютера необходимо выполнить:

Нажать Пуск затем Выполни в окне набери команду Combofix /u (обязательно нужен пробел между х и /), нажми кнопку "ОК"

Скачайте OTCleanIt ftp://ftp.burnet.ru/incoming/users/VR/OTCleanIt.exe, запустите, нажмите Clean up

Перед удалением гмера в папке Windows найдите файл gmer_uninstall.cmd запустите его, после удалите gmer_uninstall.cmd и gmer.ini, теперь можно удалять папку с Гмером.

[krava]

При врубленном торренте через некоторое время вылетает:

"Generic Host Process for Win 32 Services - обнаружена ошибка.

Приложение будет закрыто. Приносим извинения за неудобства."

При проверке Касперосяном удаляется какая-то херь, но через

некоторое время фсё по новой! Шо мона сделать???

[giper86]

krava

логи давай, шапку этой темы читай.

VR

аська, майл-агент или другие месенжеры есть?

вообще ниче нет, давно еще убил

comboFix удалилась

Перед удалением гмера в папке Windows найдите файл gmer_uninstall.cmd запустите его, после удалите gmer_uninstall.cmd и gmer.ini, теперь можно удалять папку с Гмером.

чето немогу найти gmer_uninstall.cmd и через поисковик тоже

OTCleanIt скачал, но она не грузится ошибка вылазит

OTCleanIt - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

подпись ошибки

AppName: otcleanit.exe AppVer: 1.0.6.0 ModName: kernel32.dll

ModVer: 5.1.2600.2180 Offset: 0001eb33

[D_Master]

Jack_04

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):

SetAVZGuardStatus(True);
SearchRootkit(true, true);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
QuarantineFile('D:\RECYCLER\S-8-6-74-100027181-100011619-100030664-8501.com','');
QuarantineFile('D:\RECYCLER\S-6-7-41-100016720-100028081-100009599-2621.com','');
QuarantineFile('D:\RECYCLER\S-4-3-42-100004175-100003435-100029380-7699.com','');
QuarantineFile('D:\RECYCLER\S-4-0-21-100013379-100023239-100018975-1050.com','');
QuarantineFile('D:\RECYCLER\S-3-2-86-100030458-100030873-100020089-7579.com','');
QuarantineFile('D:\RECYCLER\S-0-4-35-100025426-100010926-100023999-6156.com','');
QuarantineFile('D:\RECYCLER\S-0-3-46-100022538-100007906-100017995-2050.com','');
QuarantineFile('C:\RECYCLER\S-8-6-74-100027181-100011619-100030664-8501.com','');
QuarantineFile('C:\RECYCLER\S-4-0-21-100013379-100023239-100018975-1050.com','');
QuarantineFile('C:\RECYCLER\S-3-2-86-100030458-100030873-100020089-7579.com','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\lirsgt.sys','');
QuarantineFile('C:\WINDOWS\system32\vpfprqbg.dll','');
QuarantineFile('C:\WINDOWS\system32\mjwedf.dll','');
QuarantineFile('C:\WINDOWS\system32\juyerq.dll','');
QuarantineFile('C:\WINDOWS\system32\gjgsys.dll','');
QuarantineFile('C:\WINDOWS\system32\fjkbiseh.dll','');
QuarantineFile('C:\WINDOWS\system32\fccyxUkh.dll','');
QuarantineFile('C:\WINDOWS\system32\bwnxmiyk.dll','');
QuarantineFile('C:\WINDOWS\system32\afmain1.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\senekaplphhliq.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atksgt.sys','');
QuarantineFile('D:\Download\слух\fdgfd\vampina.exe','');
DeleteFile('C:\WINDOWS\system32\bwnxmiyk.dll');
DeleteFile('C:\WINDOWS\system32\fccyxUkh.dll');
DeleteFile('C:\WINDOWS\system32\fjkbiseh.dll');
DeleteFile('C:\WINDOWS\system32\gjgsys.dll');
DeleteFile('C:\WINDOWS\system32\iifgGASM.dll');
DeleteFile('C:\WINDOWS\system32\drivers\senekaplphhliq.sys');
DeleteFile('C:\RECYCLER\S-3-2-86-100030458-100030873-100020089-7579.com');
DeleteFile('C:\RECYCLER\S-4-0-21-100013379-100023239-100018975-1050.com');
DeleteFile('C:\RECYCLER\S-8-6-74-100027181-100011619-100030664-8501.com');
DeleteFile('D:\RECYCLER\S-0-3-46-100022538-100007906-100017995-2050.com');
DeleteFile('D:\RECYCLER\S-0-4-35-100025426-100010926-100023999-6156.com');
DeleteFile('D:\RECYCLER\S-3-2-86-100030458-100030873-100020089-7579.com');
DeleteFile('D:\RECYCLER\S-4-0-21-100013379-100023239-100018975-1050.com');
DeleteFile('D:\RECYCLER\S-4-3-42-100004175-100003435-100029380-7699.com');
DeleteFile('D:\RECYCLER\S-6-7-41-100016720-100028081-100009599-2621.com');
DeleteFile('D:\RECYCLER\S-8-6-74-100027181-100011619-100030664-8501.com');
DelBHO('{E8F21F37-7498-4E8E-9983-5BF3C50AA7D4}');
DelBHO('{BDF6E57E-7330-40CB-8363-D82E9BFF223B}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
DelBHO('{15f3d69c-7b66-4fa7-93cb-cc2d08022a48}');
DelBHO('{3b4085d6-11ff-4acb-a48d-1c2d58a4f15e}');
DelBHO('{FAC8B27D-5F67-404F-A483-1E24069FD558}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks', '{BB4C402F-882A-4526-8C08-51278EA437C1}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks', '{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '980eb726');
DelWinlogonNotifyByKeyName('iifgGASM');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

