Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[ope1SiN]

Помогите плиз!!!

Мои Логи

[VR]

ope1SiN

Выполни скрипт AVZ (как выполнять скрипт - в шапке):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\vmcam326av.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\vvftav326.sys','');
QuarantineFile('C:\WINDOWS\VMSnap26.exe','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\SysBsm.exe','');
QuarantineFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe','');
QuarantineFile('C:\SYSTEM\FILES\ARMY.exe','');
DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
DeleteFile('C:\RESTORE\H-6-1-53-0976546321-090909032-8763-1337\GooD.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\SysBsm.exe');
DeleteFile('C:\WINDOWS\VMSnap26.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

Повтори логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и HiJackThis

[$h|{et]

МОЙ лог:ftp://ftp.burnet.ru/incoming/users/D_Master/hijackthis.rar !

[Virus|Hanter]

D_Master

ftp://ftp.burnet.ru/incoming/users/VirusHanter/VirusHanter.rar

[D_Master]

$h|{et

Логи чистые.

Virus|Hanter

пофикси в HiJackThis (как фиксить - в шапке):

O4 - HKLM\..\Run: [XP-57055C8F] C:\WINDOWS\system32\XP-57055C8F.EXE

O4 - HKLM\..\Run: [XP-7D9EB855] C:\WINDOWS\system32\XP-7D9EB855.EXE

O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-57055C8F.EXE

O4 - S-1-5-18 Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-57055C8F.EXE (User 'SYSTEM')

O4 - .DEFAULT Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-57055C8F.EXE (User 'Default user')

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):

SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\xp-57055c8f.exe');
QuarantineFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe','');
QuarantineFile('C:\BIN\RECYCLE\Bin.exe','');
QuarantineFile('C:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('C:\WINDOWS\system32:vcrt80.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-7D9EB855.EXE','');
QuarantineFile('C:\WINDOWS\Temp\E_4\shell.fne','');
QuarantineFile('C:\WINDOWS\Temp\E_4\krnln.fnr','');
QuarantineFile('C:\WINDOWS\Temp\E_4\internet.fne','');
QuarantineFile('C:\WINDOWS\Temp\E_4\eAPI.fne','');
QuarantineFile('C:\WINDOWS\Temp\E_4\dp1.fne','');
QuarantineFile('C:\WINDOWS\Temp\E_4\com.run','');
QuarantineFile('c:\windows\system32\xp-57055c8f.exe','');
QuarantineFile('D:\System Volume Information\_restore{9D9D558C-D718-45D1-B83B-1A8CB76FD9FD}\RP6\A0017198.exe','');
QuarantineFile('BIN.exe','');
DeleteFile('c:\windows\system32\xp-57055c8f.exe');
DeleteFile('C:\WINDOWS\Temp\E_4\com.run');
DeleteFile('C:\WINDOWS\Temp\E_4\dp1.fne');
DeleteFile('C:\WINDOWS\Temp\E_4\eAPI.fne');
DeleteFile('C:\WINDOWS\Temp\E_4\internet.fne');
DeleteFile('C:\WINDOWS\Temp\E_4\krnln.fnr');
DeleteFile('C:\WINDOWS\Temp\E_4\shell.fne');
DeleteFile('C:\WINDOWS\system32\XP-7D9EB855.EXE');
DeleteFile('C:\BIN\RECYCLE\Bin.exe');
DeleteFile('C:\SYSTEM\G-923-321232-3232-32211-23\memory.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

Компьютер перезагрузится. После загрузки выполни ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив Quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

[Virus|Hanter]

D_Master

ftp://ftp.burnet.ru/incoming/users/VirusHanter/quarantine.zip

[D_Master]

Virus|Hanter

Повтори логи AVZ (2й стандартный скрипт) и HiJackThis

[Nike]

Перезалейте "HiJackThisк"

Добавлено спустя 15 секунд:

Перезалейте "HiJackThisк" плз

[VR]

Перезалейте "HiJackThisк"

Хаджик лежит живой и здоровый на фтп качай через тотал.

ftp://ftp.burnet.ru/incoming/users/D_Master/HiJackThis.exe

[Труд]

D_Master я к тебе за помощью

сижу,никого нетрогаю,и тут бац,вылазит синий экран с иероглифами,я перезагрузился

[D_Master]

Труд

Вряд ли вирусы, если в папке \Windows\Minidump\ есть какие-нибудь файлы, скинь на фтп и отпишись в личку или создай отдельную тему

[giper86]

на днях мой каспер kido обнаружил, боюсь еще что-то осталось проверьте пожалуйста

ftp://ftp.burnet.ru/incoming/users/sevkavTV

[D_Master]

giper86

В логах ничего подозрительного не вижу.

