Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[Torres]

D_Master Здравствуй! Отправляю тебе логи ftp://ftp.burnet.ru/incoming/users/D_Master/Torres/ моего ноутбука. он весь завирусован, антивир не видит их, но они есть.

Кстати, на компе я решил снести винду, так как ничего не помогает избавится от трафика ((((

[Галсан]

D_Master

Проверь пожалуйста.

вот ftp://ftp.burnet.ru:/incoming/users/D_Master/Галсан/

з.ы. ы 1 год как зарегался

[VR]

Галсан

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\system32\Zodiac.scr','');
QuarantineFile('C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE','');
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Admin\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Admin.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('D:\МУЗЫКА &\Топ, Новинки С Разных Сайтов ver.3\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3','');
DeleteFile('D:\МУЗЫКА &\Топ, Новинки С Разных Сайтов ver.3\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\YLG4AWD1\ertyu[1].exe');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\Documents and Settings\Admin\Admin.exe');
DeleteFile('C:\Documents and Settings\Admin\svchost.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE');
DeleteFile('C:\WINDOWS\system32\Zodiac.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Залей карантин на фтп (файл quarantine.zip из папки AVZ)

Повторите логи 2-й стандартный скрипт AVZ и лог HijackThis

[D_Master]

VR

а зачем удалять системные файлы?

 DeleteFile('C:\WINDOWS\System32\cscript.exe');
 DeleteFile('C:\WINDOWS\System32\cscui.dll');
 DeleteFile('C:\WINDOWS\System32\wscript.exe');

[VR]

VR

а зачем удалять системные файлы?

D_Master спасибо большое что указал на мою ошибку, я сам не заметил как это вышло ведать с просони не туда ткнул, я обычно пишу скрипты с помощью avz_se а тут небыло ее под рукой решил прямо в логах натыкать скрипт, вот ведать и напортачил

Галсан

Извиняюсь за такую не простительную ошибку скрипт поправил.

[giper86]

вдруг не заметили, еще раз!

я сделал логи RSIT они тут ftp://ftp.burnet.ru/incoming/users/sevkavTV в архив запечатал

[Галсан]

VR и D_Master Огромное спасибо!

Повторите логи 2-й стандартный скрипт AVZ и лог HijackThis

А после этого надо вылаживать результаты на фтп?

[D_Master]

Галсан

да.

[Галсан]

вот результаты карантина и 2 стандартного скрипта. ftp://ftp.burnet.ru/incoming/users/D_Master/Галсан/Карантин+2/

[VR]

вдруг не заметили, еще раз!

я сделал логи RSIT они тут ftp://ftp.burnet.ru/incoming/users/sevkavTV в архив запечатал

По логам нечего зловредного не вижу, проверь все программы на предмет авто обновления установи файрвол. Так же не мешало обновить Acrobat 7.0 - на последнюю версию Acrobat 9.1 Трафик так понимаю по-прежнему течет?

Так же немешает поставить СП3 и все обновления после http://ulanovka.ru/forum/viewtopic.php?t=32371

[VR]

Галсан

Эти логи после скрипта или до?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Admin\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\system32\ntshrui.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\Documents and Settings\Admin\svchost.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\Documents and Settings\LocalService\svchost.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\YLG4AWD1\ertyu[1].exe');
DeleteFile('D:\МУЗЫКА &\Топ, Новинки С Разных Сайтов ver.3\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Залей карантин на фтп (файл quarantine.zip из папки AVZ)

Повторите логи 2-й стандартный скрипт AVZ и лог HijackThis и тоже залей на фтп

[D_Master]

 DeleteFile('C:\WINDOWS\system32\ntshrui.dll');

И снова системный файл

Добавлено спустя 7 минут 9 секунд:

Галсан

После выполнения скриптов VR запусти AVZ, выбери AVZPM->Установить драйвер расширенного мониторинга процессов, перезагрузи компьютер, очисти временные файлы:

- Скачай ATF Cleaner, запусти, поставь галочку напротив Select All и нажми Empty Selected.

- если используешь Firefox, нажми Firefox -> Select All -> Empty Selected

- нажми No, если надо оставить сохраненные пароли

- если пользуешься Oпeрой, выбери Opera -> Select All -> Empty Selected

- нажми No, если надо оставить сохраненные пароли

---

Открой AVZ, выбери Файл - Мастер поиска и устранения проблем, в категории проблемы выбери "Системные проблемы", степень опасности - "Все проблемы", исправь найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера" и только после этого делай новые логи.

---

VR, сорри за вмешивание

[VR]

И снова системный файл

Да я знаю что это системный файл я хотел его закинуть в карантин не понимаю как получилось так что написал удалить. Чета сегодня я со мной происходит блин второй раз из-за невнимательности допускаю ляп.

