Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[dns]

в браузере вылезла табличка "bill gates-kozel" nod32 не обнаружил нечего.. как убить этот вирус?

[D_Master]

"bill gates-kozel"

Читаем шапку темы.

[dns]

обновил базы ,нашел вирус c:\windows\ituneshelp.exe Win32/AutoRun.Agent.GW червь

вот так вот.....

[Whirlpool]

в браузере вылезла табличка "bill gates-kozel" nod32 не обнаружил нечего.. как убить этот вирус?

это не вирус, а обычный яваскриптовский window.alert("bill gates-kozel")

[catcher]

dns

на стбур форуме я знаю где она появляется ибо онотоле несет свет

[JSTQ]

в браузере вылезла табличка "bill gates-kozel" nod32 не обнаружил нечего.. как убить этот вирус?

ехехе это ж я писал)

[dns]

дотеры-задротеры ..я аж испугался, обновил нод и нашел таки какой-то вирус..

так что не зря онотоле несет свет

[fedbur]

D_Master

Вообщем вопрос не по теме,но непосредственно связан с ними(с вирусами),

такая штука у меня флеха на 16гб и конечно многие знают что я качаю с Улановки(просят фильмы и т.д. скачать) и очень часто возвращается флеха с вирусами,всё бы не чего NOD32 их находит(у меня проблем нет),но порой флеху другой перехватит(из рук в руки таскается) и так вирусы переноситься с компа на комп,а потом просят с компом помочь,а фаерволом проверяешь кучу вирусов находишь у знакомых,порой допереустановки операционки дело доходит.

А суть вопроса такая,если антивирус который можно было поставить на флешку,чтобы покрайней мере не пропустил вирусы на неё(флешку),

так вирусы не распространялись бы флехой.

[D_Master]

fedbur

У меня на флэшках после форматирования в корне создается скрытая системная папочка, доступная только для чтения, с именем autorun.inf, благодаря которой вирусы (даже если и присутствуют на флэшке) запуститься ну никак не смогут. Если уж хочется перестраховаться, то можно создать файлы RECYCLED, RECYCLER, RECYCLE (без расширения) со скрытым, системным и read-only атрибутами.

[UUF3]

2D_Master

как тебе такой результат?

Summary report on C:\*.*

File(s)

Total files: ........... 39258

Clean: ................. 25305

Possibly Infected: ..... 788

Moved: ................. 788

и это все, 3 разных вируса

Generic Downloader.a trojan (ака Penetrator)

PWS-Gamania.gen.a trojan

PWS-LegMir.dll trojan

зы

самый опасный из них - Generic Downloader.a trojan (ака Penetrator)

сам прыгает на флешку, с именем Flash.scr

«Пенетратор» разбушевался… - 04.01.2009

«По сети гуляет суперзло». Именно так большинство компьютерных пользователей нарекли активизировавшийся в ночь с 31 декабря на 1 января вирус «Пенетратор». Всего за несколько минут он «убивает» музыку, фотографии и текстовые документы. В Белогорске от него уже пострадали ряд государственных и муниципальных структур и многие владельцы персональных компьютеров. Как выяснила корреспондент «ТВС-анонса» Ольга Киргинцева, уцелели лишь те, у кого установлена мощная антивирусная защита. Кстати, компьютеры ТВС не пострадали.

По словам директора салона «АмИТ» Александра Шейко, вирус «Пенетратор» начал распространяться в октябре прошлого года.

- Три месяца он действовал по принципу таракана: плодился и размножался, - рассказал он. - В итоге было заражено не менее 30% компьютеров, но большинство неопытных пользователей просто не замечали его. Тем более, что поначалу он вел себя безобидно. Ведь автор вируса предусмотрел его активацию с 1 января.

Кто запустил эту «заразу», неизвестно. Пока лишь выдвигаются гипотезы. Одни считают, что вирус появился из Калининграда, другие - сторонники версии, что «Пенетратора» «сотворил» житель Приамурья.

