Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[BaroH]

VR

Забыл написать.

Спасибо!

[-=Nik0=-]

Позвольте небольшой офф-топ, чтобы отдельную тему не создавать - процесс SMSvcHost.exe это видимо вирусок да ?

[VR]

Позвольте небольшой офф-топ, чтобы отдельную тему не создавать - процесс SMSvcHost.exe это видимо вирусок да ?

Это от NET.Framework.

Если подозреваешь заражения то сделай логи по правилам в шапке

[Batt]

VR у меня опять та же проблема: интернет вырубается, а подключение зависает...

Вот логи:

ftp://ggw.stbur.ru/incoming/USERS/Batt

[Tamerlan]

...

[VR]

Batt

Выполни скрипт AVZ (как выполнить скрипт в шапке)

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\klstm.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys','');
SetServiceStart('catchme', 4);
QuarantineFile('C:\DOCUME~1\2180~1\LOCALS~1\Temp\catchme.sys','');
DeleteFile('C:\DOCUME~1\2180~1\LOCALS~1\Temp\catchme.sys');
DeleteService('catchme');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ залей на фтп

В AVZ Файл/Мастер поиска и устранения проблем нажми Поиск отметь все найденные проблеммы и нажми Исправаить отмеченные проблемы

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Запусти KK.exe

Сделай лог Gmer

[Batt]

Логи:

ftp://ggw.stbur.ru/incoming/USERS/Batt

[VR]

Batt

После скрипта у тебя попрежнему наблюдаются эти симптомы? Нет доступа к сайту Касперского и отрубается инет

Скачайте ComboFix и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt залей его на фтп

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Установи эти заплатки от майкрософт MS08-067, MS08-068, MS09-001

[Tamerlan]

...

[VR]

Tamerlan

Какие у тебя проблеммы?

Пока выполни такой скрипт AVZ (как выполнить скрипт в шапке)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('sprp.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\dsnpfd.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Карантин загрузи на фтп

[ZyXEL12m94*41]

ZyXEL12m94*41

У тебя файловый вирусс Virus.Win32.Sality.aa тут AVZ не поможет скачайй Dr.Web LiveCD загрузись с него и произведи проверку компьютера

У тебя нет этой проги? На фтп залей если есть. Я заепся ждать пока она скачется с Улановки.

[VR]

У тебя нет этой проги? На фтп залей если есть. Я заепся ждать пока она скачется с Улановки.

Нет, ее нет, но есть альтернатива от Касперского Kaspersky Rescue Disk 8.8.1.35 пропиарю немного свою раздачу

P. S. Я не понял фтп ггв тоже сдох? Не позволяет загружать файлы, хоть свой фтп поднимай

[ZyXEL12m94*41]

VR не открывается, точнее открывется, видно первые две строчки, а потом загрузка страницы виснет. Куда нить залей ее пожалуйста.

[CSKA23]

Я не понял фтп ггв тоже сдох?

ggw полностью закрылся(((

[VR]

VR не открывается, точнее открывется, видно первые две строчки, а потом загрузка страницы виснет. Куда нить залей ее пожалуйста.

У меня все нормально открывается http://ulanovka.ru/forum/viewtopic.php?t=92809 Я бы скинул но незнаю куда залить, могу дать сылку на внешке

[D_Master]

У меня все нормально открывается

Некоторые вирусы блокируют загрузку страниц, в текстах которых упоминаются названия антивирусных продуктов.

ZyXEL12m94*41, меняй кодировку в браузере на какую-нибудь заморскую, чтобы вместо букв каракули отображались. Вполне возможно, что страница нормально откроется, а по кнопке скачать промахнуться тяжело =)

Upd:

Эх, фак, название-то на английском =)

Качай торрент напрямую, мб прокатит

[VR]

Некоторые вирусы блокируют загрузку страниц, в текстах которых упоминаются названия антивирусных продуктов.

Не знал, знал только что некоторые вирусы блокируют загрузку страниц, в адресе которых есть название антивирусов и тому подобного.

[ZyXEL12m94*41]

Ну кто нить то! Помогите хоть скраешку!!! VR залей на фтп программу, или на сибнет, или на депосит файлс. Как то неохото систему сносить с полным форматированием

[Loi]

пажалуста помогите народ я касперского устанавливаю и у меня вылазит "Внимание на вашем компьютере установлены приложения, совместное использование которых с касперским невозможно, прежде чем продолжить установку, необходимо удалить эти приложения." и написано удалить фаил "AVG 8" я нажала установка и удаление програм а там его нету скажите пожалуста как его удалить или что мне зделать пооооожалуста

[VR]

Качаешь вот эту утилиту http://www.avg.com/filedir/util/avg_arm_sup_____.dir/avgremover.exe (678 КБ) для удаления остатков от когда то установленного AVG 8 запускаешь и после завершения ее работы ставишь Касперского

[Loi]

спасибо большое

Добавлено спустя 2 минуты 37 секунд:

а кчтати это что вирус был???

[VR]

а кчтати это что вирус был???

Нет, это остатки от удаления антивируса AVG 8, который у вас стоял ранее.

[Максяра]

А можно логи в другое место залить? Я на фтп бурнета зайти не могу..

[CustomS]

Гляньте, есть ли что подозрительное.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:43:49, on 01.08.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\ctfmon.exe

E:\INSTALL\Chameleon Clock\ChamClock.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\CNAB4RPK.EXE

C:\Program Files\QIP\qip.exe

C:\Program Files\uTorrent\utorrent.exe

C:\Program Files\Download Master\dmaster.exe

D:\ПРОГИ\HiJackThis.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Program Files\Save Flash\SaveFlash.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [HomeAlarm] E:\INSTALL\Chameleon Clock\ChamClock.exe

O4 - HKCU\..\Run: [µTorrent] "C:\Program Files\uTorrent\utorrent.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Передать на удаленную закачку DM - C:\Program Files\Download Master\remdown.htm

O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{77F4041E-6FCD-439E-838C-D119469536C5}: NameServer = 87.103.161.61,62.33.133.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{8EF81E18-96D7-4630-8543-BB53CD5C1EAD}: NameServer = 87.103.161.61 62.33.133.2

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/FEC6~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

--

End of file - 7444 bytes

[VR]

Максяра

Да можно

CustomS

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\CNAB4RPK.EXE

Вот эти файлы вызывают подозрения. Залей их куда ни бут или проверь сам вирустотоле. Принтер есть?

А вообще для полного нужны еще логи AVZ