Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[VR]

ViktorOBM,

По логу AVZ нечего плохого не увидел. При сканировании AVZ интернет был специально отключен? 

Сделай еще лог HijackThis (в шапке есть инструкция)

И лог Gmer

Скачайте антируткитную программу Gmer.. Запустите программу (в Vista и 7 нужно запускать правой кнопкой от имени администратора*). 
После автоматической экспресс-проверки, отметьте галочкой только системный раздел (обычно это диск C:\) и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например gmer.log и прикрепите лог к сообщению в Вашей теме.

[Sergio]

 

 

Также снизу на всю длину появляется баннер.

 

 

Самопроизвольно открылись сайты: http://slot-portal.com , http://www.thelotter.com

[VR]

Sergio,

Так по AdwCleaner нужен именно лог сканирования AdwCleaner[R0].txt

Комп после фикса перезагружался?

 

1. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите FixerBro Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. В главном окне программы нажмите на кнопку "Проверить"
5. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении:C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
6. По окончанию сканирования нажмите на кнопку "Отчет".
7. Сохраните лог утилиты
8. Прикрепите сохраненный отчет в вашей теме

Так же сделай новые логи AVZ и HijackThis

И Weatherbar сам устанавливал?

[Sergio]

FixerBro ярлыки для исправления не найдено

 

http://rghost.ru/57689615 - KL_syscure

http://rghost.ru/57689637 - virusinfo_syscheck

 

http://rghost.ru/57689822 - hijackthis.log

 

Weatherbar не устанавливал

 

 

 

[ViktorOBM]

ViktorOBM,

По логу AVZ нечего плохого не увидел. При сканировании AVZ интернет был специально отключен? 

Нет, он сам время от времени произвольно отключается. Вернее, в трее показано, что соединение установлено, но ни одна страница в Интернете не открывается. Приходится переподключаться. Видимо, он в и этот раз отрубился.

Сделай еще лог HijackThis (в шапке есть инструкция)

Скачал программу, но в ней нет ни одной строчки, которые нужно выделить.

И лог Gmer

https://cloud.mail.ru/public/9f8e1cb770c3%2Fgmer.log

Ещё пару симптомов торможения: Skype включается только спустя 10-15 минут после включения компа, системные звуки звучат с большим запозданием, медленно открываются диски и папки. Ещё, не знаю, связано ли это с проблемой, но время от времени появляется вот такое окошко:

[VR]

Sergio,

Тогда удалим.

Пофиксите в HiJack (см. в шапке)

O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll

Так же как в системе настроены DNS-сервера? Попробуй вручную в свойствах подключения прописать DNS.

Покажи скриншот страницы с Расширениями в хроме.

И лог Gmer

Скачайте антируткитную программу Gmer.. Запустите программу (в Vista и 7 нужно запускать правой кнопкой от имени администратора*). 
После автоматической экспресс-проверки, отметьте галочкой только системный раздел (обычно это диск C:\) и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например gmer.log и прикрепите лог к сообщению в Вашей теме.

 

ViktorOBM,

 Нечего вредоносного нету. У тебя установлен Kaspersky Internet Security 2010 это очень старая версия рекомендую обновится до 2015. Так же попробуй удалить KIS 2010 и посмотреть будут ли наблюдаться проблемы.

[Sergio]

1) Погоду еще вчера пофиксил. На рекламу никак не сказалась. Появляется как раньше.

2) DNS скорее всего настроен автоматический. Не могу посмотреть:

3) Хромом не пользуюсь. Расширения в файрфокс:

4) Лог Gmer - http://rghost.ru/57708231

 

[VR]

Sergio,

1. На счет DNS, возможно это поможет http://answers.microsoft.com/ru-ru/windows/forum/windows_8-networking/%D1%87%D1%82%D0%BE%D0%B1%D1%8B/a23a0d91-1187-47c8-8365-54bf2d218083

2. Попробуй отключить в файрфоксе все расширения и посмотреть будет ли появляться реклама.

3. Сделай лог AVZ 7-й стандартный скрипт (Virusinfo.info Скрипт сбора файлов для экспресс анализа)

[VR]

Sergio,

Вычислил кто показывает рекламу у тебя.  Рекламу выводят плагин TS Magic Player. 

Нужно отключить плагин и расширение TS Magic Player файрфоксе. А так же желательно совсем удалить ACEStream

[ViktorOBM]

Ясно, будем разбираться, Спасибо за помощь!

