Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

Roland

Выполни скрипт AVZ (как выполнять - в шапке):


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
DeleteService('awp');
DeleteService('satey Service');
DeleteService('rrr');
DeleteService('gtgfh');
DeleteService('dllos');
QuarantineFile('C:\WINDOWS\system32\gtgfh.exe','');
QuarantineFile('C:\WINDOWS\system32\piljg.exe','');
QuarantineFile('C:\WINDOWS\df.exe','');
QuarantineFile('c:\windows\system32\o1652ib1y\j002.exe','');
QuarantineFile('c:\windows\df.exe','');
QuarantineFile('C:\WINDOWS\system32\awp.exe','');
QuarantineFile('C:\WINDOWS\system32\O1652IB1Y\J002.exe','');
QuarantineFile('C:\PROGRA~1\DOWNLO~1\dmiehlp.dll','');
QuarantineFile('c:\windows\system32\tdeaqb.gtm','');
QuarantineFile('F:\Проги\fpsetup.exe','');
QuarantineFile('?','');
BC_DeleteFile('?');
TerminateProcessByName('?');
DeleteFile('F:\Проги\fpsetup.exe');
DelBHO('{9961627E-4059-41B4-8E0E-A7D6B3854ADF}');
DeleteFile('C:\autorun.inf');
DeleteFile('c:\windows\system32\tdeaqb.gtm');
DeleteFile('C:\PROGRA~1\DOWNLO~1\dmiehlp.dll');
BC_DeleteFile('C:\WINDOWS\df.exe');
BC_DeleteFile('C:\WINDOWS\system32\piljg.exe');
BC_DeleteFile('C:\WINDOWS\system32\gtgfh.exe');
DeleteFile('C:\WINDOWS\system32\O1652IB1Y\J002.exe');
DeleteFile('C:\WINDOWS\system32\awp.exe');
DeleteFile('c:\windows\df.exe');
DeleteFile('c:\windows\system32\o1652ib1y\j002.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В AVZ Файл/Мастер поиска и устранения проблем нажми Поиск отметь все найденные проблеммы и нажми Исправаить отмеченные проблемы

>> Таймаут завершения служб находится за пределами допустимых значений

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

quarantine.zip из папки AVZ залей на фтп

повтори лог sysinfo (стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

D_Master

а не ошибка продолжает вылазить что еще сделать помоги пожалуйста

Добавлено спустя 45 минут 43 секунды:

15.JPG адресная строка вот так выходит она еще заблокирована

Ссылка на комментарий
  • 0

Genius

Выполни скрипт AVZ (как выполнять - в шапке):


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
QuarantineFile('C:\WINDOWS.0\system32\ntshrui.dll','');
QuarantineFile('C:\Games\Читпроги\Ufasoft.rar','');
QuarantineFile('C:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('H:\Setup.exe','');
QuarantineFile('C:\WINDOWS.0\system32\rebuild.exe','');
QuarantineFile('C:\DOCUME~1\738E~1.WIN\LOCALS~1\Temp\Rar$EX01.782\Ufasoft\Sniffer\usft_sn4.sys','');
DeleteFile('H:\Setup.exe');
DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
DeleteFile('C:\Games\Читпроги\Ufasoft.rar');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После выполни еще один скрипт в AVZ.


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Профикси в HiJackThis (как фиксить - в шапке):


F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS.0\system32\csrcs.exe

quarantine.zip из папки AVZ залей на фтп

повтори лог sysinfo ( стандартный скрипт AVZ) и HiJackThis

Ссылка на комментарий
  • 0
Genius

Выполни скрипт AVZ (как выполнять - в шапке):


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
QuarantineFile('C:\WINDOWS.0\system32\ntshrui.dll','');
QuarantineFile('C:\Games\Читпроги\Ufasoft.rar','');
QuarantineFile('C:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('H:\Setup.exe','');
QuarantineFile('C:\WINDOWS.0\system32\rebuild.exe','');
QuarantineFile('C:\DOCUME~1\738E~1.WIN\LOCALS~1\Temp\Rar$EX01.782\Ufasoft\Sniffer\usft_sn4.sys','');
DeleteFile('H:\Setup.exe');
DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
DeleteFile('C:\Games\Читпроги\Ufasoft.rar');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После выполни еще один скрипт в AVZ.


