Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[VR]

OniX

Выполни скрипт AVZ (как выполнить скрипт в шапке)

begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Boonty Games');
QuarantineFile('C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe','');
SetServiceStart('Schedule', 4);
DeleteFile('D:\System Volume Information\_restore{D47571DB-726A-4AA3-B61D-CF738887987F}\RP1\A0000115.dll');
DeleteFile('C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Заново сделать лог AVZ (2й стандартный скрипт AVZ)

Добавлено спустя 1 минуту 36 секунд:

KOTIK

Заново сделать лог AVZ (2й стандартный скрипт AVZ)

[OniX]

вот логи

[VR]

OniX

Чисто

[OniX]

спасибо

[Mr.Potatoes]

что у меня за ошибка при установке при установке каспера,

кто нибудь сталкивался с этой ошибкой???

[VR]

mr.potatoes

Запускаете с правами администратора?

Сделай логи по правилам в шапке этой темы.

[ligalize]

вот логи. пользуюсь хромом, подозрение на перехват, в строке состояния постоянный конект к левому хосту.

[VR]

ligalize

Выполни скрипт AVZ (как выполнить скрипт в шапке)

begin
 QuarantineFile('C:\WINDOWS\system32\drivers\MTictwl.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\MTiCtwl.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\dsnpfd.sys','');
end.

Выполни скрипт AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ залей на сибнет

Удалите Bonjour.

Сообщение от www.ixbt.com

Apple выпустила новую Windows-версию ПО для поддержки неконфигурируемых сетевых соединений по IP-протоколу — Bonjour for Windows 1.0.4.

Используя стандартный IP-протокол, ПО Bonjour позволяет компьютерам и другим сетевым устройствам автоматически обнаруживать имеющиеся в сети ресурсы, компьютеры, устройства и сервисы, не требуя указания дополнительных параметров — например, IP-адреса или DNS-сервера.

Для работы Bonjour for Windows 1.0.4 требуется Microsoft Windows 2000, XP, 2003 или Vista. Для надежной и безопасной работы системы Apple рекомендует установить все последние обновления ПО Microsoft.

Как видно, ничего опасного нет. Полезного, впрочем, тоже.

Удалить этот сервис достаточно просто:

Как показывает практика - проще всего удалить Bonjour через Панель управления/Приложения.

Уже давно нужно было поставить SP3

Заново сделать лог AVZ (2й стандартный скрипт AVZ)

[ligalize]

VR, спасибо, все сделал.

quarantine.zip

В "установке и удалении программ" бонжура нет.Насколько я знаю, без него фотошоп не робит.

В диспетчере, помимо нужных, куча левых процессов, при включении убиваю в ручную (штук 6)... что можете посоветовать ?

[VR]

ligalize

А где новые логи?

В "установке и удалении программ" бонжура нет.Насколько я знаю, без него фотошоп не робит.

К фотошопу он не имеет отношение. профиксь в hijackthis (как фиксить смотри в шапке) следующию строчку

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

В диспетчере, помимо нужных, куча левых процессов, при включении убиваю в ручную (штук 6)... что можете посовето

Каких именно? Сделай лог вырубая эти процессы

[Markus]

Ох Ох Ох! Поймал вирус Neshta.A

Теперь не запускается ни один .exe файл (почти ни один)

Что делать? Помогите

[VR]

Markus

Делать логи, если авз не запускается попробуй этой сделать логи

[Markus]

VR

спасибо, сейчас делаю логи

HiJackThis тоже сменил расширение на .pif

позже логи выложу

[c0rrect]

Незнаю у многих или нет, или же задавали даный вопрос но все же он меня интересует!

Почему я немогу открыть первую страницу данной темы??

[DR1VER_]

первую страницу данной темы

все отлично открывается

что тебе с нее нужно? инструкция чего именно?

[Markus]

VR вот только лог HiJackThis

Добавлено спустя 24 секунды:

Что то AVZ тупит

вылетает oO

[VR]

Markus

По логу HiJackThis ничего сказать не могу.

2-й стандартный скрипт АВЗ попробуй выполнить, или при выполнение этого скрипта вылетают ошибка

Загрузите GMER

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections

IAT/EAT

Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[Markus]

VR

Вот лог

[Johnny B]

2. Перед запуском сканеров отключите Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).

