Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[Vol89]

Кто встречался с этим вирусом bcd8f464.exe?

---

Скрывает папки на всех носителях которые подключаются через USB, создаёт ярлыки с именами папок, создаётся скрытая папка RECYCLER внутри bcd8f464.exe и Desktop.ini

При открытии ярлыка открывается папка скрытая и корень флэшки.

---

Антивирусники (Nod32, Dr. Web CureIT и конечно Avast) ничего не нашли.

Да и AVZ вроде не находит.. Проверил уже несколько раз, проверил по логам файлы удалил их, но толку ноль.

Проверял через AVZ вручную автозагрузку и файлы подозрительные, другие находятся, а этот гад сидит.

[Хр]

VR

http://files.mail.ru/WR4TWM

теперь у меня все ярлыки exe через оперу открываются - т.е. вообще не открываются =(((

[VR]

Vol89

логи то хотя бы покажи, а так можно долго вести пустой разговор

Добавлено спустя 5 минут 25 секунд:

Хр

Выполни скрипт АВЗ

begin
ClearHostsFile;
ExecuteRepair(1);
RebootWindows(true);
end.

Что будет с проблемами после выполнения скрипта?

[Хр]

VR у меня все так-же осталось =(((

paint так и не смог открыть, а фотошоп вообще какой-то тормозной стал. и постоянно ошибка выскакивает что нехватка памяти. (у меня 2-гб оперативки) раньше было 4 - все ок было. а ща планку 2гб отдал и теперь писать так стало =(

[VR]

Хр

1. Загрузите программу Malwarebytes' Anti-Malware (MBAM) с одного из зеркал и сохраните ее на рабочем столе.

2. Скачиваемый файл может иметь различные имена, например, mbam-setup.exe, mbam-setup-<>.exe и т.д.

3. Закройте все программы и окна на Вашем компьютере, выгрузите из памяти все программы защиты (антивирус, файервол и т.д.), которые обычно загружаются при старте системы.

4. Вы должны устанавливать и запускать программу в учетной записи с правами администратора.

5. Запустите сохраненный на Рабочем столе файл и выполняйте инструкции программы установки. Установите программу с настройками по умолчанию.

6. После успешной установки будет проверен состояние баз программы. Возможно, Вы получите сообщение о необходимости их обновления. Пожалуйста, сделайте это обязательно!

7. Если обновление завершилось с ошибкой, скачайте этот_файл и запустите как обычную программу.

8. Запустите МВАМ. Для операционных систем Vista и Windows 7 Вы должны запустить программу "от имени Администратора"

9. После запуска программы Вы увидите ее главное окно с несколькими вкладками.

10. Пожалуйста, перейдите на вкладку Сканнер (Scanner).

11. Выберите пункт меню Полное сканирование (Full Scan).

12. Нажмите кнопку Сканирование (Scan).

В появившемся окне отметьте все локальные диски и все флеш-диски (карты памяти), подключенные к компьютеру.

Нажмите в этом окне кнопку Сканирование (Scan). Начнется проверка.

13. Пожалуйста, постарайтесь не выполнять никаких действий за компьютером во время этого процесса.

14. После завершения проверки Вы получите сообщение о результатах исследования, нажмите кнопку OK.

Протокол проверки (лог) будет открыт в редакторе, принятом в системе по умолчанию.

Если он не запустился, перейдите на вкладку Отчеты (Logs), найдите последний по времени отчет, отметьте его и нажмите кнопку Открыть (Open).

Сохраните лог под тем же именем на Рабочем столе.

После этого выложи этот лог тут.

[Vol89]

AVZ_Logs

[VR]

Выполни скрипт AVZ(как выполнить скрипт в шапке)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('pvmjpg30.dll','');
 QuarantineFile('progman.exe','');
 QuarantineFile('C:\Windows\system32\Drivers\GEARAspiWDM.sys','');
 QuarantineFile('C:\Program Files\AV\AVPlayer\AVPlayerUpdater.exe','');
 QuarantineFile('c:\program files\loviotvet\loviotvetservice.exe','');
 QuarantineFile('c:\program files\av\avplayer\avplayerupdater.exe','');
BC_ImportAll;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполни еще один скрипт

begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 end.

quarantine.zip из папки AVZ выложи на файлообменик

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

Что сейчас проблемамой?

[Vol89]

quarantine.zip

---

Включил сегодня комп, зашёл на внешний диск, все папки норм, воткнул флэху тоже всё норм.

 QuarantineFile('pvmjpg30.dll','');
 QuarantineFile('progman.exe','');
 QuarantineFile('C:\Windows\system32\Drivers\GEARAspiWDM.sys','');
 QuarantineFile('C:\Program Files\AV\AVPlayer\AVPlayerUpdater.exe','');
 QuarantineFile('c:\program files\loviotvet\loviotvetservice.exe','');
 QuarantineFile('c:\program files\av\avplayer\avplayerupdater.exe','');

GEARAspiWDM.sys - файла не было до выполнения скрипта

AVPlayerUpdater.exe и avplayerupdater.exe - это приложение от Aver Media

loviotvetservice.exe - стороннее ПО - уже удалил (просто так висит).