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Профикси в HiJackThis (как фиксить - в шапке):


F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS.0\system32\csrcs.exe

quarantine.zip из папки AVZ залей на фтп

повтори лог sysinfo ( стандартный скрипт AVZ) и HiJackThis

ftp://ftp.burnet.ru/incoming/users/magistr2/

Ссылка на комментарий
  • 0

Genius

Выполни скрипт AVZ (как выполнять - в шапке):


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('C:\DOCUME~1\738E~1.WIN\LOCALS~1\Temp\Rar$EX01.782\Ufasoft\Sniffer\usft_sn4.sys','');
QuarantineFile('C:\WINDOWS.0\system32\mstask.dll','');
BC_DeleteFile('C:\DOCUME~1\738E~1.WIN\LOCALS~1\Temp\Rar$EX01.782\Ufasoft\Sniffer\usft_sn4.sys');
BC_DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После выполни еще один скрипт в AVZ.


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ залей на фтп

повтори лог sysinfo ( стандартный скрипт AVZ) и HiJackThis

Ссылка на комментарий
  • 0
Genius

Выполни скрипт AVZ (как выполнять - в шапке):


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\SYSTEM\FILES\ARMY.exe','');
QuarantineFile('C:\DOCUME~1\738E~1.WIN\LOCALS~1\Temp\Rar$EX01.782\Ufasoft\Sniffer\usft_sn4.sys','');
QuarantineFile('C:\WINDOWS.0\system32\mstask.dll','');
BC_DeleteFile('C:\DOCUME~1\738E~1.WIN\LOCALS~1\Temp\Rar$EX01.782\Ufasoft\Sniffer\usft_sn4.sys');
BC_DeleteFile('C:\SYSTEM\FILES\ARMY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После выполни еще один скрипт в AVZ.


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ залей на фтп

повтори лог sysinfo ( стандартный скрипт AVZ) и HiJackThis

ftp://ftp.burnet.ru/incoming/users/magistr3/

Ссылка на комментарий
  • 0

Genius

Очистите временные файлы через с помощью ATF Cleaner

– скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

– если вы используете Firefox, нажмите Firefox – Select All – Empty Selected

– нажмите No, если вы хотите оставить ваши сохраненные пароли

– если вы используете Opera, нажмите Opera – Select All – Empty Selected

– нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачай IceSword разархивируй и запусти. Сбоку выбери вкладку файл File откроется аналог проводника в котором найди следующий файл C:\SYSTEM\FILES\ARMY.exe вызови контестное меню этого файла нажав на нем правой клавишей миши и выбери пункт меню delete если удаление не произойдет то выбери force delete

повтори лог sysinfo ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

Genius

Ты это удалял спомощью C:\SYSTEM\FILES\ARMY.exe спомощью IceSword ?

Скачай gmer

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del file "C:\SYSTEM\FILES\ARMY.exe"

И запустите cleanup.bat

Кроме этого нечего вредоносного невижу.

Ссылка на комментарий
  • 0
Зайди с помощью IceSword в папку C:\SYSTEM\FILES\ там если увидишь данный файлы ARMY.exe то удаляй с помощью IceSword

''ARMY.exe'' не удалял, т.к. не нашёл его (залил скрин)

ftp://ftp.burnet.ru/incoming/users/magistr2/2.bmp

Скачай gmer

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del file "C:\SYSTEM\FILES\ARMY.exe"

И запустите cleanup.bat

ftp://ftp.burnet.ru/incoming/users/magistr2/1.bmp

залил скрин с ошибкой, отсутвие файла ARMY.exe

Ссылка на комментарий
  • 0

3. Закройте все активные приложения, включая антивирус и файрвол. Для полной уверености, что не накапает трафик, можете отключиться от Интернета, но в этом случае вы не сможете обновить базы AVZ. Оставьте включеным только браузер - чтобы читать данное руководство

;)

4. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.

