Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[The ArGen]

r

так фот еще раз прошу напиши как избавиться от I-connect??? меня так и выкидывает!!!

[VR]

Логи сделай, установи себе после лечения нормальный антивирус и переодически обновляй баззы.

[tobulat]

Проблемы с вирусами, комп сам отключается, на диск С не могу зайти, и тому подобные чудеса. Помогите, чем сумеете)

ftp://ftp.burnet.ru/incoming/users/tobulat/

ЗЫ: hijackthis получился как простой текстовый файл и я его заархивировал- правильно?

[D_Master]

tobulat

Выполни скрипт в AVZ (как выполнять - в шапке):

SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
QuarantineFile('C:\m9ma.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\gasretyw0.dll','');
QuarantineFile('C:\WINDOWS\system32\Rundll32.exe','');
QuarantineFile('C:\WINDOWS\system32\hnetcfg.dll','');
QuarantineFile('C:\WINDOWS\system32\kamsoft.exe','');
DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
DeleteFile('C:\WINDOWS\system32\gasretyw0.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\m9ma.exe');
ExecuteSysClean;
RebootWindows(true);
end.

begin

Компьютер перезагрузится. После загрузки ещё один:

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

begin

Архив Quarantine.zip из папки AVZ залей на фтп, ссылку напиши сюда.

ЗЫ Советую поменять антивирус.

[tobulat]

Готово

ftp://ftp.burnet.ru/incoming/users/tobulat/

[D_Master]

tobulat

Сделай новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и HiJackThis.

[tobulat]

Сделано

ftp://ftp.burnet.ru/incoming/users/tobulat/new_logs/

[D_Master]

tobulat

пофикси в HiJackThis (как фисксить - в шапке):

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

Выполни скрипт AVZ:

SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\WINDOWS\system32\kamsoft.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\gasretyw0.dll');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187562');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX1C987192');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

begin

Желательно после перезагрузки сделать ещё один лог AVZ (2й стандартный скрипт).

[tobulat]

Новый лог AVZ и backups здесь

ftp://ftp.burnet.ru/incoming/users/tobulat/new_log_v2_and_backups/

ЗЫ: перезагрузка зависла, пришлось вручную жать.

[D_Master]

tobulat

Поздравляю, логи чистые!

На будущее советую отключить автозапуск со съемных устройств и поменять антивирус. Не доверяю я Панде .

[tobulat]

D_Master

Вот спасибо. Просто, Браво!!!

ЗЫ: О_о теперь ты знаешь, что у меня на компе? Только никому не говори!)))

[D_Master]

ЗЫ: О_о теперь ты знаешь, что у меня на компе? Только никому не говори!)))

В логах только техническая информация, никакой личной информации нету

Вот спасибо

Пожалуйста

[Dashuxa]

ftp://ftp.burnet.ru/incoming/users/dashuxa/log's/

[VR]

выполните скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\w2.com','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\REBUILDI.EXE','');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\w2.com');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\w2.com');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\w2.com');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\w2.com');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

quarantine.zip - выложи на ftp

повторите логи

[Dashuxa]

quarantine.zip

ftp://ftp.burnet.ru/incoming/users/dashuxa/log's/%EA%E0%F0%E0%ED%F2%E8%ED/

Заново все просканировать после выполнения скрипта?

[VR]

Dashuxa

Заново все просканировать после выполнения скрипта?

Да сделай новые логи и залей на фтп.

Добавлено спустя 16 минут 48 секунд:

карантин потвердился, обноруженно троянская программа Packed.Win32.Krap.g

[Dashuxa]

ftp://ftp.burnet.ru/incoming/users/dashuxa/log's/new%20logs/

какие вирусы были?

[VR]

В карантине из известный только Packed.Win32.Krap.g, по всей видимости есть еще один неизвестный вирус для Касперского REBUILDI.EXE по данным http://www.virustotal.com опасность 17,95% жду ответа вирлаба.

Какие остались проблемы?

[D_Master]

есть еще один неизвестный вирус для Касперского REBUILDI.EXE

Это не вирус, это программа Rebuild Icon Cache - применяется в самопальных сборках WinXP (а-ля зверьСД и т.п.). Её функция - восстановление ярлыка "Свернуть все окна" в панели быстрого запуска - после интеграции в дистрибутив XP Internet Explorer'а 7 она иногда пропадает и не появляется Так что это не вирус.

[mar1boro]

Извиняюсь, щас оффтоп польется.

Но чем эти проги лучше моей любимой Avira =))

Просто смысла не могу понять, мне кажетсья лучше ставить полнофункц. пакет + что нить вроде Comodo

[VR]

D_Master

Спасибо не знал, учту на бедующее.

Dashuxa

Выполни скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\cv22.cmd','');
QuarantineFile('D:\cv22.cmd','');
QuarantineFile('C:\cv22.cmd','');
QuarantineFile('G:\w2.com','');
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\w2.com');
DeleteFile('C:\cv22.cmd');
DeleteFile('D:\cv22.cmd');
DeleteFile('E:\cv22.cmd');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Карантин выложи на фтп, выполни стандартный скрипт AVZ №2, и сделай лог HiJackThis, логи также выложи на фтп

[D_Master]

mar1boro

Тем, что эти проги могут делать подробные логи системы. Собственно, для лечения систем на расстоянии остаются только такие способы.

мне кажетсья лучше ставить полнофункц. пакет + что нить вроде Comodo

Дополнительная защита/профилактика лишней никогда не будет Плюс, AVZ и HiJackThis - просто сканеры и они никогда не станут полноценной заменой антивирусам.

[infinitydeluxe]

это все хорошо. но вот я поза вчера какой то вирус поймал , каспером проверил ночью комп, нашел 5 вирусов,

3 удалил.

а 2 не хотят даже удалятся,

потом поискал их команднром не нашел.

пере загрузился , и.... пропала половина програм автозапуска, зато появилась папка с названием "УУУУУУУУ" типа так

пропало соединенние с интернетом. кабель подключен, а сетевого подключения нету.

кароче помогла переустановка системы.

ЗЫ для интереса искал этот вирус на сайте касперского "вируслист " кажется там тоже ничего знают о нем

[D_Master]

кароче помогла переустановка системы.

Зря. Вирус слабенький, убить его заняло бы минут пять (если зараженный компьютер перед глазами).

[Rain man]

ftp://ftp.burnet.ru/incoming/users/Rain%20man/%FB/