Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[Sergio]

1) Погоду еще вчера пофиксил. На рекламу никак не сказалась. Появляется как раньше.

2) DNS скорее всего настроен автоматический. Не могу посмотреть:

3) Хромом не пользуюсь. Расширения в файрфокс:

4) Лог Gmer - http://rghost.ru/57708231

 

[VR]

Sergio,

1. На счет DNS, возможно это поможет http://answers.microsoft.com/ru-ru/windows/forum/windows_8-networking/%D1%87%D1%82%D0%BE%D0%B1%D1%8B/a23a0d91-1187-47c8-8365-54bf2d218083

2. Попробуй отключить в файрфоксе все расширения и посмотреть будет ли появляться реклама.

3. Сделай лог AVZ 7-й стандартный скрипт (Virusinfo.info Скрипт сбора файлов для экспресс анализа)

[VR]

Sergio,

Вычислил кто показывает рекламу у тебя.  Рекламу выводят плагин TS Magic Player. 

Нужно отключить плагин и расширение TS Magic Player файрфоксе. А так же желательно совсем удалить ACEStream

[ViktorOBM]

Ясно, будем разбираться, Спасибо за помощь!

[ViktorOBM]

Удалил KIS 2010 с помощью специального деинсталлятора — всё летает, лаги как рукой сняло! Вот только ещё куча проблем добавилось: uTorrent при включении выдаёт "WSAStartup() failed, or you have the incorrect version of WinSock installed.", в трее появился значок замка с сообщением "Не удаётся подключиться к службе Windows", в диспетчере подключений к Интернету написано "Нет доступных подключений" и значок крестика, в центре управления сетями и общим доступом написано "Нет данных: Не удалось запустить дочернюю службу." Что происходит?! Это точно не вирус?!

[VR]

ViktorOBM,

Очень напоминает проблемы при некорректном удалении KIS, а именно проблемы с удалением сетевых драйверов.   Посмотри в диспетчере устройств у сетевых адаптеров случаем нету желтых восклицательных знаков?

Так же что имеется ввиду под "Удалил KIS 2010 с помощью специального деинсталлятора"?   Почему не через штатное удаление программ?

И сделай лог GSI http://support.kaspersky.ru/general/dumps/3632#block1

[ViktorOBM]

В диспетчере устройств жёлтых восклицательных знаков нет, написано, что устройства работают нормально.

KIS 2010 я удалил с помощью вот этой программы https://support.kaspersky.ru/common/service.aspx?el=1464

Как делать лог GSI, я не совсем понял, т.к. там нужен доступ в Интернет, которого у меня нет.

[VR]

ViktorOBM,

 Нужно на том компе где есть инет скачать утилиту GSI после чего например на флешке перенести ее на проблеммный пк и там сделать лог утилиты (он будет сохранен на рабочий стол) после чего пренести его на флешке на комп с интернетом. 

[ViktorOBM]

Ок, понял.

Вот лог GSI

http://disk.tom.ru/6qljzqw

[Sergio]

1. На счет DNS, возможно это поможет http://answers.micro...65-54bf2d218083

При удалении адаптера программа вроде как зависла, дальше не стал пробывать

2. Попробуй отключить в файрфоксе все расширения и посмотреть будет ли появляться реклама.

Действительно реклама больше не появляется.

3. Сделай лог AVZ 7-й стандартный скрипт (Virusinfo.info Скрипт сбора файлов для экспресс анализа)

http://rghost.ru/57726116 - 7-й стандартный скрипт

http://rghost.ru/57726237 - Virusinfo.info Скрипт сбора файлов

[VR]

ViktorOBM, 

По логу GSI не каких остатков KIS не видно, зато видно что по какой то причине у тебя в системе не запущенно большое количество служб. В частности:

DHCP-клиент

Модуль поддержки NetBIOS через TCP/IP

DNS-клиент

Вспомогательная служба IP

Попробуй запустить их вручную.

По поже проблемы в самой системе, возможно поможет востановление системы.

 

Sergio,

Виновник рекламы как я раньше писал расширение  TS Magic Player. 

Sergio,

Вычислил кто показывает рекламу у тебя.  Рекламу выводят плагин TS Magic Player. 

Нужно отключить плагин и расширение TS Magic Player файрфоксе. А так же желательно совсем удалить ACEStream

 

 

http://rghost.ru/57726116 - 7-й стандартный скрипт http://rghost.ru/57726237 - Virusinfo.info Скрипт сбора файлов

Это не те логи, лог 7-го стандартного скрипта имеет вид virusinfo_auto_имя_вашего_ПК.zip 

[ViktorOBM]

"DHCP-клиент" и "Модуль поддержки NetBIOS через TCP/IP" находятся в состоянии запуска, и ничего сделать с ними нельзя. При запуске "DNS-клиент" выдаёт "ошибка 10107: Произошла ошибка системного вызова.". При запуске "Вспомогательная служба IP" выдаёт "ошибка 1062: Служба не запущена." Фигня какая-то!

А на какую дату откатывать систему?!

Изменено 28 августа, 2014 пользователем ViktorOBM

[VR]

ViktorOBM,

на дату ранее того как возникли проблемы с компом 

[ViktorOBM]

При запуске "Восстановления системы" требует открыть Защиту системы. При попытке её включения на системном диске появляется сначала ошибка "Невозможно создать запланированную задачу по следующей причине: Такой запрос не поддерживается. (0x80070032)", затем "Произошла ошибка на странице свойств: Такой запрос не поддерживается. (0x80070032) Закройте страницу свойств и повторите попытку." При этом в столбце "Защита" написано "Включено", но "Восстановление Системы" всё равно не работает.

