Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

Что с проблемами?

Сделай еще лог Gmer

Загрузите GMER

Запустите программу, начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и выложи его.

Ссылка на комментарий
  • 0

Batt

Скачайте ComboFix , и сохраните на рабочий стол.

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на комментарий
  • 0

Итак, ComboFix работает, а потом компьютер перезагружается. На диске С появляется папка СomboFix, которая фактически такая же, как и папка "Мой компьютер" на рабочем столе.

Файла ComboFix.txt не нашла.

Ссылка на комментарий
  • 0

У знакомой подозрения на вирусы. Одноклассники пишут что нужно отослать её номер телефона а сам браузер говорит что есть вирусы и просит отправить СМС. Кое-как, с помощью темы про СМС вымогатели убрались, но IE до сих пор не запускается. Проверьте, пожалуйста, есть ли вирусы?

Вот логи:

http://zalil.ru/31391996

Ссылка на комментарий
  • 0

Выполни скрипт AVZ(как выполнить скрипт в шапке)


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\oovoo\oovoo.exe','');
QuarantineFile('c:\program files\vksaver\vksaverupdater.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\NEventMessages.dll','');
QuarantineFile('81251365.sys','');
QuarantineFile('C:\WINDOWS\system32\pqjxthj.dll','');
DeleteFile('C:\WINDOWS\system32\pqjxthj.dll');
BC_DeleteFile('C:\WINDOWS\system32\pqjxthj.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
begin

после перезагрузки выполни еще один скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ выложи на файлообменик

После чего сделать новые логи AVZ (стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

Ну окно Мозиллы, которое просило обновить браузер опять появилось, IE тоже не работает, а Одноклассники и ВКонтакте вроде нормально.

Насчёт окна обновления. Мы через тему СМС вымогателей зашли на сайт Касперского, ввели телефон, на который просили отправить СМС, нам предложили скачать прогу ACCkiller. Скачали, просканировали систему, нашёлся один вирус, мы его удалили, но вчера опять вылезло это окно.

Теперь про Одноклассников и ВКонтакте. Нашли мы файл hosts, а там вообще было написано: "Отправьте СМС и не мучайтесь". Мы офигели, скачали оригинальный текст из той темы, но ничего не помогло. Мы обратились сюда и, после выполнения 4-го действия (7-ой стандартный скрипт) в шапке, с соц. сетями всё стало нормально.

Надо ли снова сканировать систему ACCkiller?

Ссылка на комментарий
  • 0

ViktorOBM

когда сейчас делал логи 2-й стандартный скрипт была запущенна Мозила и в ней было это окно или появилось уже после выполнения скрипта?

Выполни еще вот этот скрипт AVZ


begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\EasyBits GO\ezGameXN.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\EasyBits GO\Games\53F537B72987463CB06D78F5541A3239\skGamesUpdate.dll','');
QuarantineFile('C:\Program Files\Mozilla Firefox\components\browserdirprovider.dll','');
QuarantineFile('C:\Program Files\Mozilla Firefox\components\brwsrcmp.dll','');
QuarantineFile('C:\Program Files\Mozilla Firefox\js3250.dll','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\{8dec4b69-27c4-405d-a37d-8d45c83f66ab}\components\FFExternalAlert.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

новый quarantine.zip из папки AVZ выложи на файлообменик

Ссылка на комментарий
  • 0

VR

Было только окно с этой темой.

Ок, сделаю логи.

На всякий случай вот скрин "баннера":

trojan.win32.cdox.%5Bfirefox%5D.png

Как ни странно, это единственный "приличный" баннер на который нужно отправить СМС на этот номер.

Поиск по тексту сообщения ничего не выдал.