5. Запустите AVZ. Обновите базы (Файл-Обновить базы). Затем выполните следующее: отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты. Выберите 3й скрипт ("Скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info"). Нажмите "Выполнить отмеченные скрипты". После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) обязательно выполните перезагрузку компьютера.

6. После перезагрузки запустите AVZ. Выберите из меню Файл-Стандартные скрипты, поставьте галку напротив 2-го скрипта ("Скрипт сбора информации для раздела "Помогите" virusinfo.info") и нажмите "Выполнить отмеченные скрипты".

установил avz4, обновил, проверил как написано выше. перезагрузил и теперь avz4 не запускается.

не могу выполнить 6-ое действие.

каспер тоже не запускается.

ЧТО делать???

ЗЫ

винду вчера поставил. установлены тока дрова. и несколько прог

Ссылка на комментарий
  • 0

Логи

ftp://ftp.burnet.ru/incoming/users/Batt

Проблема: не изменяется стартовая страница (стоит гугл), не обновляется Касперский, т.к. сам сайт тоже не открывается, и учетные записи пользователя вообще никак не открываются. Help me please ^_^

Ссылка на комментарий
  • 0

Batt

Пофикси в HiJackThis (как фиксить - в шапке):

O1 - Hosts: 95.168.172.167 vkontakte.ru
O1 - Hosts: 95.168.172.167 www.vkontakte.ru
O1 - Hosts: 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com
O1 - Hosts: 24.173.86.145 safe.google.com

O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe

O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-3ECC3E89.EXE

Выполни скрипт в AVZ (как выполнять - в шапке):

begin
SetServiceStart('Schedule', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\DkO122b0.exe','');
QuarantineFile('C:\WINDOWS\RavMonE.exe','');
QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');
DeleteFile('C:\WINDOWS\system32\XP-3ECC3E89.EXE');
DeleteFile('C:\WINDOWS\system32\DkO122b0.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('E:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки ещё один:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip из папки AVZ залей на фтп, ссылку сообщи мне.

Повтори логи HiJackThis и 2й стандартный скрипт AVZ

Ссылка на комментарий
  • 0

А почему так странно:

Џ®дЁЄбЁ ў HiJackThis (Є Є дЁЄбЁвм - ў и ЇЄҐ):

Код:

O1 - Hosts: 95.168.172.167 vkontakte.ru

O1 - Hosts: 95.168.172.167 www.vkontakte.ru

O1 - Hosts: 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com 24.173.86.145 www.safe.google.com

O1 - Hosts: 24.173.86.145 safe.google.com

Код:

O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe

Код:

O4 - Startup: цццццц.lnk = C:\WINDOWS\system32\XP-3ECC3E89.EXE

‚лЇ®«­Ё бЄаЁЇв ў AVZ (Є Є ўлЇ®«­пвм - ў и ЇЄҐ):

Код:

begin

SetServiceStart('Schedule', 4);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('E:\autorun.inf','');

QuarantineFile('C:\autorun.inf','');

QuarantineFile('C:\WINDOWS\system32\DkO122b0.exe','');

QuarantineFile('C:\WINDOWS\RavMonE.exe','');

QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');

DeleteFile('C:\WINDOWS\system32\XP-3ECC3E89.EXE');

DeleteFile('C:\WINDOWS\system32\DkO122b0.exe');

DeleteFile('C:\autorun.inf');

DeleteFile('E:\autorun.inf');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Љ®¬ЇмовҐа ЇҐаҐ§ Јаг§Ёвбп. Џ®б«Ґ ЇҐаҐ§ Јаг§ЄЁ Ґйс ®¤Ё­:

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

ЂаеЁў quarantine.zip Ё§ Ї ЇЄЁ AVZ § «Ґ© ­ двЇ, ббл«Єг б®®ЎйЁ ¬­Ґ.

Џ®ўв®аЁ «®ЈЁ HiJackThis Ё 2© бв ­¤ ав­л© бЄаЁЇв AVZ

ЗЫ я про Џ®дЁЄбЁ...

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...