Галсан

Скрипт поправил можешь выполнять безбоязненно

[Neur0m@ncER]

D_Master

а полная проверка компа на вирусы разве не помогает полностью избавится от них? например кис. или HiJackThis* и AVZ круче него?

[D_Master]

Neur0m@ncER

Иногда помогает. Но использовать только антивирус недостаточно. Часто бывает, что после удаления вирусов оказываются отключенными те или иные функции, которые видит сканер.

К тому же, в этой теме подразумевается удаленая помощь в лечении, а без логов это практически не возможно.

[Простой]

Привет, D_Master

Не могу никак сделать эти ссылки, пытался не смог

скажу адрес по-деревенски: в фтп бурнета папка Mirinda, в ней папка "опасно не качай" и там те 3 архива.

Вот только я не смог обновиться в AVZ, там указаны в путях обновления ссылки на какие-то сайты, а ты говорил вырубать интернет и антивирус и всё вообще. Просканировался в АВЗ так - не обновившись, это нормально? или надо обязательно?

[VR]

Простой

Сперва обнови базы, а потом отключай и нет и сканируй.

Добавлено спустя 8 минут 38 секунд:

Пока только такой скрипт

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Distr\Loner\Install\Antivirus\KIS8.exe','');
QuarantineFile('C:\Distr\Loner\Install\Antivirus\KAV8.exe','');
QuarantineFile('C:\Distr\Loner\Install\Antivirus\Ad-Aware.exe','');
QuarantineFile('C:\Distr\BWMeter v4.2.1\Crack\BWMeter.exe.BAK','');
QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\hyclib.dll','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-2475149798-0135312387-008128239-1511\backup.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1198525270-9768830328-861180688-7189\winservices.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1198525270-9768830328-861180688-7189\winservices.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-2475149798-0135312387-008128239-1511\backup.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe');
DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\hyclib.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Профикси

O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\bpfeed.dll (file missing)
O2 - BHO: hyclibP - {E02F7931-8554-45AA-94DB-6F9331954EDA} - C:\Documents and Settings\All Users\Application Data\hyclib.dll

Залей карантин на фтп (файл quarantine.zip из папки AVZ)

Повторите логи с обновленными базами

[Простой]

обновил базы и сделал логи ещё раз. закинул в ту же папку.

когда делаю скрипт Карантин у меня зависает программа и не отвечает, хотя в папке AVZ итак появилась папка Карантин и я его заархивировал он вешает гиг . Неужели кидать целый гиг по фтп? я чёто не то сделал?

как "профиксивают"? скопировал и в ставил текст также как и выше но там не делается ничего ошибку выдаёт.

Добавлено спустя 1 минуту 47 секунд:

а нашёл. там итак есть уже такой файлик зиповский quarantine.

закинул.

[VR]

обновил базы и сделал логи ещё раз. закинул в ту же папку.

Логи до скрипта или после?

как "профиксивают"? скопировал и в ставил текст также как и выше но там не делается ничего ошибку выдаёт.

Как профиксить на писано в шапке этой темы

1. Запустите HijackThis.

2. В главном окне программы нужно нажать кнопочку "Do a system scan only".

3. В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked". Затем следует перегрузить компьютер.

Удали папку Quarantine из папки AVZ, после выполни скрипт AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{E02F7931-8554-45AA-94DB-6F9331954EDA}');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\hyclib.dll','');
QuarantineFile('C:\WINDOWS\TEMP\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys','');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C642131}');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe','');
DeleteService('AMDMSRIO');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe');
DeleteFile('C:\WINDOWS\TEMP\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys');
DeleteFile('C:\Documents and Settings\All Users\Application Data\hyclib.dll');
DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После выполни

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

begin

Залей карантин на фтп

Скачай ftp://ftp.burnet.ru/incoming/users/VR/setup_7.0.0.290_12.04.2009_03-51.exe проведи полную проверку ПК

Повторите логи.

[Галсан]

Э чет после перезагрузки вот че получилось! *01

[D_Master]

Галсан

и зачем тут это сообщение?

[ShakuR]

D_Master

ftp://ftp.burnet.ru/incoming/users/Tw1stEd/

[6-6-6]

у меня здесь первая страница не загружается( хотел опять проверить, а на первую страницу не заходит

Добавлено спустя 2 минуты 37 секунд:

скопируйте кому не лень мне в личку 1 страницу с описанием

[D_Master]

ShakuR

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\adfs.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
QuarantineFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe','');
QuarantineFile('C:\Driver\Files\zerX.exe','');
QuarantineFile('C:\WINDOWS\system32:vcrt80.exe','');
DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
DelCLSID('0922162D-E289-17F9-6283-EAE70BDE63D2');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-74CC2A322142');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187332');
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RemoteRegistry', 4);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

Компьютер перезагрузится. После загрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

[Frank]

D_Master срочно нужна ваша помощь!!!