Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[Tuman]

VR

http://disk.tom.ru/lz8fgvm

ЗЫ: Загрузка ЦП 100% (svchost) как раз из-за вирусов?

[VR]

ЗЫ: Загрузка ЦП 100% (svchost) как раз из-за вирусов?

Ага, у тебя там что то новенькое появилось.

Выполни скрипт AVZ (как выполнить скрипт в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows.0\system32\svchost.exe:ext.exe:$DATA', 'CHQ=S');
QuarantineFile('c:\windows.0\system32\svchost.exe:ext.exe:$DATA','');
DeleteFile('c:\windows.0\system32\svchost.exe:ext.exe:$DATA');
BC_QrFile('c:\windows.0\system32\svchost.exe:ext.exe:$DATA');
BC_QrFile('C:\WINDOWS.0\0\system32\BOOTVID.dll');
BC_QrFile('C:\WINDOWS.0\0\system32\DRIVERS\CLASSPNP.SYS');
BC_QrFile('C:\WINDOWS.0\0\system32\DRIVERS\PCIIDEX.SYS');
BC_QrFile('C:\WINDOWS.0\0\System32\Drivers\SCSIPORT.SYS');
BC_QrFile('C:\WINDOWS.0\0\System32\Drivers\WMILIB.SYS');
BC_QrFile('C:\WINDOWS.0\0\system32\hal.dll');
BC_QrFile('C:\WINDOWS.0\0\system32\KDCOM.DLL');
BC_QrFile('C:\WINDOWS.0\0\system32\ntdll.dll');
BC_QrFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe');
BC_QrFile('C:\WINDOWS.0\System32\logon.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

Выполнить скрипт в AVZ.:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

С делай заново логи AVZ (2й стандартный скрипт AVZ)

[Tuman]

VR

http://disk.tom.ru/388rk48

ЗЫ: Понятно ... Там новый файл появлялся, назывался wwwznv32.exe. В мсконфиге ещё был в автозагрузке, отлючал его, перезагружался, а он всё равно врубался и ппц.

[Mr.Potatoes]

В строке КОМАНДА в мсконфиге посмотри где он лежит.

Загрузись в безопасном режиме, в мсконфиге его отключи и удали. Лично мне помогло такое.

[VR]

ЗЫ: Понятно ... Там новый файл появлялся, назывался wwwznv32.exe. В мсконфиге ещё был в автозагрузке, отлючал его, перезагружался, а он всё равно врубался и ппц.

Нет этот еще вчера прибили, а новенькое я имел ввиду

c:\windows.0\system32\svchost.exe:ext.exe:$DATA - Обнаружено: Trojan.Win32.Inject.asid

Причем время Время выпуска обновления 24 июл 2010 03:19 (GMT+03:00) Из-за этого у тебя svchost грузил ЦП

Так в логах нечего плохого не увидел. Проблемы остались?

[Tuman]

VR

загрузка цп скачет, но до 100 не доходит. Спасибо большое. Троян засел в системных файлах омг. Только что нод заметил ещё 2 вируса в документах (в темп-файлах), очистил их.

В строке КОМАНДА в мсконфиге посмотри где он лежит.

Загрузись в безопасном режиме, в мсконфиге его отключи и удали. Лично мне помогло такое.

Я нашёл его, но не удалялся, т.к принимал себя за сист.файл (формат .exe), вирус конечно, но удалить не мог вручную, т.к забил себе место в мсконфиге (отключал, перезагружал, не помогало)

[VR]

Tuman

загрузка цп скачет, но до 100 не доходит. Спасибо большое. Троян засел в системных файлах омг.

Он сидел, использовал альтернативные потоки NTFS

Я нашёл его, но не удалялся, т.к принимал себя за сист.файл (формат .exe), вирус конечно, но удалить не мог вручную, т.к забил себе место в мсконфиге (отключал, перезагружал, не помогало)

Сейчас по логам его нет в системе. Так понимаю проблем больше нет?

