Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

Sergio,

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

beginSearchRootkit(true, true);SetAVZGuardStatus(True); QuarantineFile('C:\Windows\syswow64\nethtsrv.exe',''); QuarantineFile('C:\Windows\syswow64\hfpapi.dll',''); QuarantineFile('C:\Windows\syswow64\hfnapi.dll',''); QuarantineFile('C:\Windows\system32\nethtsrv.exe',''); QuarantineFile('C:\Windows\system32\hfpapi.dll',''); QuarantineFile('C:\Windows\system32\hfnapi.dll',''); QuarantineFile('C:\ProgramData\MailU',''); QuarantineFile('C:\ProgramData\IePluginSe',''); QuarantineFile('C:\Windows\system32\drivers\ssnfd.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\easytthr.sys',''); DeleteService('wStLibG64'); DeleteService('screentk'); DeleteService('nethfdrv'); QuarantineFile('C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe',''); QuarantineFile('C:\Windows\SysWOW64\nethtsrv.exe',''); DeleteService('NetHttpService'); QuarantineFile('C:\ProgramData\MailUpdate\mailUpdate.exe',''); DeleteService('mailUpdate'); QuarantineFile('C:\ProgramData\IePluginServices\PluginService.exe',''); DeleteService('IePluginServices'); QuarantineFile('C:\Windows\system32\drivers\wStLibG64.sys',''); QuarantineFile('C:\Windows\screentk.sys',''); QuarantineFile('C:\Windows\system32\drivers\nethfdrv.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\EsgScanner.sys',''); QuarantineFile('C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys',''); QuarantineFile('C:\Windows\system32\drivers\186D1160DD3.sys',''); QuarantineFile('C:\Windows\SYSTEM32\hfpapi.dll',''); QuarantineFile('C:\Windows\SYSTEM32\hfnapi.dll',''); QuarantineFile('C:\Users\sergi_000\AppData\Local\screentk\ProtocolFilters.dll',''); QuarantineFile('C:\Users\sergi_000\AppData\Local\screentk\nfapi.dll',''); QuarantineFile('C:\Users\sergi_000\AppData\Local\screentk\LIBEAY32.dll',''); QuarantineFile('C:\Program Files (x86)\SupTab\WindowsSupportDll32.dll',''); QuarantineFile('c:\program files (x86)\searchsnacks\service\sssvc.exe',''); QuarantineFile('c:\users\sergi_000\appdata\local\screentk\screentoolkit.exe',''); QuarantineFile('c:\users\sergi_000\appdata\local\screentk\screentool.exe',''); QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe',''); TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe'); QuarantineFile('c:\windows\syswow64\nethtsrv.exe',''); TerminateProcessByName('c:\windows\syswow64\nethtsrv.exe'); QuarantineFile('c:\programdata\mailupdate\mailupdate.exe',''); TerminateProcessByName('c:\programdata\mailupdate\mailupdate.exe'); QuarantineFile('C:\Program Files (x86)\SupTab\Loader64.exe',''); TerminateProcessByName('C:\Program Files (x86)\SupTab\Loader64.exe'); QuarantineFile('c:\program files (x86)\suptab\loader32.exe',''); TerminateProcessByName('c:\program files (x86)\suptab\loader32.exe'); TerminateProcessByName('c:\program files (x86)\suptab\hpui.exe'); QuarantineFile('c:\program files (x86)\suptab\hpui.exe',''); QuarantineFile('c:\users\sergi_000\appdata\roaming\acestream\engine\ace_engine.exe',''); QuarantineFile('C:\Config.Msi\6fb416.rbf',''); DeleteFile('c:\program files (x86)\suptab\hpui.exe','32'); DeleteFile('c:\program files (x86)\suptab\loader32.exe','32'); DeleteFile('C:\Program Files (x86)\SupTab\Loader64.exe','32'); DeleteFile('c:\programdata\mailupdate\mailupdate.exe','32'); DeleteFile('c:\windows\syswow64\nethtsrv.exe','32'); DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32'); DeleteFile('C:\Program Files (x86)\SupTab\WindowsSupportDll32.dll','32'); DeleteFile('C:\Windows\SYSTEM32\hfnapi.dll','32'); DeleteFile('C:\Windows\SYSTEM32\hfpapi.dll','32'); DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys','32'); DeleteFile('C:\Windows\system32\drivers\wStLibG64.sys','32'); DeleteFile('C:\ProgramData\IePluginServices\PluginService.exe','32'); DeleteFile('C:\ProgramData\MailUpdate\mailUpdate.exe','32'); DeleteFile('C:\Windows\SysWOW64\nethtsrv.exe','32'); DeleteFile('C:\Windows\screentk.sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); DeleteFile('C:\ProgramData\IePluginSe','32'); DeleteFile('C:\ProgramData\MailU','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','screentoolkit.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','screentk'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','screentkUpdater'); DeleteFile('C:\Users\sergi_000\AppData\Local\2626\a12738.exe','32'); DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');BC_ImportAll;ExecuteSysClean;ExecuteWizard('TSW',2,3,true);BC_Activate;RebootWindows(true);end. 

