Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[buza]

http://zalil.ru/34413781

[Sergio]

KL_syscure.zip

virusinfo_syscheck.zip

[SigmaN13]

установил на комп постороннюю программу. VKsaver попросила ввести код с телефона. сразу понял что на*б ....нажал отмена. на всех трех браузерах (опера хром эксплоуер) установилась поисковая система WEBalta - при этом когда ставлю поисковую систему яндекс по умолчанию - она не ставиться. в контакт когда вхожу- пишит что с моего аккаунта была выявлена подозрительная активность и необходимо всякие коды с телефона вводить) когда нажимаю на яндекс поиск - выводит ошибку

Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску.

Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить».

http://zalil.ru/34415537

Добавлено спустя 28 минут 40 секунд:

http://zalil.ru/34415575 - quarantine.zip

http://zalil.ru/34415590 - virusinfo_syscheck.zip

[VR]

SigmaN13

Выполнить скрипт AVZ (как выполнять скрипт - в шапке) скрытый текст

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
DeleteService('VGPU');
DeleteService('npggsvc');
QuarantineFile('C:\Windows\system32\GameMon.des','');
QuarantineFile('C:\PROGRA~3\Mozilla\bwliqvb.dll','');
DeleteFile('C:\PROGRA~3\Mozilla\bwliqvb.dll');
DeleteFile('C:\Windows\system32\GameMon.des');
DeleteFile('C:\Windows\system32\drivers\rdvgkmd.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
       CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Cделай новые логи AVZ (2й стандартный скрипт AVZ)

[SaS]

http://zalil.ru/34422535

Поисковики номер телефона требуют.

[VR]

SaS

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Roman\AppData\Local\Temp\49AE2EB4-C67558E6-9DF88CE4-A7D0304E\q91o59c1.exe','');
QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\oem-drv64.sys','');
QuarantineFile('C:\PROGRA~3\Mozilla\ydgghkg.dll','');
DeleteFile('C:\PROGRA~3\Mozilla\ydgghkg.dll');
BC_DeleteFile('C:\PROGRA~3\Mozilla\ydgghkg.dll');
DeleteFile('C:\Users\Roman\AppData\Local\Temp\3496977C.sys');
DeleteFile('C:\Users\Roman\AppData\Local\Temp\384C9484.sys');
DeleteFile('C:\Windows\system32\drivers\rdvgkmd.sys');
DeleteFile('C:\Users\Roman\AppData\Local\Temp\49AE2EB4-C67558E6-9DF88CE4-A7D0304E\q91o59c1.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
       CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Cделай новые логи AVZ (2й стандартный скрипт AVZ)

[SaS]

http://zalil.ru/34423943 quarantine.zip

http://zalil.ru/34423956 virusinfo_syscheck.zip

http://zalil.ru/34423959 KL_syscure.zip

[VR]

SaS

ты точно выполнял придыдущий скрипт?

QuarantineFile('C:\Windows\system32\wuaueng.dll','');
QuarantineFile('C:\Windows\system32\xNtKrnl.exe','');
QuarantineFile('C:\PROGRA~3\Mozilla\ydgghkg.dll','');
DeleteFile('C:\PROGRA~3\Mozilla\ydgghkg.dll');
BC_DeleteFile('C:\PROGRA~3\Mozilla\ydgghkg.dll');
DeleteFile('C:\Users\Roman\AppData\Local\Temp\49AE2EB4-C67558E6-9DF88CE4-A7D0304E\1kg36h00.exe');
DeleteFile('C:\Users\Roman\AppData\Local\Temp\49AE2EB4-C67558E6-9DF88CE4-A7D0304E\q91o59c1.exe');
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
       CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Cделай новые логи AVZ (2й стандартный скрипт AVZ)

[SaS]

VR проблема у знакомых, просканил их систему касперским с последними базами и проверил hosts, удалил вирусы, не помогло. Ну скрипт они точно выполнили, я лично не присутствывал, так как комп ушёл в ребут, разве что они забыли выключить антивирус перед скриптом, хотя я предупреждал.

А есть антивирус который вычищает всю эту нечисть, на будущее, а то вы тоже же не всегда свободны. А то просто всю жизнь пользуюсь кисом и на работе тоже касперский стоит и ни когда таких проблем не было.

[VR]

SaS

как известно не один антивирус не дает 100% гарантию. А так AVZ в руки и ручное лечение по средствам скриптов.

У меня сложилось впечатление что скрипта не выполнялся по двум причинам:

1. нет не каких изменений в логе

2. карантин пуст и в нем нет указаний да же на попытку выполнение карантина файлов.

[SaS]

VR ну завтра дайду до них и сделаю всё сам.

Выполнить оба скрипта или только последний?

[VR]

SaS

Оба скрипта из последнего сообщения http://ulanovka.ru/forum/viewtopic.php?p=3616592#3616592

[buza]

http://zalil.ru/34413781

логи чистые?

[VR]

buza

да чистые. host файл сами правили?

[Remiorom]

Опять та же самая проблема возникла. Проверил Malwaerом обнаружил 13 вирусов и удалил, не помогло. Просканировал AVZ ничего не нашел. Вот его 2 стандарт. скрипт http://files.mail.ru/670CF5250AFF4C7FAF0492EBDD0FB979 Посмотрите пожалуйста.

Добавлено спустя 4 минуты 15 секунд:

Главное, заразился только что буквально, комп вдруг сам перезагрузился и перестал заходить в mail.ru (пишет, что от меня исходит спам и надо отправить смс)

[SaS]

VR

http://zalil.ru/34426378 quarantine.zip

http://zalil.ru/34426388 virusinfo_syscheck.zip

поисковики заработали.

[buza]

VR

не, просто просканировал.

диспетчер задач не вызывается(

[VR]

Remiorom

Сделал логи Gmer

Скачайте антируткитную программу Gmer.. Запустите программу (в Vista и 7 нужно запускать правой кнопкой от имени администратора*).

После автоматической экспресс-проверки, отметьте галочкой только системный раздел (обычно это диск C:\) и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например gmer.log и прикрепите лог к сообщению.

Добавлено спустя 11 минут 23 секунды:

SaS

в логах чисто

Добавлено спустя 4 минуты 11 секунд:

buza

так тогда сделайте новые логи.

[Remiorom]

Вот логи http://files.mail.ru/2254DE0CE5A948549F71FDB09E455C42 (опять на папке nero задумался, пришлось остановить)

[VR]

Remiorom

Так в логах Gmer нету нечего интересного.

Сделай заново логи AVZ а так же покажи лог Malwaer раз ты его делал

[Remiorom]

http://files.mail.ru/A62D21962D944B319CB9F41FBA2F99C7 AVZ и Malwaer

[VR]

Remiorom

сделай лог HiJack как сделать смотри в шапке темы.

А так же лог ComboFix

Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe*), когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению (или запакуйте C:\ComboFix.txt и прикрепите к сообщению).

Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в [email protected]

[Remiorom]

вот Hijack: http://files.mail.ru/62EA187C5A5443BA9A184147DD94A8BE

Combofix: http://files.mail.ru/8C494C14A91C4D8F900D00CB04824578

[VR]

Remiorom

что с проблемами?

[Remiorom]

Остались. Что делать?