- Лично я поддерживаю вторую точку зрения, - пишут на одном из известных амурских сайтов. - Я считаю, что вирус - дело рук хакера из Амурской области. Уж слишком явно и раньше всего он начал проявляться именно в нашей области, а особенно в Белогорске и Благовещенске.

В январе гром, как говорится, грянул. На «зараженных» домашних компьютерах и машинах госструктур «Пенетратор» уничтожил все файлы с фотографиями, музыкой и перезаписал текстовые документы.

- Вместо имеющихся текстовых документов он создал файлы с таким же именем, но их содержимым стало нецензурное послание от «Пенетратора», - пояснил Александр Шейко. - При этом на жестком диске остается только часть исходных файлов.

Кстати, содержание послания было таким: НА***ПОСЛАНА, СУКА, ТЕПЕРЬ ТЫ НЕ ВЕРНЕШЬ СВОИ ДАННЫЕ!! А Я БУДУ ХОДИТЬ РЯДОМ И СМЕЯТЬСЯ НАД ТЕМ, КАК ТЫ, СУКА, ИЩЕШЬ ВИНОВНИКА!! ***, *****!! ХАХАХАХ Penetrator

По словам специалистов, «убитую» «Пенетратором» информацию можно восстановить лишь частично. Процесс занимает очень много времени, да и то можно восстановить от 30 до 80 процентов изначальных файлов.

- Мы всегда информируем своих клиентов, что все документы, которые они создают, нужно хранить не только на винчестере, но и на записываемых или перезаписываемых дисках, - отметил Александр Шейко. - Желательно в двух экземплярах. Затраты на архивацию документов копеечные (болванка стоит 20-30 рублей), но когда теряешь весь архив фотографий, а это воспоминания, то становится неприятно.

Кстати, этот вирус распространился посредством флеш-карт, как обычных, так и из мобильных телефонов и цифровых фотоаппаратов.

- Обычно вирусы попадают в компьютер через интернет, флеш-карты, дискеты и диски, - рассказал Александр Шейко. - Надо помнить, что если вы покупаете нелицензионный диск, то не только нарушаете закон об интеллектуальной собственности, но и рискуете «подцепить» вирус.

Впрочем, по мнению специалистов, от «Пенетратора» пострадали те пользователи, которые небрежно относятся к обновлению антивирусных программ или вообще ими не пользуются.

- Это неосторожные, безалаберные пользователи, которые считали, что этот вирус им не страшен, - отметил Александр Шейко. - Таких, наверное, 30 процентов от общего числа белогорских пользователей. Также вирус затронул государственные и муниципальные структуры (в числе прочих пострадала и администрация Белогорска, - ред.). Но это, скорее всего, связано с недофинансированием. Многие из них работают на устаревшей технике. У них зачастую нет средств приобрести даже нормальное программное обеспечение, в том числе и антивирусные программы.

Между тем, установить антивирусную программу несложно. В интернете их масса, причем есть и бесплатные.

Более простой и легко обновляемый антивирус DrWeb. На сайте www.drweb.ru можно скачать бесплатную лечащую утилита Dr.Web CureIt!®, которая ежедневно обновляется.

Кстати, в Благовещенске в связи с «вирусной атакой» оперативники начали проверку. По неофициальной информации автор вируса даже задержан. Но пока никаких официальных комментариев правоохранительные органы не дают.

ликбез

Как «не подцепить» вирус:

1. Не открывать письма, которые пришли по электронной почте с неизвестных адресов. Их можно удалять с сервера, даже не принимая.

2. Иметь, как минимум, 2 почтовых ящика. Первый ящик на общедоступном сервере, который можно легко создать и уничтожить. Каждый раз, регистрируясь для бесплатного скачивания программ, вы сообщаете свой адрес, далее он заносится в почтовую базу данных, и на него начинают присылать спам.