[ViktorOBM]

Удалил KIS 2010 с помощью специального деинсталлятора — всё летает, лаги как рукой сняло! Вот только ещё куча проблем добавилось: uTorrent при включении выдаёт "WSAStartup() failed, or you have the incorrect version of WinSock installed.", в трее появился значок замка с сообщением "Не удаётся подключиться к службе Windows", в диспетчере подключений к Интернету написано "Нет доступных подключений" и значок крестика, в центре управления сетями и общим доступом написано "Нет данных: Не удалось запустить дочернюю службу." Что происходит?! Это точно не вирус?!

[VR]

ViktorOBM,

Очень напоминает проблемы при некорректном удалении KIS, а именно проблемы с удалением сетевых драйверов.   Посмотри в диспетчере устройств у сетевых адаптеров случаем нету желтых восклицательных знаков?

Так же что имеется ввиду под "Удалил KIS 2010 с помощью специального деинсталлятора"?   Почему не через штатное удаление программ?

И сделай лог GSI http://support.kaspersky.ru/general/dumps/3632#block1

[ViktorOBM]

В диспетчере устройств жёлтых восклицательных знаков нет, написано, что устройства работают нормально.

KIS 2010 я удалил с помощью вот этой программы https://support.kaspersky.ru/common/service.aspx?el=1464

Как делать лог GSI, я не совсем понял, т.к. там нужен доступ в Интернет, которого у меня нет.

[VR]

ViktorOBM,

 Нужно на том компе где есть инет скачать утилиту GSI после чего например на флешке перенести ее на проблеммный пк и там сделать лог утилиты (он будет сохранен на рабочий стол) после чего пренести его на флешке на комп с интернетом. 

[ViktorOBM]

Ок, понял.

Вот лог GSI

http://disk.tom.ru/6qljzqw

[Sergio]

1. На счет DNS, возможно это поможет http://answers.micro...65-54bf2d218083

При удалении адаптера программа вроде как зависла, дальше не стал пробывать

2. Попробуй отключить в файрфоксе все расширения и посмотреть будет ли появляться реклама.

Действительно реклама больше не появляется.

3. Сделай лог AVZ 7-й стандартный скрипт (Virusinfo.info Скрипт сбора файлов для экспресс анализа)

http://rghost.ru/57726116 - 7-й стандартный скрипт

http://rghost.ru/57726237 - Virusinfo.info Скрипт сбора файлов

[VR]

ViktorOBM, 

По логу GSI не каких остатков KIS не видно, зато видно что по какой то причине у тебя в системе не запущенно большое количество служб. В частности:

DHCP-клиент

Модуль поддержки NetBIOS через TCP/IP

DNS-клиент

Вспомогательная служба IP

Попробуй запустить их вручную.

По поже проблемы в самой системе, возможно поможет востановление системы.

 

Sergio,

Виновник рекламы как я раньше писал расширение  TS Magic Player. 

Sergio,

Вычислил кто показывает рекламу у тебя.  Рекламу выводят плагин TS Magic Player. 

Нужно отключить плагин и расширение TS Magic Player файрфоксе. А так же желательно совсем удалить ACEStream

 

 

http://rghost.ru/57726116 - 7-й стандартный скрипт http://rghost.ru/57726237 - Virusinfo.info Скрипт сбора файлов

Это не те логи, лог 7-го стандартного скрипта имеет вид virusinfo_auto_имя_вашего_ПК.zip 

[ViktorOBM]

"DHCP-клиент" и "Модуль поддержки NetBIOS через TCP/IP" находятся в состоянии запуска, и ничего сделать с ними нельзя. При запуске "DNS-клиент" выдаёт "ошибка 10107: Произошла ошибка системного вызова.". При запуске "Вспомогательная служба IP" выдаёт "ошибка 1062: Служба не запущена." Фигня какая-то!

А на какую дату откатывать систему?!

Изменено 28 августа, 2014 пользователем ViktorOBM

[VR]

ViktorOBM,

на дату ранее того как возникли проблемы с компом 

[ViktorOBM]

При запуске "Восстановления системы" требует открыть Защиту системы. При попытке её включения на системном диске появляется сначала ошибка "Невозможно создать запланированную задачу по следующей причине: Такой запрос не поддерживается. (0x80070032)", затем "Произошла ошибка на странице свойств: Такой запрос не поддерживается. (0x80070032) Закройте страницу свойств и повторите попытку." При этом в столбце "Защита" написано "Включено", но "Восстановление Системы" всё равно не работает.

[VR]

ViktorOBM,

Тогда думаю только пытатся востановить систему с установочного диска или переустановка ОС. 

[ViktorOBM]

Ну ладно, Спасибо за помощь!!!

[Sergio]

http://rghost.ru/57728062 - virusinfo_autoquarantine.zip

http://rghost.ru/57728079 - virusinfo_syscure.zip

[VR]

Sergio,

я так понимаю проблема решена? 

[Sergio]

Проблема решена, спасибо