[VR]

ViktorOBM,

Тогда думаю только пытатся востановить систему с установочного диска или переустановка ОС. 

[ViktorOBM]

Ну ладно, Спасибо за помощь!!!

[Sergio]

http://rghost.ru/57728062 - virusinfo_autoquarantine.zip

http://rghost.ru/57728079 - virusinfo_syscure.zip

[VR]

Sergio,

я так понимаю проблема решена? 

[Sergio]

Проблема решена, спасибо

[deidara_sv]

Привет! Буду Благодарен)) Проверьте - http://disk.tom.ru/s28166v

[VR]

deidara_sv, 

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

beginSearchRootkit(true, true);SetAVZGuardStatus(True); QuarantineFile('E:\Documents and Settings\User\Главное меню\Программы\Photo.exe',''); QuarantineFile('E:\Documents and Settings\User\Application Data\Microsoft\Dphuhx.exe',''); QuarantineFile('C:\Program Files\louderit\LouderIt.exe',''); QuarantineFile('E:\Program Files\IObit\LiveUpdate\LiveUpdate.exe',''); QuarantineFile('E:\WINDOWS\system32\HPSIsvc.exe',''); QuarantineFile('E:\WINDOWS\system32\SHELL32.dll','');BC_ImportAll;ExecuteWizard('TSW',2,3,true);BC_Activate;RebootWindows(true);end.

После перзагрузки еще один скрипт AVZ: 

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.
Cделай новые логи AVZ (2-й стандартный скрипт AVZ) 

[volant]

https://cloud.mail.ru/public/11edcf12331a%2FKL_syscure.zip

[VR]

volant,

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

beginSearchRootkit(true, true);SetAVZGuardStatus(True); QuarantineFile('J:\autorun.inf',''); QuarantineFile('C:\Temp\6741078.exe',''); QuarantineFile('cmd.exe /c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Temp\20921356 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts && erase C:\Temp\1419723.exe',''); QuarantineFile('C:\Temp\2745048.exe',''); QuarantineFile('C:\Temp\20855243',''); QuarantineFile('C:\Temp\23952097aq',''); QuarantineFile('C:\Windows\system32\drivers\etc\hosts',''); QuarantineFile('cmd.exe /c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Temp\23952097aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts',''); QuarantineFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll',''); QuarantineFile('C:\Program Files (x86)\EAM-TR.exe',''); QuarantineFile('C:\Program',''); QuarantineFile('%SystenRoot%\System32\netevent.dll',''); QuarantineFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe',''); DeleteService('APNMCP'); QuarantineFile('c:\program files (x86)\askpartnernetwork\toolbar\updater\tbnotifier.exe',''); QuarantineFile('c:\program files (x86)\askpartnernetwork\toolbar\apnmcp.exe',''); DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe','32'); DeleteFile('C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ApnTBMon'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon','command'); DeleteFile('C:\Program Files (x86)\EAM-TR.exe','32'); DeleteFile('C:\Windows\Tasks\At1.job','64'); DeleteFile('cmd.exe /c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Temp\23952097aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts','32'); DeleteFile('C:\Temp\23952097aq','32'); DeleteFile('cmd.exe /c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Temp\20855243 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts && erase C:\Temp\2745048.exe','32'); DeleteFile('C:\Windows\Tasks\At2.job','64'); DeleteFile('C:\Temp\20855243','32'); DeleteFile('C:\Temp\2745048.exe','32'); DeleteFile('C:\Windows\Tasks\At3.job','64'); DeleteFile('cmd.exe /c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Temp\20921356 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts && erase C:\Temp\1419723.exe','32'); DeleteFile('C:\Temp\20921356','32'); DeleteFile('C:\Temp\1419723.exe','32'); DeleteFile('C:\Windows\Tasks\At4.job','64'); DeleteFile('cmd.exe /c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Temp\15161471 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts && erase C:\Temp\1654981.exe','32'); DeleteFile('C:\Temp\15161471','32'); DeleteFile('C:\Temp\1654981.exe','32'); DeleteFile('C:\Windows\Tasks\At5.job','64'); DeleteFile('cmd.exe /c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Temp\82794067 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts && erase C:\Temp\8987902.exe','32'); DeleteFile('C:\Temp\82794067','32'); DeleteFile('C:\Temp\8987902.exe','32'); DeleteFile('C:\Windows\Tasks\At6.job','64'); DeleteFile('cmd.exe /c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Temp\83194100 C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts && erase C:\Temp\6741078.exe','32'); DeleteFile('C:\Temp\83194100','32'); DeleteFile('C:\Temp\6741078.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Funmoods','64'); DeleteFile('C:\Windows\system32\Tasks\{26737CA4-BC7A-4E02-9F7A-F17CA3139A0A}','64'); DeleteFile('C:\Windows\system32\Tasks\{B4C3A3C7-FD8F-48C7-AF4A-9F9B3623971B}','64'); DeleteFile('J:\autorun.inf','32');BC_ImportAll;ExecuteSysClean;ExecuteWizard('TSW',1,1,true);BC_Activate;RebootWindows(true);end. 

После перзагрузки еще один скрипт AVZ: 

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.
Cделай новые логи AVZ (2-й стандартный скрипт AVZ) 

[volant]

https://cloud.mail.ru/public/dd19d6d984d9%2Favz4.rar

[VR]

volant,

Сделай лог Malwarebytes Antimalware  (как сделать лог см. -  в шапке)