После перзагрузки еще один скрипт AVZ: 

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.
Cделай новые логи AVZ (2-й стандартный скрипт AVZ

  • Нравится 1
Ссылка на комментарий
  • 0

fol3r,

Сделай еще лог Malwarebytes Antimalware

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 


XKMfDeG.png


Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.


4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


4221277m.png


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 


4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


4223329m.png


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

 

5. Прикрепите его без переименования к Вашему следующему сообщению. 


yariga,

В логах чисто. 

Ссылка на комментарий
  • 0

Sergio,

 

 

По прежнему вирус(

да там у тебя много чего была, сейчас еще кое что осталось.

 

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(True); QuarantineFile('C:\Users\sergi_000\AppData\Local\2626\a12738.exe',''); DelBHO('{7D1B27B2-3DE0-4F26-94A0-E14FDB06D292}'); DelBHO('{5A60B6BB-FA81-4EFA-AB9C-A820E2143736}'); QuarantineFile('C:\Program Files (x86)\SearchSnacks\IE\SearchSnacksClientIE.dll',''); QuarantineFile('C:\Program Files (x86)\AmiExt\flashEnhancer\ie\flashEnhancer.dll',''); DeleteService('sssvc'); TerminateProcessByName('c:\program files (x86)\searchsnacks\service\sssvc.exe'); DeleteFile('c:\program files (x86)\searchsnacks\service\sssvc.exe','32'); DeleteFile('C:\Program Files (x86)\SearchSnacks\Service\sssvc.exe','32'); DeleteFile('C:\Program Files (x86)\AmiExt\flashEnhancer\ie\flashEnhancer.dll','32'); DeleteFile('C:\Program Files (x86)\SearchSnacks\IE\SearchSnacksClientIE.dll','32'); DeleteFile('C:\Users\sergi_000\AppData\Local\2626\a12738.exe','32'); DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');BC_ImportAll;ExecuteSysClean;ExecuteWizard('TSW',2,3,true);BC_Activate;RebootWindows(true);end.

После перзагрузки еще один скрипт AVZ: 

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.
Cделай новые логи AVZ (2-й стандартный скрипт AVZ)

 

Так же сделай лог  Malwarebytes Antimalware

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 


XKMfDeG.png


Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.


4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


4221277m.png


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 


4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


4223329m.png


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

 

5. Прикрепите его без переименования к Вашему следующему сообщению. 

  • Нравится 1
Ссылка на комментарий
  • 0

По прежнему вылазит http://www.istartsurf.com  как стартовая страница в браузере ((

Еще раз сканирую программой

Изменено пользователем Sergio
Ссылка на комментарий
  • 0

fol3r,

Сделай еще лог Malwarebytes Antimalware

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

XKMfDeG.png

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".

4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

4219229m.png

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".

4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

 

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

https://cloud.mail.ru/public/de28fac6f7f0/%D0%B2%D0%B8%D1%80%D1%83%D1%81%D1%8B.txt

Ссылка на комментарий
  • 0

Sergio,

Так что тогда выбрали: игнорировать или пропустить? В общем нужно все что нашла программа поместить в карантин.

 

fol3r

Можно удалять все что нашла Malwarebytes Antimalware

Ссылка на комментарий
  • 0

Sergio,

Так что тогда выбрали: игнорировать или пропустить? В общем нужно все что нашла программа поместить в карантин.

 

fol3r

Можно удалять все что нашла Malwarebytes Antimalware

спсб удалил незнаеш что именно за зараза ? просто частенько комп виснуть стал, думал то ли винт то ли вирусы))

Ссылка на комментарий
  • 0
Программа вирус не нашла, хотя он есть

Тогда сделай новый лог Malwarebytes Antimalware. 

 

спсб удалил незнаеш что именно за зараза ? просто частенько комп виснуть стал, думал то ли винт то ли вирусы))

В основном у тебя было AdWare (рекламные системы) но так же пару Trojan-Downloader.

Что сейчас с проблемами?

  • Нравится 1
Ссылка на комментарий
  • 0

Проблема решена, спасибо!

