Для тех, чьи системы заражены вирусами!

D_Master · 27 ноября, 2008

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

Как сделать логи AVZ

Скрытый текст

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола.

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits".

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению.

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

_andy_ · 8 апреля, 2015

Скачайте сканеры Malwarebytes Anti-Malware и HitmanPro и просканируйте.

И еще в в конце AdwCleaner

VR · 8 апреля, 2015

takata,

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

beginSearchRootkit(true, true);SetAVZGuardStatus(True); QuarantineFile('C:\Program Files (x86)\Infigo\Infigo.exe',''); DeleteService('{90280f97-bcf9-4f01-b773-3eeda0515e95}Gw64'); DeleteService('{21d3b30d-5feb-4224-9a1d-01f7d9334705}Gw64'); DeleteService('qrnfd_1_10_0_9'); TerminateProcessByName('C:\Program Files (x86)\PC Speed Up\SpeedCheckerService.exe'); TerminateProcessByName('c:\program files (x86)\pc speed up\pcsuservice.exe'); DeleteFile('c:\program files (x86)\pc speed up\pcsuservice.exe','32'); DeleteFile('C:\Program Files (x86)\PC Speed Up\SpeedCheckerService.exe','32'); DeleteFile('C:\WINDOWS\system32\drivers\qrnfd_1_10_0_9.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{21d3b30d-5feb-4224-9a1d-01f7d9334705}Gw64.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\{90280f97-bcf9-4f01-b773-3eeda0515e95}Gw64.sys','32'); DeleteFile('C:\Program Files (x86)\PC Speed Up\PCSUNotifier.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCSpeedUp'); DeleteFile('C:\ProgramData\WindowsMangerPro','32'); DeleteFile('C:\WINDOWS\Tasks\992af33b-d06c-416b-b514-134c9b7c31d6-1-6.job','64'); DeleteFile('C:\WINDOWS\Tasks\992af33b-d06c-416b-b514-134c9b7c31d6-10_user.job','64'); DeleteFile('C:\WINDOWS\Tasks\992af33b-d06c-416b-b514-134c9b7c31d6-5_user.job','64'); DeleteFile('C:\WINDOWS\Tasks\ADMTLKJJ.job','64'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\WINDOWS\Tasks\PC SpeedUp Service Deactivator.job','64'); DeleteFile('C:\WINDOWS\system32\Tasks\992af33b-d06c-416b-b514-134c9b7c31d6-1-6','64'); DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\WINDOWS\system32\Tasks\CLMLSvc_P2G8','64'); DeleteFile('C:\WINDOWS\system32\Tasks\{E9CECCC8-D4B6-41AD-9AA1-4137587DEC64}','64'); DeleteFile('C:\WINDOWS\system32\Tasks\PC SpeedUp Service Deactivator','64');BC_ImportAll;ExecuteSysClean;ExecuteWizard('TSW',2,3,true);BC_Activate;RebootWindows(true);end.

После перзагрузки еще один скрипт AVZ:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.
Cделай новые логи AVZ (2-й стандартный скрипт AVZ)

Сделай лог Malwarebytes Antimalware (как сделать лог см. - в шапке)

fol3r · 21 апреля, 2015

https://cloud.mail.ru/public/c10dd3ff2156/quarantine.zip

VR · 22 апреля, 2015

fol3r, это что за карантин?

fol3r · 22 апреля, 2015

fol3r, это что за карантин?

https://cloud.mail.ru/public/4QSCei63DbAK/quarantine%20(3).zipсорри нето

VR · 22 апреля, 2015

https://cloud.mail.ru/public/4QSCei63DbAK/quarantine%20(3).zipсорри нето

Так это так же не понятно что такое. Ты хочешь выложить логи? если да то нужен архив KL_syscure.zip

fol3r · 23 апреля, 2015

Так это так же не понятно что такое. Ты хочешь выложить логи? если да то нужен архив KL_syscure.zip

https://cloud.mail.ru/public/36WxMA4VWAbn/KL_syscure%20(1).zip

VR · 23 апреля, 2015

fol3r,

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

beginSearchRootkit(true, true);SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\TsUsbRedirectionGroupPolicyExtension.dll',''); QuarantineFile('C:\Program Files (x86)\Home Media Server\hmssvc.exe',''); QuarantineFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys',''); DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64'); DeleteService('WinRing0_1_0_1'); QuarantineFile('C:\Users\fol3r\AppData\Local\Temp\Rar$EX00.616\SetFSB\WinRing0x64.sys',''); DeleteService('hjlkfdajklfed3dfa'); DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64'); QuarantineFile('C:\Program Files (x86)\NetCrawl\bin\utilNetCrawl.exe',''); QuarantineFile('C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe',''); QuarantineFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys',''); QuarantineFile('C:\Program Files (x86)\SupTab\cfgdrv64.cfg',''); QuarantineFile('C:\PROGRA~3\VKSaver\vksaver3.dll',''); QuarantineFile('C:\PROGRA~2\Raptr\ltc_host.DLL',''); QuarantineFile('C:\PROGRA~2\Raptr\ltc_help32-86352.dll',''); QuarantineFile('c:\programdata\vksaver\vksaver.exe',''); QuarantineFile('C:\Program Files (x86)\Raptr\raptr_ep64.exe',''); QuarantineFile('c:\progra~2\raptr\raptr_im.exe',''); QuarantineFile('c:\progra~2\raptr\raptr.exe',''); QuarantineFile('c:\program files (x86)\home media server\hmssvc.exe',''); DeleteFile('C:\Program Files (x86)\SupTab\cfgdrv64.cfg','32'); DeleteFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys','32'); DeleteFile('C:\Users\fol3r\AppData\Local\Temp\Rar$EX00.616\SetFSB\WinRing0x64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon','command'); DeleteFile('C:\Users\fol3r\AppData\Local\Temp\584E0648-B5427268-55CDEA28-7805460\8hZbVWanwkbiKFr.exe','32'); DeleteFile('C:\Users\fol3r\AppData\Local\Temp\584E0648-B5427268-55CDEA28-7805460\EAirpvemy.exe','32'); DeleteFile('C:\Windows\Tasks\SpeedUpMyPC Maintenance.job','64'); DeleteFile('C:\Windows\Tasks\SpeedUpMyPC Startup.job','64'); DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Maintenance','64'); DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Startup','64'); DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64'); DeleteFile('G:\autorun.inf','32'); DeleteFile('C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe','32'); DeleteFile('C:\Program Files (x86)\NetCrawl\bin\utilNetCrawl.exe','32');BC_ImportAll;ExecuteSysClean;ExecuteWizard('TSW',2,3,true);BC_Activate;RebootWindows(true);end.

После перзагрузки еще один скрипт AVZ:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.
Cделай новые логи AVZ (2-й стандартный скрипт AVZ)

Сделай лог Malwarebytes Antimalware (как сделать лог см. - в шапке)

fol3r · 23 апреля, 2015

fol3r,

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

beginSearchRootkit(true, true);SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\TsUsbRedirectionGroupPolicyExtension.dll',''); QuarantineFile('C:\Program Files (x86)\Home Media Server\hmssvc.exe',''); QuarantineFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys',''); DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64'); DeleteService('WinRing0_1_0_1'); QuarantineFile('C:\Users\fol3r\AppData\Local\Temp\Rar$EX00.616\SetFSB\WinRing0x64.sys',''); DeleteService('hjlkfdajklfed3dfa'); DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64'); QuarantineFile('C:\Program Files (x86)\NetCrawl\bin\utilNetCrawl.exe',''); QuarantineFile('C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe',''); QuarantineFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys',''); QuarantineFile('C:\Program Files (x86)\SupTab\cfgdrv64.cfg',''); QuarantineFile('C:\PROGRA~3\VKSaver\vksaver3.dll',''); QuarantineFile('C:\PROGRA~2\Raptr\ltc_host.DLL',''); QuarantineFile('C:\PROGRA~2\Raptr\ltc_help32-86352.dll',''); QuarantineFile('c:\programdata\vksaver\vksaver.exe',''); QuarantineFile('C:\Program Files (x86)\Raptr\raptr_ep64.exe',''); QuarantineFile('c:\progra~2\raptr\raptr_im.exe',''); QuarantineFile('c:\progra~2\raptr\raptr.exe',''); QuarantineFile('c:\program files (x86)\home media server\hmssvc.exe',''); DeleteFile('C:\Program Files (x86)\SupTab\cfgdrv64.cfg','32'); DeleteFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys','32'); DeleteFile('C:\Users\fol3r\AppData\Local\Temp\Rar$EX00.616\SetFSB\WinRing0x64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon','command'); DeleteFile('C:\Users\fol3r\AppData\Local\Temp\584E0648-B5427268-55CDEA28-7805460\8hZbVWanwkbiKFr.exe','32'); DeleteFile('C:\Users\fol3r\AppData\Local\Temp\584E0648-B5427268-55CDEA28-7805460\EAirpvemy.exe','32'); DeleteFile('C:\Windows\Tasks\SpeedUpMyPC Maintenance.job','64'); DeleteFile('C:\Windows\Tasks\SpeedUpMyPC Startup.job','64'); DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Maintenance','64'); DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Startup','64'); DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64'); DeleteFile('G:\autorun.inf','32'); DeleteFile('C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe','32'); DeleteFile('C:\Program Files (x86)\NetCrawl\bin\utilNetCrawl.exe','32');BC_ImportAll;ExecuteSysClean;ExecuteWizard('TSW',2,3,true);BC_Activate;RebootWindows(true);end.

После перзагрузки еще один скрипт AVZ:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Cделай новые логи AVZ (2-й стандартный скрипт AVZ)

Сделай лог Malwarebytes Antimalware (как сделать лог см. - в шапке)

https://cloud.mail.ru/public/2cRdHpeLdjpb/virusinfo_syscheck%20(2).zip

https://cloud.mail.ru/public/C78yrc3qh8y8/quarantine%20(4).zip

VR · 26 апреля, 2015

fol3r,

А где лог Malwarebytes Antimalware?

Через Программы и компоненты удали следующие приложения Spyware Terminator 2015 и SpyHunter 4 это псевдо антишпиоские программы от которых мало пользо, но много разной рекламы.

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

beginSearchRootkit(true, true);SetAVZGuardStatus(True); QuarantineFile('C:\Users\fol3r\appdata\local\systemdir\nethost.exe',''); QuarantineFile('C:\Program Files (x86)\VK Downloader\kfCFztp.exe.exe',''); QuarantineFile('C:\Users\fol3r\AppData\Local\SystemDir\nethost.exe',''); QuarantineFile('C:\Users\fol3r\AppData\Roaming\Leadertech\PowerRegister\Регистрация',''); QuarantineFile('Seagate.exe',''); QuarantineFile('C:\Program Files (x86)\Microsoft Data\install_addons.exe',''); DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}'); QuarantineFile('C:\Program Files (x86)\VK Downloader\IEEF\c9pPYtag0O.dll',''); DeleteService('VGPU'); DeleteFile('C:\Windows\system32\drivers\rdvgkmd.sys','32'); DeleteFile('C:\Users\fol3r\AppData\Local\Temp\45F90A4F-C7E7A7C-9814FA87-87CBBE84\FxJjY4kJS.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gaxryflkvh'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1686428246-1921814129-3452200998-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\Run','gaxryflkvh'); DeleteFile('C:\Program Files (x86)\VK Downloader\IEEF\c9pPYtag0O.dll','32'); DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','64'); DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','64'); DeleteFile('C:\Windows\system32\Tasks\chrome5','64'); DeleteFile('C:\Program Files (x86)\Microsoft Data\install_addons.exe','32'); DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64'); DeleteFile('C:\Windows\system32\Tasks\Leader Technologies\PowerRegister\Регистрация Seagate (fol3r)','64'); DeleteFile('C:\Windows\system32\Tasks\nethost task','64'); DeleteFile('C:\Users\fol3r\AppData\Local\SystemDir\nethost.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','64'); DeleteFile('C:\Program Files (x86)\VK Downloader\kfCFztp.exe.exe','32'); DeleteFile('C:\Users\fol3r\appdata\local\systemdir\nethost.exe','32');BC_ImportAll;ExecuteSysClean;ExecuteWizard('TSW',2,3,true);BC_Activate;RebootWindows(true);end.

После перзагрузки еще один скрипт AVZ:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.
Cделай новые логи AVZ (2-й стандартный скрипт AVZ)

fol3r · 26 апреля, 2015

https://cloud.mail.ru/public/7CE7wmTBgCvX/quarantine%20(5).zip

https://cloud.mail.ru/public/5E6xT14Tnqo6/%D0%B2%D0%B8%D1%80%D1%83%D1%81%D1%8B%20(1).txt

Изменено 26 апреля, 2015 пользователем fol3r

VR · 26 апреля, 2015

Вот эти приложения Spyware Terminator 2015 и SpyHunter 4 удалили через штатное удаление программ?

Так а новые логи AVZ где?

fol3r · 26 апреля, 2015

удалил а сори логи поже

fol3r · 26 апреля, 2015

Вот эти приложения Spyware Terminator 2015 и SpyHunter 4 удалили через штатное удаление программ?
Так а новые логи AVZ где?

https://cloud.mail.ru/public/3TGEJ9ZKLNtZ/virusinfo_syscheck%20(3).zip

VR · 27 апреля, 2015

fol3r,

Что сейчас с проблемами?

fol3r · 27 апреля, 2015

fol3r,
Что сейчас с проблемами?

только сайт постоянно октрывается самопроизвольно page-click

VR · 27 апреля, 2015

fol3r,

Сделай скриншот где будет видно открытый page-click.

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

beginSearchRootkit(true, true);SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\TsUsbRedirectionGroupPolicyExtension.dll',''); DeleteService('iSafeKrnlMon'); DeleteService('EsgScanner'); DeleteService('esgiguard'); DeleteService('SpyHunter 4 Service'); DeleteFile('C:\PROGRAM FILES\ENIGMA SOFTWARE GROUP\SPYHUNTER\SH4SERVICE.EXE','32'); DeleteFile('C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\EsgScanner.sys','32'); BC_DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpywareTerminatorShield','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpywareTerminatorUpdater','command'); DeleteFile('C:\USERS\FOL3R\APPDATA\LOCAL\TEMP\45F90A4F-C7E7A7C-9814FA87-87CBBE84\ZUOZDJEJWFI.EXE','32'); DeleteFile('C:\Windows\system32\Tasks\Leader Technologies\PowerRegister\Регистрация Seagate (fol3r)','64'); DeleteFile('C:\Windows\system32\Tasks\SpyHunter4Startup','64'); DeleteFile('C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe','32');BC_ImportAll;ExecuteSysClean;ExecuteWizard('TSW',1,1,true);BC_Activate;RebootWindows(true);end.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
* Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
* Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

* Нажмите кнопку Scan.
* После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
* Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

fol3r · 27 апреля, 2015

fol3r,
Сделай скриншот где будет видно открытый page-click.
Выполнить скрипт AVZ (как выполнять скрипт - в шапке)
beginSearchRootkit(true, true);SetAVZGuardStatus(True); QuarantineFile('C:\Windows\System32\TsUsbRedirectionGroupPolicyExtension.dll',''); DeleteService('iSafeKrnlMon'); DeleteService('EsgScanner'); DeleteService('esgiguard'); DeleteService('SpyHunter 4 Service'); DeleteFile('C:\PROGRAM FILES\ENIGMA SOFTWARE GROUP\SPYHUNTER\SH4SERVICE.EXE','32'); DeleteFile('C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\EsgScanner.sys','32'); BC_DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpywareTerminatorShield','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpywareTerminatorUpdater','command'); DeleteFile('C:\USERS\FOL3R\APPDATA\LOCAL\TEMP\45F90A4F-C7E7A7C-9814FA87-87CBBE84\ZUOZDJEJWFI.EXE','32'); DeleteFile('C:\Windows\system32\Tasks\Leader Technologies\PowerRegister\Регистрация Seagate (fol3r)','64'); DeleteFile('C:\Windows\system32\Tasks\SpyHunter4Startup','64'); DeleteFile('C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe','32');BC_ImportAll;ExecuteSysClean;ExecuteWizard('TSW',1,1,true);BC_Activate;RebootWindows(true);end. 
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
* Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
* Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
B92LqRQ.png
* Нажмите кнопку Scan.
* После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
* Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

https://cloud.mail.ru/public/fXwM4pZE7QPR/Documents.rar

VR · 28 апреля, 2015

fol3r,

только сайт постоянно октрывается самопроизвольно page-click

Можно подробней когда и как именно вылазит? Желательно со скриншотами.

Buch · 27 мая, 2015

Привет!
Нужна помощь в лечении рекламных баннеров в браузерах и постоянно загружаемых левых страниц при клике мышкой.
Причина, по глупости был скачан сторонний ехе файл и установлен на комп, после чего система сразу перезапустилась и появились левые установленные программы, реклама в браузерах и некорректная их работа.
Систему проверил Авастом, утилитой др.Веб, AVZ, adwcleaner_4.205 (каждый антивирус что то нашел и удалил), левые программы деинсталировал, восстановил ссылки ярлыков на браузеры, но рекламные баннеры и загружаемые при клике страницы остались. (пользуюсь Хромом и ИЕ)
лог AVZ https://cloud.mail.ru/public/2bU6/duUkTwJg8

копия http://disk.tom.ru/8emhl23

Изменено 27 мая, 2015 пользователем Buch

VR · 28 мая, 2015

Buch,

Выполнить скрипт AVZ (как выполнять скрипт - в шапке)

beginSearchRootkit(true, true);SetAVZGuardStatus(True); QuarantineFile('C:\Windows\system32\ha.exe',''); QuarantineFile('C:\Windows\system32\ntkrnlpa.exe',''); QuarantineFile('C:\Program Files\IObit\Driver',''); DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}'); QuarantineFile('c:\users\aleksandr\appdata\local\temp\3B862044-61030DCA-33EA0F4-9E3ED7D\fKsmiN0octFT9.exe',''); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\Browsers\exe.erolpxei.bat http://2knl.org/?src=hp4&subid1=feb',''); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\Browsers\exe.emorhc.bat http://2knl.org/?src=hp4&subid1=feb',''); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\Browsers\exe.emorhc.bat',''); DeleteService('VGPU'); DeleteService('delolobe'); DeleteService('cypykylu'); QuarantineFile('C:\Program Files\Far2\plugins\bc\bcsvc.exe',''); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\00000000-1432356048-0000-0000-001FD0D1F96B\jnssE6F5.tmp',''); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\00000000-1432356048-0000-0000-001FD0D1F96B\hnsn85C.tmp',''); QuarantineFile('c:\users\aleksandr\appdata\roaming\00000000-1432356048-0000-0000-001fd0d1f96b\jnsse6f5.tmp',''); QuarantineFile('c:\users\aleksandr\appdata\roaming\00000000-1432356048-0000-0000-001fd0d1f96b\hnsn85c.tmp',''); DeleteFile('c:\users\aleksandr\appdata\roaming\00000000-1432356048-0000-0000-001fd0d1f96b\hnsn85c.tmp','32'); DeleteFile('c:\users\aleksandr\appdata\roaming\00000000-1432356048-0000-0000-001fd0d1f96b\jnsse6f5.tmp','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\00000000-1432356048-0000-0000-001FD0D1F96B\hnsn85C.tmp','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\00000000-1432356048-0000-0000-001FD0D1F96B\jnssE6F5.tmp','32'); DeleteFile('C:\Windows\system32\drivers\rdvgkmd.sys','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\Browsers\exe.emorhc.bat http://2knl.org/?src=hp4&subid1=feb','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\Browsers\exe.erolpxei.bat http://2knl.org/?src=hp4&subid1=feb','32'); DeleteFile('c:\users\aleksandr\appdata\local\temp\3B862044-61030DCA-33EA0F4-9E3ED7D\fKsmiN0octFT9.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{3EE97E0A-2144-44BD-B777-AC5BEBD8AEDC}','32'); DeleteFile('C:\Windows\system32\Tasks\{6D1378EA-EBFD-4461-A139-C8833468142F}','32'); DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (Aleksandr)','32'); DeleteFile('Booster\DriverBooster.exe','32'); DeleteFile('C:\Program Files\IObit\Driver','32');BC_ImportAll;ExecuteSysClean;ExecuteWizard('TSW',2,3,true);BC_Activate;RebootWindows(true);end.

После перзагрузки еще один скрипт AVZ:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.
Cделай новые логи AVZ (2-й стандартный скрипт AVZ)

Сделай лог Malwarebytes Antimalware (как сделать лог см. - в шапке)

burvod · 13 июня, 2015

Почтой пришло письмо при открытии которого были зашифрованы все файлы в ноутбуке. Ноутбук рабочий, т.е. использую в рабочих целях. Очень нужно расшифровать. К одному обратилась, но он ее смог ничего сделать. Помогите пожалуйста. На раб столе окно выскочило "для расшифровки отправтте письмо и указан эл адрес". Брюсь, что деньги получат как пишут в интернете и не расшифруют и много просят чет около 5т.р. Кто может пожалуйста помогите!!!!! Тел. 679080

VR · 14 июня, 2015

Почтой пришло письмо при открытии которого были зашифрованы все файлы в ноутбуке. Ноутбук рабочий, т.е. использую в рабочих целях. Очень нужно расшифровать. К одному обратилась, но он ее смог ничего сделать. Помогите пожалуйста. На раб столе окно выскочило "для расшифровки отправтте письмо и указан эл адрес". Брюсь, что деньги получат как пишут в интернете и не расшифруют и много просят чет около 5т.р. Кто может пожалуйста помогите!!!!! Тел. 679080

Для того чтоб понять возможна ли расшифровка нужны зашифрованные файлы, нужно любых три зашифрованных файла для проверки.

Так же сделайте логи согласно инструкции в первом сообщении этой темы.

burvod · 15 июня, 2015

Почтой пришло письмо при открытии которого были зашифрованы все файлы в ноутбуке. Ноутбук рабочий, т.е. использую в рабочих целях. Очень нужно расшифровать. К одному обратилась, но он ее смог ничего сделать. Помогите пожалуйста. На раб столе окно выскочило "для расшифровки отправтте письмо и указан эл адрес". Брюсь, что деньги получат как пишут в интернете и не расшифруют и много просят чет около 5т.р. Кто может пожалуйста помогите!!!!! Тел. 679080

как мне сказали вирус или шифратор как его назвать, называется если не ошибаюсь - пинетрат, как-то так. Может кто-нибудь сможет мне дешифровать. Связалась с вирусораспространителем, он мне назвал сумму 15 000 руб.

Для того чтоб понять возможна ли расшифровка нужны зашифрованные файлы, нужно любых три зашифрованных файла для проверки.
Так же сделайте логи согласно инструкции в первом сообщении этой темы.

А как эти три зашифрованных файлов проверить?

VR · 15 июня, 2015

А как эти три зашифрованных файлов проверить?

Взять любые три зашифрованные файла, добавить их в архив после чего этот архив загрузить на любой файлообменить, а тут дать на него ссылку

Войти

Для тех, чьи системы заражены вирусами!

Вопрос

Ссылка на комментарий

3 699 ответов на этот вопрос

Рекомендуемые сообщения

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Последние посетители 0 пользователей онлайн

3 699 ответов на этот вопрос