У меня этого нету

И базы почему то не обновляются. Кнопка "Обновить базы" не актиная.

ушел - оставил комп включеным, прихожу - у меня в опере открыты закладки с какими то китайскими сайтами. В таск менеджере появилась непонятная програмка. (там вообще что то много всего) Я сразу её закрыл. Вот, боюсь, китайцы атакуют

И подскажите можно ли AVZ использовать как основной антивирус?

[VR]

Johnny B

Выполни скрипт AVZ (как выполнить скрипт в шапке)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\XP-DEC392BC.EXE','');
QuarantineFile('C:\WINDOWS\System32\sxs.dll','');
QuarantineFile('C:\Downloads\Программы\sms.exe','');
QuarantineFile('C:\WINDOWS\yoos.b','');
DeleteService('4LLI');
QuarantineFile('C:\WINDOWS\TEMP\E_4\shell.fne','');
QuarantineFile('C:\WINDOWS\TEMP\E_4\RegEx.fnr','');
QuarantineFile('C:\WINDOWS\TEMP\E_4\krnln.fnr','');
QuarantineFile('C:\WINDOWS\TEMP\E_4\internet.fne','');
QuarantineFile('C:\WINDOWS\TEMP\E_4\eAPI.fne','');
QuarantineFile('C:\WINDOWS\TEMP\E_4\dp1.fne','');
QuarantineFile('C:\WINDOWS\TEMP\E_4\com.run','');
QuarantineFile('c:\windows\system32\xp-dec392bc.exe','');
DeleteFile('c:\windows\system32\xp-dec392bc.exe');
DeleteFile('C:\WINDOWS\TEMP\E_4\com.run');
DeleteFile('C:\WINDOWS\TEMP\E_4\dp1.fne');
DeleteFile('C:\WINDOWS\TEMP\E_4\eAPI.fne');
DeleteFile('C:\WINDOWS\TEMP\E_4\internet.fne');
DeleteFile('C:\WINDOWS\TEMP\E_4\krnln.fnr');
DeleteFile('C:\WINDOWS\TEMP\E_4\RegEx.fnr');
DeleteFile('C:\WINDOWS\TEMP\E_4\shell.fne');
DeleteFile('C:\WINDOWS\yoos.b');
DeleteFile('C:\WINDOWS\system32\XP-DEC392BC.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
RebootWindows(true);
end.

Выполни скрипт AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ залей на сибнет

Профиксь HijackThis

O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-DEC392BC.EXE
O23 - Service: Microsoft Services (4LLI) - Unknown owner - C:\WINDOWS\yoos.b (file missing)

c:\documents and settings\Администратор\Рабочий стол\game.pif

Это полиморфный АВЗ?

Внимание !!! База поcледний раз обновлялась 18.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Скачай AVZ 4.32 обнови базы

Заново сделать лог AVZ (2й стандартный скрипт AVZ)

[c0rrect]

DR1VER_ просто откроеться наполовину, а дальше неоткрываеться!!И незнаю в чем проблема!

Добавлено спустя 1 минуту 54 секунды:

Так де и страницы с антивирусами неоткрываються!!Например только название темы а дальше неоткрываеться!!Что это за вирус или что это такое??

[Trishy]

вот...

[Johnny B]

VR

скрипты АВЗ прогнал, а в Хайджеке не обнаружил две строчки:

O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-DEC392BC.EXE

O23 - Service: Microsoft Services (4LLI) - Unknown owner - C:\WINDOWS\yoos.b (file missing)

Это полиморфный АВЗ?

вроде бы... АВЗ 4.32, но базы в нем не обновляются почему то

вот скачал этот АВЗ обновил базы и выполнил 2й скрипт по новой -

[vodolei8]

VR Выскочил баннер! Как с ним бороться!? Каспер его не видит, а убрать его нельзя! АВЗ при попытке создать лог подвисает, как и любая программа! SOS

вот лог скрипта (2 или 3 не знаю - syscheck)

баннер занимает 70% экрана, больше ничего сделать не получается

[nick333]

3 раз отписываюсь и отправили

сыда не могу убрать баннер (модуль) помогите кто нить

[ing]

http://torrentu.ru/up/i/2009/11/29/19293831.jpg[/spoiker]

и так на каждом сайте я качал анти вирусы но не помогло

заранее спасибо