Программа действительно все подчистила оказывается. При повторном сканировании вирусов не было найдено. Хотя нажимая на ярлык браузера, который находится на панели быстрого запуска, снова

istartsurf.com выходила как стартовая страница. Сделал новый ярлык на рабочем столе, запуская от туда все нормально. Перенес на панель, опять вылазил этот сайт. Сегодня включил комп, проблемы как не бывало  *122

Ссылка на комментарий
  • 0

Sergio

Если проблема еще как либо появляется то нужно будет сделать лог HijackThis (в шапке есть инструкция) и AdwCleaner

  • Запустите программу от имени Администратора. Важно! На Windows Vista/7/8 программу нужно запускать от имени Администратора через контекстное меню проводника
  • Нажмите на кнопку "Scan" и дождитесь окончания сканирования
  • Когда сканирование будет завершено нажмите на кнопку "Report"
  • После нажатия на кнопку "Report" отчет будет по умолчанию сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

  • Нравится 1
Ссылка на комментарий
  • 0

Sergio,

Пофиксите в HiJack (см. в шапке)

O17 - HKLM\System\CCS\Services\Tcpip\..\{3582ac90-f01c-44f8-b33d-2f2fa6294638}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1O17 - HKLM\System\CS1\Services\Tcpip\..\{3582ac90-f01c-44f8-b33d-2f2fa6294638}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
Единственное, баннер рекламный мешает. Раньше не было =/

Так что за баннер, где появляется? Можно скриншот где виден этот баннер. 

Ссылка на комментарий
  • 0

ViktorOBM,

По логу AVZ нечего плохого не увидел. При сканировании AVZ интернет был специально отключен? 

Сделай еще лог HijackThis (в шапке есть инструкция)

И лог Gmer

Скачайте антируткитную программу Gmer.. Запустите программу (в Vista и 7 нужно запускать правой кнопкой от имени администратора*). 
После автоматической экспресс-проверки, отметьте галочкой только системный раздел (обычно это диск C:\) и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например gmer.log и прикрепите лог к сообщению в Вашей теме.

  • Нравится 1
Ссылка на комментарий
  • 0

Sergio,

Так по AdwCleaner нужен именно лог сканирования AdwCleaner[R0].txt

Комп после фикса перезагружался?

 

  1. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
  2. Распакуйте архив с утилитой в отдельную папку
  3. Запустите FixerBro Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
  4. В главном окне программы нажмите на кнопку "Проверить"
  5. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении:C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
  6. По окончанию сканирования нажмите на кнопку "Отчет".
  7. Сохраните лог утилиты
  8. Прикрепите сохраненный отчет в вашей теме

Так же сделай новые логи AVZ и HijackThis


И Weatherbar сам устанавливал?

Ссылка на комментарий
  • 0

FixerBro ярлыки для исправления не найдено

 

http://rghost.ru/57689615 - KL_syscure

http://rghost.ru/57689637 - virusinfo_syscheck

 

http://rghost.ru/57689822 - hijackthis.log

 

Weatherbar не устанавливал

 

 

 

Ссылка на комментарий
  • 0

ViktorOBM,

По логу AVZ нечего плохого не увидел. При сканировании AVZ интернет был специально отключен? 

Нет, он сам время от времени произвольно отключается. Вернее, в трее показано, что соединение установлено, но ни одна страница в Интернете не открывается. Приходится переподключаться. Видимо, он в и этот раз отрубился.

Сделай еще лог HijackThis (в шапке есть инструкция)

Скачал программу, но в ней нет ни одной строчки, которые нужно выделить.

И лог Gmer

https://cloud.mail.ru/public/9f8e1cb770c3%2Fgmer.log

Ещё пару симптомов торможения: Skype включается только спустя 10-15 минут после включения компа, системные звуки звучат с большим запозданием, медленно открываются диски и папки. Ещё, не знаю, связано ли это с проблемой, но время от времени появляется вот такое окошко:

e4c17b6993505b67a3ca70f9837bb134.png

Ссылка на комментарий
  • 0

Sergio,

Тогда удалим.

Пофиксите в HiJack (см. в шапке)

O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll

Так же как в системе настроены DNS-сервера? Попробуй вручную в свойствах подключения прописать DNS.

Покажи скриншот страницы с Расширениями в хроме.

И лог Gmer

Скачайте антируткитную программу Gmer.. Запустите программу (в Vista и 7 нужно запускать правой кнопкой от имени администратора*). 
После автоматической экспресс-проверки, отметьте галочкой только системный раздел (обычно это диск C:\) и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например gmer.log и прикрепите лог к сообщению в Вашей теме.
 

ViktorOBM,

 Нечего вредоносного нету. У тебя установлен Kaspersky Internet Security 2010 это очень старая версия рекомендую обновится до 2015. Так же попробуй удалить KIS 2010 и посмотреть будут ли наблюдаться проблемы.

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...