[giper86]

а еще я драва Set Point не могу установить на клаву, хотя раньше устанавливались

посмотри

сначала вроде загрузка идет, а потом на середине бац вот ето выдает, хотя каспера и фаеры отключил. короче ругается что типа какой-то антивирус мешает. Раньше я к Вам обращался, а точнее к VR он мне несколько антивирусов дал и возможно какая-то из них мешает однако.

[VR]

giper86

Раньше я к Вам обращался, а точнее к VR он мне несколько антивирусов дал и возможно какая-то из них мешает однако.

Это не анивирусы были, а антируткит утлиты. На сколько я помню я тебе говорил удалить их после лечения.

[giper86]

VR давай еще раз проведем чистку антируткитов, а то мож их надо как-то по особому удалять. А я вместо этого тупо удалю их, а в памяти сохраняться.

вот что у мя осталось:

avz

HiJackThis

gmer

KidoKiller_v3.3.2

KKiller_v3.4.1

mbam-setup

RSIT

[VR]

giper86

Так давай по порядку

avz HiJackThis KidoKiller_v3.3.2 KKiller_v3.4.1

Можно не удалять не какого воздествия они на систему в незапущеном состоянии не оказываешь, если они тебе не нужны то просто удали эти файлы.

Для удаления ComboFix выполни нажами Пуск затем Выполнить в окне набери команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

Перед удалением гмера в папке Windows найди файл gmer_uninstall.cmd запусти его, после удали gmer_uninstall.cmd и gmer.ini, теперь можно удалять папку с Гмером.

[Maki]

Вобщем в браузере открывается китайский сайт задолбал уже !! на этом сайте только картинка 9+5=? и все. Как избавиться от этой напасти. Nod вирусов не нашел

[giper86]

VR

Перед удалением гмера в папке Windows найди файл gmer_uninstall.cmd запусти его, после удали gmer_uninstall.cmd и gmer.ini

вообще не могу найти грит не токого, есть тока:

ComboFix давно удалил, как ты описал

как насчет mbam-setup, RSIT???

[VR]

Maki

Выполни правила в шапке этой теме, так без логов тебе некто не поможет

giper86

вообще не могу найти грит не токого, есть т

Скорей всего ты уже ее удалил как я раньше писал. Для контроля запусти файл gmer_uninstall.cmd из архива а потом удаляй папку спрограммой.

как насчет mbam-setup, RSIT???

их можно так у далить если они тебе мешают, воздествия на систему они не оказывают

P. S. Я очень сомневаюсь что твоя проблемма связана с этим

[sad1st]

вообщем нет желания создвать темы, суть проблемы напишу тут:

есьт папка bonjur, в нём файл mdnsNSP.dll. как его можно грохнуть? выдаёт ошибку чот занят.

вроде это дополнение к сафари. но я старую снёс и поставил новую, но галку на установку бонжур не ставил. В безопасном режиме пытался грохнуть. не помогло. В службах нечего такого нету. в процессах не висит. как такие файлы удаляются?

[D_Master]

sad1st

и какое это оношение имеет к вирусам?

нет желания создвать темы

зато пооффтопить желание есть

В службах нечего такого нету.

А как же MDNS Responder (как-то так)?

[sad1st]

ну я хз в какую тему писать. вообщем чё за респонсед? нету его !

зы% как удалять файлы?

[VR]

sad1st

Unlocker тебе в помощь все действия на твой страх и риск

[nefi]

Посмотрите пожалуйста логи, мне кажется, что у меня что-то завелось... (((

ftp://ftp.burnet.ru/incoming/users/nefi/LOG.rar

есьт папка bonjur, в нём файл mdnsNSP.dll. как его можно грохнуть?

Один файл грохнула через анлок, второй из второй винды на другом винте.