[Tuman]

VR

Теперь нету, спасибо)

[chimit_]

http://slil.ru/29497194

[VR]

©himit

Выполни скрипт AVZ (как выполнить скрипт в шапке)

SearchRootkit(true, true);
BC_QrFile('C:\WINDOWS\system32\ati2sgag.exe');
BC_QrFile('C:\WINDOWS\system32\asr_pfu.exe');
BC_QrFile('C:\WINDOWS\system32\asr_ldm.exe');
BC_QrFile('C:\WINDOWS\system32\asr_fmt.exe');
BC_QrFile('C:\WINDOWS\system32\Ati2evxx.exe');
BC_QrFile('C:\WINDOWS\System32\6to4svc.dll');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\point32.sys');
BC_Activate;
RebootWindows(true);
end.

begin

Выполнить скрипт в AVZ.:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

[chimit_]

VR

Все сделал,вот

[VR]

В логах чисто

[chimit_]

VR

Т.е. все нормально?

[VR]

©himit

да нечего плохого не увидел

[chimit_]

VR

Ну ясно,спасибо что посмотрели

[Hersones]

http://ulanovka.ru/uploads/old_images/users/13212/dsaf.JPG

пока AVANT`ом пользуюсь.

кстати, компьютер в последнее время стал тормозить сильно.

может скоро и этот браузер перестанет закрываца, что делать?))

[QQQQ]

В компе и на переносном винте обнаружил вирус, сделал вроде всё по факу.

Посмотрите пож-та

http://slil.ru/29515711

http://slil.ru/29515714

[VR]

QQQQ

Выполни скрипт AVZ (как выполнить скрипт в шапке)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\explorer.exe','');
QuarantineFile('F:\Explorer.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('D:\Explorer.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Explorer.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\Games\warcraft\client_sdk\tsControl.exe','');
QuarantineFile('C:\WINDOWS\system32\nod32\nod32.exe','');
QuarantineFile('C:\WINDOWS\system32\XP-26ED279F.EXE','');
DeleteFile('C:\WINDOWS\system32\XP-26ED279F.EXE');
DeleteFile('C:\WINDOWS\system32\nod32\nod32.exe');
DeleteFile('D:\Games\warcraft\client_sdk\tsControl.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\Explorer.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\Explorer.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\Explorer.exe');
DeleteFile('C:\explorer.exe');
DeleteDirectory('C:\WINDOWS\system32\nod32\');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Выполнить скрипт в AVZ.:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

С делай заново логи AVZ (2й стандартный скрипт AVZ)

[QQQQ]

Вот

http://slil.ru/29519238

http://slil.ru/29519235

[VR]

QQQQ

Выполни скрипт AVZ (как выполнить скрипт в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\VRQ4A.tmp','');
DeleteService('GarenaPEngine');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\asdA3.tmp','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\asdA3.tmp');
BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\asdA3.tmp');
BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\VRQ4A.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

Выполнить скрипт в AVZ.:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

С делай заново логи AVZ (2й стандартный скрипт AVZ)

P. S. У тебя тут целую коллекцию зверушек

31.07.2010 21:50:26 Обнаружено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00001.dta
31.07.2010 21:50:26 Обнаружено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00004.dta
31.07.2010 21:50:26 Обнаружено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00002.dta
31.07.2010 21:50:27 Не вылечено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00002.dta Отложено
31.07.2010 21:50:27 Не вылечено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00001.dta Отложено
31.07.2010 21:50:27 Не вылечено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00004.dta Отложено
31.07.2010 21:50:28 Обнаружено: Worm.Win32.FlyStudio.bf C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00009.dta/script.fly
31.07.2010 21:50:28 Не вылечено: Worm.Win32.FlyStudio.bf C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00009.dta/script.fly Отложено
31.07.2010 21:50:28 Ошибка обработки: Worm.Win32.FlyStudio.bf C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00009.dta Ошибка чтения
31.07.2010 21:50:28 Обнаружено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00008.dta
31.07.2010 21:50:28 Не вылечено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00008.dta Отложено
31.07.2010 21:50:28 Обнаружено: Worm.Win32.FlyStudio.bf C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00009.dta/script.fly
31.07.2010 21:51:20 Удалено: Worm.Win32.FlyStudio.bf C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00009.dta
31.07.2010 21:51:20 Обнаружено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00008.dta
31.07.2010 21:51:27 Удалено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00008.dta
31.07.2010 21:51:27 Обнаружено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00002.dta
31.07.2010 21:51:30 Удалено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00002.dta
31.07.2010 21:51:30 Обнаружено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00004.dta
31.07.2010 21:51:32 Удалено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00004.dta
31.07.2010 21:51:32 Обнаружено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00001.dta
31.07.2010 21:51:35 Удалено: Trojan.Win32.Swisyn.hok C:\Documents and Settings\User\Рабочий стол\2010-07-31\avz00001.dta

