Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[VR]

Markus

Нажми комбинацию клавишь + выбери экранную лупу и нажми ок в появившемся окне будет гиперссылка нажми на нее запустится браузер с помощью него получишь доступ к файловой структуре и выполни правила из шапки

[Markus]

VR я уже все сделал

остался только свой комп почитить и все

а так спасибо, если бы не смог, сделал бы как ты сказал

[gurzhap]

извиняюсь за задержку инет отрубили.

VR

Если пройти по %SystemRoot%\Minidump то какой результат.

На системном диске файл подкачки есть?

это немного не понял

Сделал все по твоему скрину. Отличалось от твоего скрина вот этим:

1. "отображать список операционных систем 1сек" (у меня 30 сек) [но это думаю не важно]

2. не было галочки "отправить административное оповещение"

3. "Запись отладочной информации" было "(отсутствует)"

Вирус G:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx - a variant of Win32/Conficker.AE worm - cleaned by deleting (after the next restart) - quarantined

что НОДом что КАВом не удаляется, пишет будет удален после перезагрузки, однако и после перезагрузки не удаляется опять пишет тоже самое.

[VR]

gurzhap

Сделай новые логи.

Просканируй ПК утилитой KK, G - это флешка если так то логи сканироапние утилитой делай с включеной флешкой

[VR]

IgA

Логи чистые, вчера просто не заметил твои логи

[Vol89]

Соседка подцепила гадость... Окно а в нём:

"У вас стоит не лицензионная копия Windows"

Отправьте СМС на номер: 3649

С текстом: 212117

Протокол антивирусной утилиты AVZ версии 4.32

Сканирование запущено в 09.10.2009 23:27:32

Загружена база: сигнатуры - 244196, нейропрофили - 2, микропрограммы лечения - 56, база от 08.10.2009 00:09

Загружены микропрограммы эвристики: 374

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 144957

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=08B520)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80562520

KiST = 804E48A0 (284)

Проверено функций: 284, перехвачено: 0, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

CmpCallCallBacks = 0014509C

Disable callback - уже нейтирализованы

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Драйвер успешно загружен

1.5 Проверка обработчиков IRP

\FileSystem\ntfs[iRP_MJ_CREATE] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_CLOSE] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_WRITE] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_INFORMATION] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_INFORMATION] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_EA] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_EA] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_VOLUME_INFORMATION] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_VOLUME_INFORMATION] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DIRECTORY_CONTROL] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_FILE_SYSTEM_CONTROL] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_DEVICE_CONTROL] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_LOCK_CONTROL] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_QUERY_SECURITY] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_SET_SECURITY] = 867D71F8 -> перехватчик не определен

\FileSystem\ntfs[iRP_MJ_PNP] = 867D71F8 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_CREATE] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_CLOSE] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_WRITE] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_QUERY_INFORMATION] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_SET_INFORMATION] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_QUERY_EA] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_SET_EA] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_QUERY_VOLUME_INFORMATION] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_SET_VOLUME_INFORMATION] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_DIRECTORY_CONTROL] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_FILE_SYSTEM_CONTROL] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_DEVICE_CONTROL] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_LOCK_CONTROL] = 8639A500 -> перехватчик не определен

\FileSystem\FastFat[iRP_MJ_PNP] = 8639A500 -> перехватчик не определен

Проверка завершена

2. Проверка памяти

Количество найденных процессов: 34

Количество загруженных модулей: 412

Проверка памяти завершена

3. Сканирование дисков

Прямое чтение C:\Documents and Settings\Марина\Local Settings\Temp\~DFFB34.tmp

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\mail\indexer\indexer.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\mail\lexicon\lexicon.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0000\url.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0000\w.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0000\wb.vx

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0001\url.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0001\w.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0001\wb.vx

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0002\url.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0002\w.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0002\wb.vx

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0003\url.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0003\w.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0003\wb.vx

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0004\url.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0004\w.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0004\wb.vx

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0005\url.ax

Прямое чтение C:\Program Files\Total Commander\Soft\Opera\profile\vps\0005\w.ax

Прямое чтение C:\WINDOWS.0\system32\drivers\sptd.sys

Прямое чтение C:\WINDOWS.0\Temp\HTT5E2.tmp

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

C:\WINDOWS.0\system32\ntshrui.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS.0\system32\ntshrui.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (C:\WINDOWS.0\system32\ntshrui.dll)

C:\WINDOWS.0\system32\mstask.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS.0\system32\mstask.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (C:\WINDOWS.0\system32\mstask.dll)

C:\WINDOWS.0\system32\NETSHELL.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS.0\system32\NETSHELL.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (C:\WINDOWS.0\system32\NETSHELL.dll)

C:\WINDOWS.0\system32\credui.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS.0\system32\credui.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (C:\WINDOWS.0\system32\credui.dll)

C:\WINDOWS.0\system32\msxml3.dll --> Подозрение на Keylogger или троянскую DLL

C:\WINDOWS.0\system32\msxml3.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (C:\WINDOWS.0\system32\msxml3.dll)