Компьютер перезагрузится. После перезагрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip и папки AVZ залей на фтп, ссылку сообщи мне.

---

Очисти временные файлы:

- Скачай ATF Cleaner, запусти, поставь галочку напротив Select All и нажми Empty Selected.

- если используешь Firefox, нажми Firefox -> Select All -> Empty Selected

- нажми No, если надо оставить сохраненные пароли

- если пользуешься Oпeрой, выбери Opera -> Select All -> Empty Selected

- нажми No, если надо оставить сохраненные пароли

Сделай новые полные логи AVZ и HiJackThis

Для отключения возможности автозапуска со съемных устройств, советую отключить автозапуск.

[VR]

giper86

OTCleanIt скачал, но она не грузится ошибка вылазит

Цитата:OTCleanIt - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

Перезалил на фтп OTCleanIt ftp://ftp.burnet.ru/incoming/users/VR/OTCleanIt.exe был коцанный файл

Если все-таки есть подозрения на зловредов давай еще выполним вот такой лог.

Скачай RSIT ftp://ftp.burnet.ru/incoming/users/VR/RSIT.exe. Запусти, выбери проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Залей их на фтп. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[XDD]

У Jack_04

После перезагрузки компа нет звука в видео и играх, пропали все подключения, при создании нового, пунт "через высокоскоросное подключение, запрашивающее имя пользователя и пароль" горит серым и не выбирается. Стиль оформления виндоус стал классическим и не изменяется, модем тоже не распознается.

[Pretor]

сори,но у меня жесткие тупняки в компе,даже кнтрл+V не работает(

фтп.бурнет-инкаминг-юзерс-д_мастер,там лог свой скинул pretor.log.

это все что я смог сделать-avz не могу запустить(видимо вирус его блочит) переименовывал,менял даже .exe , Вкладки "Восстановление системы" нет у меня.

Диспетчер не запускается(3мя кнорками) только в обход(каждый раз эт делать трудно,при том что виснет комп)

хелп!!!

[D_Master]

Pretor

пофикси в HiJackThis (как фиксить - в шапке):

O4 - HKLM\..\Run: [XP-5032ADC9] C:\WINDOWS\system32\XP-5032ADC9.EXE

O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-5032ADC9.EXE

Перезагрузись и попробуй снова запустить AVZ.

[Baozzz]

подскажите пожалуйста, не помню когда но кто-то вылаживал архив с вирусами для проверки своего антивируса, может кто ссылку даст или на фтп зальет у кого есть.

[VR]

Проверять антивирус на реальных вирусах очень опасно, поэтому создан спецальный тестовый файл EICAR который определяется как вирус но не является таковым

Тестовый "вирус" EICAR был специально разработан для проверки работы антивирусных продуктов.

Тестовый "вирус" НЕ ЯВЛЯЕТСЯ ВИРУСОМ, и не содержит кода, который может навредить вашему компьютеру. Внизу в таблице дан код тестового "вируса". Загрузить тестовый "вирус", так же можно с официального сайта EICAR.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Чтобы получить тестовый "вирус" нужно сохранить вышеуказанный код в блокноте с расширением .txt или .com Для того чтобы проверить реакцию антивирусной системы на другие типы объектов, Вы можете модифицировать содержание "стандартного тестового вируса", добавив к нему один из префиксов.

[Pretor]

вроде установил нод.он сканировал,нашел вирусы,в основном на .exe файлах,т.е. у меня удалились проги-Internet Explorer,Opera,jet audio ну и т.д. ,но самое главное удалился файл

c\WINDOWS\syste32\rundl32.exe

теперь ни одна иконка из "Панели инструментов не запускается"

что делать?

[D_Master]

вроде установил нод.он сканировал,нашел вирусы,в основном на .exe файлах,т.е. у меня удалились проги-Internet Explorer,Opera,jet audio ну и т.д. ,но самое главное удалился файл

c\WINDOWS\syste32\rundl32.exe

теперь ни одна иконка из "Панели инструментов не запускается"

Нод не перестает меня удивлять.

[PADONAK]

HiJackThis - закиньте по новой

[D_Master]

PADONAK

Лежит он в папке. Качай через тотал коммандер или любой другой фтп-клиент.