Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[D_Master]

C:\WINDOWS\System32\TUProgSt.exe

Tune Utilites установлены?

[CSKA23]

VR

D_Master

Посмотрите пожалуйста)))

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:34:06, on 02.08.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

D:\Program Files\Bonjour\mDNSResponder.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\Topos\cFosSpeed\spd.exe

D:\Program Files\Java\jre6\bin\jqs.exe

D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

D:\WINDOWS\system32\uphclean.exe

D:\WINDOWS\SOUNDMAN.EXE

D:\WINDOWS\ALCWZRD.EXE

D:\Program Files\A4Tech\Mouse\Amoumain.exe

D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

D:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe

D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

D:\Program Files\Java\jre6\bin\jusched.exe

D:\Program Files\Topos\cFosSpeed\cFosSpeed.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Downloads\Архивы\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows XP 2008 by SamLab.ws

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Избранное

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - D:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll

R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - D:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [WheelMouse] D:\Program Files\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [samsung Common SM] "D:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun

O4 - HKLM\..\Run: [MAgent] D:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [startCCC] "D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [sunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [cFosSpeed] D:\Program Files\Topos\cFosSpeed\cFosSpeed.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection D:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [iE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'Default user')

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Добавить в Анти-Баннер - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - D:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Найти в интернете - res://D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/282

O8 - Extra context menu item: Найти в словарях - res://D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/283

O8 - Extra context menu item: Передать на удаленную закачку DM - D:\Program Files\Download Master\remdown.htm

O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra button: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)

O9 - Extra 'Tools' menuitem: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7A5435EA-8BD8-4B4E-BFFE-15C07A95970C}: NameServer = 87.103.161.61 62.33.133.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{8A1B9512-A679-40B9-8EB7-D4833DBAB37B}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{AB9DEC70-F669-4ABC-8E18-8BC359A221BD}: NameServer = 87.103.161.61,62.33.133.2

O17 - HKLM\System\CS1\Services\Tcpip\..\{7A5435EA-8BD8-4B4E-BFFE-15C07A95970C}: NameServer = 87.103.161.61 62.33.133.2

O17 - HKLM\System\CS3\Services\Tcpip\..\{7A5435EA-8BD8-4B4E-BFFE-15C07A95970C}: NameServer = 87.103.161.61 62.33.133.2

O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - D:\Program Files\Topos\cFosSpeed\spd.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 10409 bytes

[VR]

D:\WINDOWS\system32\uphclean.exe

Вот это вызывает подозрение

[CSKA23]

VR

погуглил насчет uphclean.exe че то вроде пишут это продукт microsoft.

[VR]

CSKA23

Проверь его на http://www.virustotal.com

[CSKA23]

VR вот:

Файл uphclean.exe получен 2009.07.31 20:29:17 (UTC)

Антивирус Версия Обновление Результат

a-squared 4.5.0.24 2009.07.31 -

AhnLab-V3 5.0.0.2 2009.07.31 -

AntiVir 7.9.0.238 2009.07.31 -

Antiy-AVL 2.0.3.7 2009.07.31 -

Authentium 5.1.2.4 2009.07.31 -

Avast 4.8.1335.0 2009.07.31 -

BitDefender 7.2 2009.07.31 -

CAT-QuickHeal 10.00 2009.07.30 -

ClamAV 0.94.1 2009.07.31 -

Comodo 1827 2009.07.31 -

DrWeb 5.0.0.12182 2009.07.31 -

eTrust-Vet 31.6.6649 2009.07.31 -

F-Prot 4.4.4.56 2009.07.31 -

Fortinet 3.120.0.0 2009.07.31 -

GData 19 2009.07.31 -

Ikarus T3.1.1.64.0 2009.07.31 -

Jiangmin 11.0.800 2009.07.31 -

K7AntiVirus 7.10.807 2009.07.31 -

Kaspersky 7.0.0.125 2009.07.31 -

McAfee 5694 2009.07.31 -

McAfee+Artemis 5694 2009.07.31 -

McAfee-GW-Edition 6.8.5 2009.07.31 Heuristic.BehavesLike.Win32.Suspicious.L

Microsoft 1.4903 2009.07.31 -

NOD32 4295 2009.07.31 -

nProtect 2009.1.8.0 2009.07.31 -

Panda 10.0.0.14 2009.07.31 -

PCTools 4.4.2.0 2009.07.31 -

Prevx 3.0 2009.07.31 -

Rising 21.40.44.00 2009.07.31 -

Sophos 4.44.0 2009.07.31 -

Sunbelt 3.2.1858.2 2009.07.31 -

Symantec 1.4.4.12 2009.07.31 -

TheHacker 6.3.4.3.374 2009.07.30 -

TrendMicro 8.950.0.1094 2009.07.31 -

VBA32 3.12.10.9 2009.07.31 -

ViRobot 2009.7.31.1863 2009.07.31 -

VirusBuster 4.6.5.0 2009.07.31 -

[CustomS]

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\CNAB4RPK.EXE

http://www.virustotal.com показал, что все чисто.

Tune Utilites установлены?

Ага.

[VR]

CSKA23

CustomS

по логу HijackThis чисто. Проблемы есть?

[CustomS]

Проблемы есть?

Да вроде пока устранил a-squared'ом. Посмотрим, как дальше будет.

[Sinoboo!]

Народ помогите!

включаю комп, грузится, все норм

как только появился рабочий стол все виснет, ниче не открывается одна мышь по монитору бегает

на системнике даже лампочка не моргает(

вот тока через безопасный режим работат

может винду переустановить???

[VR]

Sinoboo!

++ тоже не работают, Диспетчер задачь запускается если да то запускай из него explorer

[Sinoboo!]

VR

клава не работат ни на че не реагирует, тока локки переключаются

[VR]

Из безопасного режима выполни востановление системы и сделай логи

[Sinoboo!]

шо сделать??

[VR]

шо сделать??

Выполни правила этой темы http://ulanovka.ru/forum/viewtopic.php?t=54237

[Mortal Dragon]

А куда логи залить?

[VR]

Mortal Dragon

Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Ровно полгода назад, обнови базы и повтори логи, должно быть три файла virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.rar

[Mortal Dragon]

Так у меня там три архива, просто я их в еще один запихал. И был один архив не virusinfo_syscure.zip, а просто virusinfo_cure.zip

[Mortal Dragon]

Сцуко, я на сибнет новые логи залить не могу!!!

[VR]

Почему? имена файлов совпадают ты общий архив назави по другому какнибуть. Да я видел внутри архива только место virusinfo_cure.zip должен быть virusinfo_syscheck.zip

[Mortal Dragon]

VR вот, сейчас архив по-другому назвал, сибнет пишет Security Error

[VR]

Security Error

Ведать глюки самого сибнета, попробуй запоролить архив или выкладывать по отдельности каждый архив. Так же можно сменить загрущик файлов на старый без flesh

[VR]

Mortal Dragon

Ты снова залил старые логи

[Mortal Dragon]

VR я точно базы обновлял, абсолютно уверен

Добавлено спустя 7 минут 40 секунд:

Вай, блин, точно!!! Сорри...

Добавлено спустя 1 минуту 47 секунд:

[VR]

Mortal Dragon

Скачай Gmer

Запустите программу Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections

IAT/EAT

Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите на сибнет