[QQQQ]

Вот

http://slil.ru/29519796

http://slil.ru/29519797

На переносном винте и на компе дрянь осталась, какой то вирус autorun и recycler, ещё папка system volume information, всё это не удаляется(

если винду сносить не форматируя то вирус останется?

[VR]

QQQQ

А зачем систему переустанавливать?

system volume information - это папка в которой хранятся информация для востановления системы

recycler - это твоя корзина, в этом каталоге находятся файлы помещены в корзину, ты можешь удалить эту папку но система создас ее заново

autorun - в логах нет, когда делал логи внешний диск был подключен или нет?

Выполнить скрипт в AVZ.:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\System Volume Information\_restore{F42D6005-4B85-41E2-94E3-4FF6A416D43C}\RP1\A0000018.exe','');
DeleteFile('D:\System Volume Information\_restore{F42D6005-4B85-41E2-94E3-4FF6A416D43C}\RP1\A0000018.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Выполнить скрипт в AVZ.:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

Подключи внешний диск и с делай заново логи AVZ (2й стандартный скрипт AVZ)

[QQQQ]

http://slil.ru/29521001

http://slil.ru/29521002

Винт подключил, на нём $RECYCLE.BIN , RECYCLER , Recycled - скрытые. И ещё

$RECYCLE.BIN , RECYCLER - обычные не скрытые папки. чё такое, это вирус насоздавал пхд?

ещё папки games и Download на винте сами становятся скрытыми. чё то здесь не то

[VR]

QQQQ

Ага что то новенькое подцепил заново

$RECYCLE.BIN , RECYCLER , Recycled, $RECYCLE.BIN , RECYCLER можешь вручную удалить эти папки, да же если в них находятся вирусу то они сами не как не запустятся так как нет на них ссылок в объектах автозапуска. Скорей всего эти папки были созданы вирусом которого потом благополучно прибил антивирус а папки остались лежать как останки от вируса.

games и Download - в этих папках есть нужные файлы или они то же появляется самопроизвольно?

Выполнить скрипт в AVZ.:

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\XP-26ED279F.EXE','');
TerminateProcessByName('c:\windows\system32\xp-26ed279f.exe');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\eAPI.fne','');
DeleteFile('c:\windows\system32\xp-26ed279f.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\com.run');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\dp1.fne');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\eAPI.fne');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\internet.fne');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\krnln.fnr');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\RegEx.fnr');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\shell.fne');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\E_4\spec.fne');
DeleteFile('C:\WINDOWS\system32\XP-26ED279F.EXE');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

Выполнить скрипт в AVZ.:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

Подключи внешний диск и с делай заново логи AVZ (2й стандартный скрипт AVZ)

[QQQQ]

Эти папки на переносном винте я удалил норм, но папка System Volume Information не удаляется пишет "Не удаётся удалить System Volume Information. Нет доступа. Диск может быть переполнен или защищён от записи, либо файл занят другим прилодением". папка RECYCLER удаляется только когда переименуеш, но снова появляется, файл autorun удалился. аналогично и на компе. Как это удалить? это и есть вирус тока он как то маскируется, имхо. базу АВЗ обновить может, вроде не старая.

В папках games i Download нужное, фильмы и игры.

http://slil.ru/29523618

http://slil.ru/29523620