[Хр]

VR

http://files.mail.ru/KFMQB8

Вроде все правильно сделал. он мне сейчас предлагает удалить якобы зараженные объекты. что делать. удалять?_? У меня там кряки есть, что сними делать... жалко их терять?

[Gaijin]

Посмотрите, пожалуйста. Вылетает интернет очень часто и вирус на флэшке поселился.

http://files.mail.ru/O9ECXG

[VR]

Vol89

в логах чисто

Хр

он мне сейчас предлагает удалить якобы зараженные объекты. что делать. удалять?_? У меня там кряки есть, что сними делать... жалко их терять?

кряки можно оставить остальное удалить

Добавлено спустя 4 минуты 47 секунд:

Gaijin

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('K:\shaila/spermici.exe','');
QuarantineFile('K:\autorun.inf','');
QuarantineFile('H:\Share EX2\Share.exe','');
QuarantineFile('H:\Perfect Dark\perfect dark.exe','');
DeleteFile('K:\autorun.inf');
DeleteFile('K:\shaila/spermici.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

begin

после перезагрузки выполни еще один скрипт

begin
       CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
  end.

quarantine.zip из папки AVZ выложи на файлообменик

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[Gaijin]

VR

Сделано.

http://files.mail.ru/X0K3EQ

[VR]

Gaijin

Share EX2 Сам ставили? Она тебе нужна?

Выполни скрипт AVZ

begin
 QuarantineFile('E:\[Install]\[Software]\[Video]\CoreAVC Pro 2.5.5\Keygen.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

После выложи новый quarantine.zip из папки AVZ выложи на файлообменик

[Gaijin]

Да, сам. Пользуюсь.

http://files.mail.ru/JH3GT6

[VR]

Gaijin

в логах чисто

[Gaijin]

VR

Спасибо!

[dibar]

Проблемка появилась.

Вопрос почти теоретический.

Теоретический, потому, что на компе нет CD-привода и нет возможности загрузки с USB из БИОС, старенький он.

На компе стоит Каспер, для рабочих станций 6.0, в связке с Administration Kit

Вирус изменил ассоциацию .exe файлов на Винде.

Все екзешники открываются через стандартный просмотр фоток.

avz не запускается. Менял у avz расширение .exe на .pif, процесс появляется и сразу гасится.

Погуглил, нашел .reg файлы для восстановления ассоциаций, не помогло.

Нашел совет - в командной строке выполнить:

assoc .exe=exefile

Дык и сmd не запускается!))

Что ещё можно сделать не подключая лайф сиди, средствами самой Винды?)

Да, ещё момент.

Закрыт доступ к удаленному рабочему столу через Administration Kit.

Комп в сетке.

[VR]

dibar

Попробовать все таки запустить AVZ для таких случаев есть специальная полиморфная сборка авз ссылка , есть возможность загрузить с сайта каспера Kaspersky Virus Removal Tool 2010 в который встроен движок AVZ и есть возможность выполнять скрипты. Сталкивался что вирусня блокировала и полимофный AVZ тогда действовал так запускал ComboFix (или gmer) по его логом выносил основную зараза и после чего защищаем хвосты AVZ

Добавлено спустя 43 секунды:

Комп в сетке.

так а этот комп в домене?

[dibar]

VR, спасибо, завтра попробую, отпишусь.

Просто стало интересно, как мона без резких движений эту фигню победить)

Нет, домена нет, просто рабочая группа

[VR]

у меня еще есть такое смутное ощущение что и в MP4 можно прямо из интерфейса выполнять скрипт авз (это должно быть где то в районе техподдержка трассировки скрипт AVZ) проверить не могу так как MP4 недает себя лапать по удаленке через всякие Radmin, Teamviewer а под рукой сейчас такого добра нету. смогу проверить только завтра утром.

Так это выглядит на 2012

[dibar]

VR, гм.. может у мну старенькая версия стоит...

Про avz там ни слова не видел, стандартные задачи - обновить базы, агента поставить, проверку сделать..

Даже тех.поддержку не приметил...

Лан, завтра тоже внимательней посмотрю.

[Vol89]

LOG - опять тот же вирус, пока ничего не предпринимал, надо же выяснить где он лежит. Есть подозрение, что в папке C://Windows/system32/catroot2

[VR]

Выполни скрипт AVZ(как выполнить скрипт в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Жаргал\AppData\Roaming\Ctckcm.exe','');
QuarantineFile('C:\ProgramData\DatacardService\DCService.exe','');
QuarantineFile('c:\programdata\datacardservice\dcservice.exe','');
DeleteFile('C:\Users\Жаргал\AppData\Roaming\Ctckcm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ctckcm');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

begin

после перезагрузки выполни еще один скрипт

begin
       CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
  end.

quarantine.zip из папки AVZ выложи на файлообменик

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[yariga]

проверьте пожалуйста

KL_syscure

[VR]

Выполни скрипт AVZ(как выполнить скрипт в шапке)

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\common files\java\java update\jusched.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\malwox.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\malwox.exe');
ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.

begin

после перезагрузки выполни еще один скрипт

begin
        CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
   end.

quarantine.zip из папки AVZ выложи на файлообменик

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)