Ссылка на комментарий
  • 0

ViktorOBM

ещё скриптик выполни:


SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('D:\Игры\Колыбель Рима\Колыбель Рима.exe');
TerminateProcessByName('D:\Игры\Рыбки\Рыбки.exe');
TerminateProcessByName('D:\файлы от игр\В погоне за прибылью\В погоне за прибылью.exe');
TerminateProcessByName('D:\файлы от игр\Веселые Гномы\Веселые Гномы.exe');
TerminateProcessByName('D:\файлы от игр\Зачарованные Острова\Зачарованные Острова.exe');
TerminateProcessByName('D:\файлы от игр\Любимый Ресторанчик\Любимый Ресторанчик.exe');
TerminateProcessByName('D:\файлы от игр\Модная Лихорадка\Модная Лихорадка.exe');
TerminateProcessByName('D:\файлы от игр\Модный Дом\Модный Дом.exe');
TerminateProcessByName('D:\файлы от игр\Солнечная Ферма\Солнечная Ферма.exe');
TerminateProcessByName('D:\файлы от игр\Ферма Айрис\Ферма Айрис.exe');
TerminateProcessByName('D:\файлы от игр\Хуру Хуми - Солнечный бизнес\Хуру Хуми - Солнечный бизнес.exe');
DeleteFile('D:\Игры\Колыбель Рима\Колыбель Рима.exe');
DeleteFile('D:\Игры\Рыбки\Рыбки.exe');
DeleteFile('D:\файлы от игр\В погоне за прибылью\В погоне за прибылью.exe');
DeleteFile('D:\файлы от игр\Веселые Гномы\Веселые Гномы.exe');
DeleteFile('D:\файлы от игр\Зачарованные Острова\Зачарованные Острова.exe');
DeleteFile('D:\файлы от игр\Любимый Ресторанчик\Любимый Ресторанчик.exe');
DeleteFile('D:\файлы от игр\Модная Лихорадка\Модная Лихорадка.exe');
DeleteFile('D:\файлы от игр\Модный Дом\Модный Дом.exe');
DeleteFile('D:\файлы от игр\Солнечная Ферма\Солнечная Ферма.exe');
DeleteFile('D:\файлы от игр\Ферма Айрис\Ферма Айрис.exe');
DeleteFile('D:\файлы от игр\Хуру Хуми - Солнечный бизнес\Хуру Хуми - Солнечный бизнес.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Колыбель Рима.lnk');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Рыбки.lnk');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\В погоне за прибылью.lnk');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Веселые Гномы.lnk');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Зачарованные Острова.lnk');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Любимый Ресторанчик.lnk');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Модная Лихорадка.lnk');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Модный Дом.lnk');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Солнечная Ферма.lnk');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Ферма Айрис.lnk');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Хуру Хуми - Солнечный бизнес.lnk');
ExecuteSysClean;
end.
begin

Кстати, сам ловил подобный вирус. Вредоносный код внедряется в js сайтов, происходит загрузка exe-файла с помощью Java-апплета, после чего в системе регистрируется библиотека с рандомным именем в system32, которая судя по всему генерирует большое количество http-запросов на открываемый в браузере сайт. Сканерами библиотеку найти так и не смог, пришлось вручную искать в msinfo32.exe -> Программная среда -> Загруженные модули.

Ссылка на комментарий
  • 0

VR

Сделал твой лог, но никакого нового quarantine.zip не появилось (перед этим удалил старый quarantine.zip). Или его нужно было самому создавать с помощью этого лога:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Если да, то вот он: quarantine.zip

D_Master

И что, ты мне предлагаешь тоже самое сделать? Если да, то какую библиотеку отключать (Просто их там оооочень много) ?

Вот скрины модулей:

Bezyimyannyiy_7301e407fd837f6cac2655f41825bc82.jpg

n.jpg

y.jpg

ts.jpg

u.jpg

sch.jpg

v.jpg

ya.jpg

ch.jpg

И ёщё. После выполнения твоего лога AVZ застрял, его невозможно было передвинуть и включить, пытались выключить процессор через диспетчер задач, но он тоже почему-то не запускался. Помогла только перезагрузка компьютера. С диспетчером задач всё стало в порядке.

Кстати сегодня, до выполнения этих 2-х логов IE всё-таки запустился (Не знаю почему). Насчёт баннера - он ВСЕГДА вылезал, когда собирались делать денежные переводы через сайт Байкал Банка. Сейчас же он уже не вылезает.