Второй ящик - ваш личный для переписки с друзьями и т.д. Его адрес не рекомендуется светить, где попало.

3. Отключить автозапуск при подключении различного рода флеш-карт и дисков. Как только производится автозапуск, вирус сразу же срабатывает.

4. Установить антивирусную программу и подключить режим сторожа, когда при скачивании на компьютер все файлы будут автоматически проверяться.

5. Регулярно обновлять антивирусные программы. Если вирус появился в октябре, то июньская версия антивирусной программы его не распознает.

Как бороться с вирусом Penetrator? - 27.01.2009

В последнее время пользователям ПК (особенно тем, кто не любит предохраняться!) сильно досаждает вирус Penetrator.

Происхождение вируса и этимология названия

Название вируса происходит от penetrate (англ.) – проникать внутрь, проходить сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями.

О происхождении вируса ходят разные легенды. Якобы, российский студент-программист, отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно – и всему цифровому миру…

Деструктивные действия вируса

Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69х15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне).

Файлы .bmp, .png, .tiff вирус «не трогает».

Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов – матами).

То есть вирус портит всё самое дорогое, что есть у пользователя ПК!

В отличие от широко распространенной легенды, у вируса нет «привязки» к конкретной дате (например, 1 января, 23 февраля или 8 марта), – он начинает свои деструктивные действия сразу после запуска исполняемого файла.

Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно пострадала Амурская область.

Классификация вируса

Антивирусы идентифицируют зловреда по-разному (как всегда!): например, Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB…

Как происходит заражение

Средства распространения вируса – Интернет, flash-носители.

Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3.

При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe.

Кроме этого, вирус создает следующие файлы:

• \WINDOWS\system32\deter*\lsass.exe (в отличие от настоящего lsass.exe, «проживающего» в папке \WINDOWS\system32);

• \WINDOWS\system32\deter*\smss.exe (в отличие от настоящего smss.exe, «проживающего» в папке \WINDOWS\system32);

• \WINDOWS\system32\deter*\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe);

• \WINDOWS\system32\ahtomsys*.exe (например, ahtomsys19.exe);

• \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);

• \WINDOWS\system32\psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll).

Файлы имеют атрибуты Скрытый, Системный, Только чтение. Размер 114,5КБ.

Вирус прописывает себя в Реестр Windows в REG_SZ-параметры Shell и Userinit раздела [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon].

Файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe прописываются в Автозагрузке (см. раздел Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]).

Вирус – резидентный, на зараженном ПК он грузится вместе с операционной системой и постоянно присутствует в оперативной памяти.

Как устранить деструктивные последствия вируса

1. Проверьте винчестер надежным антивирусом со свежими базами.

2. Удалите (если их не уничтожил антивирус) файлы имя_папки.scr и имя_папки.exe.

3. Удалите (если их не уничтожил антивирус) следующие файлы:

• \WINDOWS\system32\deter*\lsass.exe (удалите файл вместе с папкой deter*);

• \WINDOWS\system32\deter*\smss.exe (удалите файл вместе с папкой deter*);

• \WINDOWS\system32\deter*\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe; удалите файл вместе с папкой deter*);

• \WINDOWS\system32\ahtomsys*.exe (например, ahtomsys19.exe);

• \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические, в отличие от настоящего ctfmon.exe);

• \WINDOWS\system32\psagor*.exe (или psagor*.sys, или psagor*.dll; например, psagor18.dll).

4. Проверьте раздел Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]:

• REG_SZ-параметр Shell должен иметь значение Explorer.exe;

• REG_SZ-параметр Userinit должен иметь значение C:\WINDOWS\System32\userinit.exe,

5. Удалите из Автозагрузки файлы ahtomsys*.exe, лже-сtfmоn.exe и psagor*.exe (см. раздел Реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]).

6. Удалите шаблон Normal.dot.

7. Попытайтесь восстановить удаленные вирусом файлы.

