Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[PADONAK]

ftp://ftp.burnet.ru/incoming/users/PRO100/ заархивировать не смог

[pentagon]

мои логи

ftp://ftp.burnet.ru/incoming/users/!!!pentagon/logs

[VR]

PADONAK

Какой вирус находил NOD? Очень похоже, что это был файловый вирус.

Пока так

Выполните скрипт

begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(16);
RebootWindows(true);
end.

[PADONAK]

VR у меня нода нету и антивируса никокого только oytpost стоит.

Выполнил и все прошло, у меня диспетчер задач не вылазил и regedit/ Спасибо за просвлетвление

[D_Master]

у меня нода нету и антивируса никокого только oytpost стоит.

Советую срочно установить антивирус.

[VR]

у меня нода нету и антивируса никокого только oytpost стоит.

Извеняюсь я тебя спутал с Pretor. Но скрипт правильный по твоим логам. Как я понимаю проблем больше нет?

[PADONAK]

проблем нету

[VR]

pentagon

Выполни скрипт AVZ

SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\28463\wchm.exe');
QuarantineFile('C:\d1vmq.exe','');
QuarantineFile('C:\WINDOWS\system32\nmdfgds1.dll','');
QuarantineFile('C:\WINDOWS\system32\afmain0.dll','');
QuarantineFile('C:\WINDOWS\system32\28463\WCHM.007','');
QuarantineFile('C:\WINDOWS\system32\optyhww0.dll','');
QuarantineFile('c:\windows\system32\28463\wchm.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\dsnpfd.sys','');
QuarantineFile('C:\WINDOWS\system32\28463\WCHM.006','');
DeleteFile('C:\WINDOWS\system32\28463\WCHM.006');
DeleteFile('c:\windows\system32\28463\wchm.exe');
DeleteFile('C:\WINDOWS\system32\optyhww0.dll');
DeleteFile('C:\WINDOWS\system32\28463\WCHM.007');
DeleteFile('C:\WINDOWS\system32\afmain0.dll');
DeleteFile('C:\WINDOWS\system32\nmdfgds1.dll');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\olhrwef.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\urretnd.exe');
DeleteFile('C:\d1vmq.exe');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
BC_DeleteFile('c:\windows\system32\28463\wchm.exe');
BC_DeleteFile('C:\WINDOWS\system32\twex.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

После перезагрузки выполни еще один скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip из папки AVZ вылажи на фтп

Повторите логи.

[pentagon]

выложил новые логи

ftp://ftp.burnet.ru/incoming/users/!!!pentagon/new logs

и там же карантин

[Dexter]

ftp://ftp.burnet.ru/incoming/users/dex

такая штука , когда захожу в рабочую группу локалки

[VR]

pentagon

Выполни

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WIN;DOWS\system32\28463\WCHM.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Перезагрузка.

Пофиксите:

R3 - URLSearchHook: (no name) -  - (no file)

По логам: все, что требовалось, вычистили - Ardamax Keylogger и компания. Скриптом, который я указал выше, добиваем бэкап.

Проблеммы остались?

[pentagon]

проблем больше нету. спасибо большое за помощь

[~Qred~]

вот логи, только я все сразу скинул чтоб время нетрарить, а то инет рассоиденяется и кста хайджек неможет запустится.

[Dexter]

кста хайджек неможет запустится.

Внимательно читайте 1 пост

Внимание! Некоторые вредоносные программы блокируют запуск защитных приложений по имени файла! Если при запуске HiJackThis у вас выдается сообщение, что файл не найден, переименуйте файл hijackthis.exe в любой набор букв (например, asdaefdsfas.exe ).

[D_Master]

~Qred~

Скрипт AVZ:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
 DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
 QuarantineFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe','');
 DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
 DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится. После загрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

Повтори 2й стандартный скрипт AVZ.

[Dexter]

вааай , я то думал тут хооть очеред есть

[~Qred~]

кста хайджек неможет запустится.

Внимательно читайте 1 пост

Внимание! Некоторые вредоносные программы блокируют запуск защитных приложений по имени файла! Если при запуске HiJackThis у вас выдается сообщение, что файл не найден, переименуйте файл hijackthis.exe в любой набор букв (например, asdaefdsfas.exe ).

я такто знаю, но серавно неполучилось

[D_Master]

Dexter

Сорри, не заметил Сейчас гляну

Добавлено спустя 4 минуты 6 секунд:

Dexter

Логи чистые.

Службы "Сервер" и "Обозреватель компьютеров" включены/запущены?

[~Qred~]

вот карантин а вот архив 2 скрипта

[D_Master]

~Qred~

логи чистые.

[~Qred~]

D_Master cпс =)

[Dexter]

Dexter

Логи чистые.

Службы "Сервер" и "Обозреватель компьютеров" включены/запущены?

чистые , видимо вирусов нету

но , запущены

а может ATF-cleaner и ComboFix че-нить сделать?

спс за проверку ничего если раз в недельку буду вылаживать?

[Tobi]

уважаемые! =)

залейте заново, кому не трудно на фтп эту инсталяху - HiJackThis*

[VR]

уважаемые! =)

залейте заново, кому не трудно на фтп эту инсталяху - HiJackThis*

HiJackThis лежит живой и здоровый на фтп в папке D_Master качай через тотал.

ftp://ftp.burnet.ru/incoming/users/D_Master/HiJackThis.exe

[Хр]

D_Master Проверь пожалуйста, очень срочно нужно. Компьютер тормозит. винда с 2002 года. заранее спасибо

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure