Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[D_Master]

~Qred~

логи чистые.

[~Qred~]

D_Master cпс =)

[Dexter]

Dexter

Логи чистые.

Службы "Сервер" и "Обозреватель компьютеров" включены/запущены?

чистые , видимо вирусов нету

но , запущены

а может ATF-cleaner и ComboFix че-нить сделать?

спс за проверку ничего если раз в недельку буду вылаживать?

[Tobi]

уважаемые! =)

залейте заново, кому не трудно на фтп эту инсталяху - HiJackThis*

[VR]

уважаемые! =)

залейте заново, кому не трудно на фтп эту инсталяху - HiJackThis*

HiJackThis лежит живой и здоровый на фтп в папке D_Master качай через тотал.

ftp://ftp.burnet.ru/incoming/users/D_Master/HiJackThis.exe

[Хр]

D_Master Проверь пожалуйста, очень срочно нужно. Компьютер тормозит. винда с 2002 года. заранее спасибо

hijackthis.zip

virusinfo_syscheck.zip

virusinfo_syscure

[D_Master]

Хр

Пофикси в HiJackThis (как фиксить - в шапке):

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, explorer.exe

O4 - HKLM\..\Run: [Barsaka] explorer.exe

Логи AVZ чистые.

Советую обновить операционную систему.

[Tobi]

D_Master

Logs

[wallenberg]

ftp://ftp.burnet.ru/incoming/users/walle/logz/

[Dk]

ftp://ftp.burnet.ru/incoming/users/Dk

[D_Master]

Tobi

пофикси в HiJackThis (как фиксить - в шапке):

R3 - URLSearchHook: (no name) -  - (no file)

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

По логу AVZ ничего подозрительного не вижу.

---

wallenberg

пофикси в HiJackThis (как фиксить - в шапке):

R3 - URLSearchHook: (no name) -  - (no file)

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe','');
DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

begin

Компьютер перезагрузится. После загрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив Quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

---

Dk

Файл C:\WINDOWS\system32\olhrwef.exe знакомый? Если нет, то пофикси в HiJackThis (как фиксить - в шапке):

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

Выполни скрипт в AVZ:

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\0bcobed.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\olhrwef.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\nmdfgds0.dll','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\0bcobed.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

begin

Компьютер перезагрузится. После загрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив Quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

[Tobi]

D_Master

спасибо =)

[Torres]

D_Master Я выложил тебе логи в папку на ftp://ftp.burnet.ru/incoming/users/D_Master/Torres/

Жду помощи. У меня а то трафик левый лезет и лезет.

[wallenberg]

ftp://ftp.burnet.ru/incoming/users/walle/quarantine.zip

[D_Master]

wallenberg

C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe - Trojan.Win32.Buzus.aosr. Повтори логи AVZ (второй стандартный скрипт) и HiJackThis.

Добавлено спустя 8 минут:

Torres

Выполни скрипт в AVZ (как выполнять - в шапке):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{44627E97-789B-40d4-B5C2-58BD171129A1}');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
ExecuteSysClean;
end.

У меня а то трафик левый лезет и лезет.

tcpip.sys видимо патченный, да?

[Torres]

D_Master Выполнил скрипт, tcpip.sys отправлен в карантин. Я не знаю патченый он или нет. Дальше что делать? Комп чист теперь?

[D_Master]

tcpip.sys отправлен в карантин

А где ссылка-то на карантин?

Сорри, вот скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив Quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

[wallenberg]

ftp://ftp.burnet.ru/incoming/users/walle/logs

[Torres]

D_Master ftp://ftp.burnet.ru/incoming/users/D_Master/Torres/ вот сюда кинул архив.

У меня все равно качается метр в час (((

[D_Master]

wallenberg

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\RECYCLER\H-6-1-53-0976546321-090909032-8763-1337\BLaCK.exe');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187322');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
ExecuteSysClean;
end.

Компьютер перезагрузится. После загрузки очисти временные файлы:

- Скачай ATF Cleaner, запусти, поставь галочку напротив Select All и нажми Empty Selected.

- если используешь Firefox, нажми Firefox -> Select All -> Empty Selected

- нажми No, если надо оставить сохраненные пароли

- если пользуешься Oпeрой, выбери Opera -> Select All -> Empty Selected

- нажми No, если надо оставить сохраненные пароли

2. Открой AVZ, выбери Файл - Мастер поиска и устранения проблем, в категории проблемы выбери "Системные проблемы", степень опасности - "Все проблемы", исправь найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

После этого перезагрузись и выполни второй стандартный скрипт AVZ (новый лог).

Torres

tcpip.sys не патченный. Так что, проблема не в вирусах, тщательно проверь настройки сети/файрволла.

[wallenberg]

ftp://ftp.burnet.ru/incoming/users/walle/logs/

ошибка вылетает что то с svchost.exe, что делать?

[Torres]

D_Master Все равно качает метр в час, можешь посмотреть скрины в моей теме - http://ulanovka.ru/forum/viewtopic.php?p=726049#726049

Ну просто не знаю как может такое быть что капает траф (((

[Dk]

D_Master

карантин тут

ftp://ftp.burnet.ru/incoming/users/Dk

[giper86]

giper86

OTCleanIt скачал, но она не грузится ошибка вылазит

Цитата:OTCleanIt - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

Перезалил на фтп OTCleanIt ftp://ftp.burnet.ru/incoming/users/VR/OTCleanIt.exe был коцанный файл

Если все-таки есть подозрения на зловредов давай еще выполним вот такой лог.

Скачай RSIT ftp://ftp.burnet.ru/incoming/users/VR/RSIT.exe. Запусти, выбери проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Залей их на фтп. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

извиняюсь за свое долгое отсутствие БП сдох поэтому не мог раньше написать

я сделал логи RSIT они тут ftp://ftp.burnet.ru/incoming/users/sevkavTV в архив запечатал

[D_Master]

wallenberg

Логи чистые.