Сильно обольщаться не следует, но кое-что (если поверх не записывалась другая информация!) восстановить удастся.

Поскольку файлы .jpg перезаписываются вирусом под тем же названием, но с другим содержимым, восстановить их не удается.

Примечания

1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!

2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

3. Почаще делайте резервное копирование важной информации.

4. В зависимости от разновидности вируса Penetrator количество, название и размер создаваемых им файлов и папок, а также набор деструктивных действий могут существенно различаться.

Послесловие

По сообщениям СМИ, 20-летний автор компьютерного вируса «пенетратор» задержан в Калининграде. Программисту грозит лишение свободы сроком на 3 года, а в случае, если будет доказано, что последствия вирусной атаки оказались тяжелыми – 7 лет…

[D_Master]

UUF3

Что-то я не понял... Куда сходил? Что проверил? При чем тут пенетратор?

[UUF3]

2D_Master

ну, ты-же вроде как помогаешь, в борьбе с заразой

вот и написал, типа, оцени, кол-во проверенных и кол-во зараженных

а остально, для остальных

что бывает, если не предохранятся

[D_Master]

оцени, кол-во проверенных и кол-во зараженных

Ясно

ЗЫ У меня летом пенетратор в одного более 900 файлов (*.scr) насоздавал (чуть ли не за полсутки), я еле очухался...

[UUF3]

в одного более 900 файлов (*.scr) насоздавал (чуть ли не за полсутки), я еле очухался

повезло, по сравнению с результатами моего похода

[D_Master]

повезло, по сравнению с результатами моего похода

Только сейчас заметил - Clean - не "чистых", а "вычищено" что ли получается?

[UUF3]

"вычищено" что ли получается

ну так ведь пеня создает в каждой папке файл <имя папки>.scr

комп стоит у простого, не слишком знающего человека, куча дублированных файлов/папок

доки печатает, фильмы показывает, музыку и игры играет, что еще для щастя надо

пока не припрет, не почешется (это про юзера обычного, домашнего )

[D_Master]

пеня

*pactalom

пока не припрет, не почешется

+1

[Buldogg]

Проблема таже что и Brendon_Hit. Выбивает из сети и появилась подключение i-connect.

Вот тут Архивы

[D_Master]

Buldogg

Пофикси в HiJackThis (как фиксить - в шапке):

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

Выполни скрипт в AVZ (как выполнять скрипт - в шапке):

SetServiceStart('Schedule', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
DeleteFile('spin.sys');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\Lady_Eats_Her_Shit--www.youtube.com');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\Your_Mama_Naked.PIF');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\940.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\870.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\812.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\546.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\535.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\489.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\363.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\244.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\192.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\101.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\244.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\363.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\489.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\535.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\546.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\812.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\870.exe');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\940.exe');
DeleteFile('spol.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-4324425073-3482890090-575179928-1723\winservices.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe');
ExecuteSysClean;
RebootWindows(true);
end.

begin

[Buldogg]

Спасибо помагло!

[Dzon]

Проблема заключается в том, что комп стал ужасно тормозить и выключается по 15-20 минут, логи тут ftp://ftp.burnet.ru/incoming/users/Dzon/

[D_Master]

Dzon

Логи неполные. Жду архив virusinfo_syscure.zip.

[Dzon]

D_Master

Логи неполные. Жду архив virusinfo_syscure.zip.

Немогу сделать данный лог как нажимаю сделать лог вылетает ошибка видовс и программа закрывается.

[D_Master]

Dzon

Скриншот ошибки в студию.

Пока только такой скрипт (как выполнять скрипт AVZ - в шапке):

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
DeleteFile('spgj.sys');
ExecuteSysClean;
RebootWindows(true);
end.

begin

Логи чистые. Причина тормозов, скорее всего, не в зловредах.

[Till]

D_Master

Вот посматри пож-та

ftp://ftp.burnet.ru/incoming/users/Till/LOG/