C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll --> Подозрение на Keylogger или троянскую DLL

C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll>>> Поведенческий анализ

Типичное для кейлоггеров поведение не зарегистрировано

Файл успешно помещен в карантин (C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll)

На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

>>> Обратите внимание - заблокирован диспетчер задач

>>> Обратите внимание - нестандартный диспетчер задач "C:\RECYCLER\S-1-5-21-6113106537-9389935096-040156175-8869\sysdate.exe"

>>> Обратите внимание - заблокирован редактор реестра

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Проверка завершена

9. Мастер поиска и устранения проблем

>> Блокировка редактора реестра

>> Блокировка диспетчера задач

>> Подмена диспетчера задач

>> Разрешен автозапуск с HDD

Проверка завершена

Просканировано файлов: 79594, извлечено из архивов: 41396, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 09.10.2009 23:44:48

Сканирование длилось 00:17:17

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

[Markus]

Vol89 вот у меня такая же х***я... только код - 215477

[VR]

Markus

Делай логи.

[SpinFire]

-hijackthis.rar

-virusinfo_syscheck.zip

-virusinfo_syscure.zip

[VR]

SpinFire

Выполни скрипт [b]AVZ[/b] (как выполнить скрипт в шапке)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll','');
QuarantineFile('c:\windows\system32\pnkbstra.exe','');
DeleteService('PnkBstrA');
DeleteFile('c:\windows\system32\pnkbstra.exe');
DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
RebootWindows(true);
end.

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ залей на сибнет

Сделать лог AVZ (2й стандартный скрипт AVZ)

[SpinFire]

-quarantine.zip

как сделать?

Сделать лог AVZ (2й стандартный скрипт AVZ)

?

[VR]

SpinFire

Выберите из меню Файл-Стандартные скрипты, поставьте галку напротив 2-го скрипта ("Скрипт сбора информации для раздела "Помогите" virusinfo.info") и нажмите "Выполнить отмеченные скрипты". пол ученый лог загрузи на сибнет

[SpinFire]

как должен называться файл полученного скрипта?

[VR]

как должен называться файл полученного скрипта?

архив virusinfo_syscheck.zip из папки LOG

[SpinFire]

-virusinfo_syscheck.zip

[VR]

SpinFire

В логе нечего плохого не увидел, проблеммы есть?

[Markus]

эх блин...теперь у меня все заблочилось, даже Win + U не работает(

[SpinFire]

VR

при загружении компа виснет панель задач, при 2-3 перезагружении становиться нормальным

[gurzhap]

Просканировал КК.

G - это внешний винт (USB)

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

[gurzhap]

quarantine.zip

а если удалить папку G:\RECYCLER там где вирус находится, что будет?

[VR]

а если удалить папку G:\RECYCLER там где вирус находится, что будет?

Нечего не будет. Можешь удалить.

А где новые логи?

[Tex]

Вчера два раза подряд был сбой: глючил звук и комп перезагружался. Загрузился в безопасном режиме. Оказалось, звуковой драйвер слетел. Переустановил звук. Проверил комп на вирусы, AVZ поймал HackHook (при выполнении 3-го скрипта, лог не сохранился). Заметил при запуске системы кое-что странное:

Пока эти процессы (appdrvrem01.exe sfrem01.exe pr2ak36b.exe) активны Mail-агент с акськой и Касперский не подгружаются. Через некоторе время эти процессы исчезают, и проги загружаются (появляются иконки в трее). Если процессы убить, загрузка Каспера и аськи не ускоряется. Надеюсь на вашу помощь.

PS. Удивлен, т.к. все флешки и диски перед открытием проверяю, открываю черет Total Commander. Процессы живут и после удаления хак-тула.

[VR]

Tex

Указаных процесов в логе не обноружил и совсем логи нечего опасного не увидел.

Удали Bonjour возможно это из-за него

[Tex]

appdrvrem = application driver remove?

Если я не ошибаюсь Bonjour связан с MS Office'07 или Nero 8? Чесно сказать не помню точно после установки чего из них он появился. Как можно поймать вышеуказанные процессы, если они держатся примерно минуту после загрузки системы?

[VR]

это от Apple

Apple выпустила новую Windows-версию ПО для поддержки неконфигурируемых сетевых соединений по IP-протоколу — Bonjour for Windows 1.0.4.

Используя стандартный IP-протокол, ПО Bonjour позволяет компьютерам и другим сетевым устройствам автоматически обнаруживать имеющиеся в сети ресурсы, компьютеры, устройства и сервисы, не требуя указания дополнительных параметров — например, IP-адреса или DNS-сервера.

Для работы Bonjour for Windows 1.0.4 требуется Microsoft Windows 2000, XP, 2003 или Vista. Для надежной и безопасной работы системы Apple рекомендует установить все последние обновления ПО Microsoft.

Сделай еще лог Gmer