Добавлено спустя 5 минут 11 секунд:

И ещё. Все эти проблемы были у знакомой (Я уже говорил), но я сейчас решил тоже проверить свой файл hosts и увидел там надпись по-английски:


#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
127.0.0.1 validation.sls.microsoft.com

127.0.0.1 static3.cdn.ubi.com
127.0.0.1 ubisoft-orbit.s3.amazonaws.com
127.0.0.1 onlineconfigservice.ubi.com
127.0.0.1 orbitservice.ubi.com
127.0.0.1 ubisoft-orbit-savegames.s3.amazonaws.com
127.0.0.1 static3.cdn.ubi.com
127.0.0.1 ubisoft-orbit.s3.amazonaws.com
127.0.0.1 onlineconfigservice.ubi.com
127.0.0.1 orbitservice.ubi.com
127.0.0.1 ubisoft-orbit-savegames.s3.amazonaws.com
# Copyright (c) 1993-2009 Microsoft Corp.

У меня ОС Windows 7, а у знакомой Windows XP. Так должно быть на Windows 7 или у меня тоже какие-то неполадки?

Ссылка на комментарий
  • 0

ViktorOBM

Сделал твой лог, но никакого нового quarantine.zip не появилось (перед этим удалил старый quarantine.zip). Или его нужно было самому создавать с помощью этого лога:

да ты все правильно сделал.

Сделай снова лог AVZ 2-q стандартный скрипт

У меня ОС Windows 7, а у знакомой Windows XP. Так должно быть на Windows 7 или у меня тоже какие-то неполадки?

нет не должно так быть

Ссылка на комментарий
  • 0
Так должно быть на Windows 7 или у меня тоже какие-то неполадки?
Не должно, но это мусор от какой-то игры для обхода лицензии (активация мб).
Если да, то какую библиотеку отключать (Просто их там оооочень много) ?

Не нашел, возможно уже удалена.

Помогла только перезагрузка компьютера

Тогда вручную удалить перечисленные в скрипте файлы

Ссылка на комментарий
  • 0

Batt

Попробуй еще раз сделать лог Gmer

аметила, что, используя Мозиллу, Вконтакте прекрасно работает. С Оперой же проблема остается.

Возможно тут дело в самой Опере попробуй очистить кэш оперы. Результат сообщи.

Ссылка на комментарий
  • 0

Batt, выполни скрипт AVZ (как выполнить скрипт - в шапке):


SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
DelBHO('{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{5BCDC9E9-A980-4B53-B2E8-60CFF484DA61}');
DelBHO('{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2}');
DelBHO('{88888888-8888-8888-8888-888888888888}');
DelBHO('{832adac4-bac8-484a-919d-d495b23aea31}');
DelBHO('{6214E45E-93E4-47AF-F3F0-A9A6127B884E}');
DelBHO('{44AAE27F-EDEE-4420-8DB3-267C7C80AE50}');
DelBHO('{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}');
QuarantineFile('E:\Документы Игоря\Garena\safedrv.sys','');
SetServiceStart('catchme', 4);
StopService('catchme');
BC_DeleteSvc('catchme');
QuarantineFile('C:\DOCUME~1\2180~1\LOCALS~1\Temp\catchme.sys','');
DeleteFile('C:\DOCUME~1\2180~1\LOCALS~1\Temp\catchme.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
begin

После перезагрузки:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Внимание !!! База поcледний раз обновлялась 19.04.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обнови базы, сделай ещё один лог, сообщи что с проблемой после выполнения 2-х скриптов.

Ссылка на комментарий
  • 0

VR

Извините, что долго не отвечал. Сделал логи по вашей просьбе:

virusinfo_syscheck

Как ни странно, файл довольно маленький (30 кб). Если вирусов уже нет, посоветуйте, пожалуйста, что надо делать после лечения, как лучше защититься, чтобы не попали нвые вирусы и т.д.

Заранее, большое спасибо. Буду очень благодарен.

Ссылка на комментарий
  • 0

ViktorOBM

Банер больше не вылазит?

Если вирусов уже нет, посоветуйте, пожалуйста, что надо делать после лечения, как лучше защититься, чтобы не попали нвые вирусы и т.д.

Обновить ОС и весь установленный софт, не работать под учеткой админа и не посещать сомнительные сайты

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...