Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[mar1boro]

Извиняюсь, щас оффтоп польется.

Но чем эти проги лучше моей любимой Avira =))

Просто смысла не могу понять, мне кажетсья лучше ставить полнофункц. пакет + что нить вроде Comodo

[VR]

D_Master

Спасибо не знал, учту на бедующее.

Dashuxa

Выполни скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\cv22.cmd','');
QuarantineFile('D:\cv22.cmd','');
QuarantineFile('C:\cv22.cmd','');
QuarantineFile('G:\w2.com','');
QuarantineFile('G:\autorun.inf','');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\w2.com');
DeleteFile('C:\cv22.cmd');
DeleteFile('D:\cv22.cmd');
DeleteFile('E:\cv22.cmd');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Карантин выложи на фтп, выполни стандартный скрипт AVZ №2, и сделай лог HiJackThis, логи также выложи на фтп

[D_Master]

mar1boro

Тем, что эти проги могут делать подробные логи системы. Собственно, для лечения систем на расстоянии остаются только такие способы.

мне кажетсья лучше ставить полнофункц. пакет + что нить вроде Comodo

Дополнительная защита/профилактика лишней никогда не будет Плюс, AVZ и HiJackThis - просто сканеры и они никогда не станут полноценной заменой антивирусам.

[infinitydeluxe]

это все хорошо. но вот я поза вчера какой то вирус поймал , каспером проверил ночью комп, нашел 5 вирусов,

3 удалил.

а 2 не хотят даже удалятся,

потом поискал их команднром не нашел.

пере загрузился , и.... пропала половина програм автозапуска, зато появилась папка с названием "УУУУУУУУ" типа так

пропало соединенние с интернетом. кабель подключен, а сетевого подключения нету.

кароче помогла переустановка системы.

ЗЫ для интереса искал этот вирус на сайте касперского "вируслист " кажется там тоже ничего знают о нем

[D_Master]

кароче помогла переустановка системы.

Зря. Вирус слабенький, убить его заняло бы минут пять (если зараженный компьютер перед глазами).

[Rain man]

ftp://ftp.burnet.ru/incoming/users/Rain%20man/%FB/

[D_Master]

Rain man

выполни скрипт AVZ (как выполнять - в шапке):

SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187562');
DeleteFile('C:\WINDOWS\system32\rebuild.exe');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
DeleteFile('D:\System Volume Information\_restore{943F78A0-CF73-4769-9852-D07340CA3373}\RP26\A0012837.exe');
DeleteFile('D:\System Volume Information\_restore{943F78A0-CF73-4769-9852-D07340CA3373}\RP26\A0013202.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
DeleteFile('I:\autorun.inf');
DeleteFile('I:\RESTORE\k-1-3542-4232123213-7676767-8888886\JUZZ.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

begin

Компьютер перезагрузится. Повтори лог AVZ (2й стандартный скрипт)

[maclagen]

ээ .. ну вот, что получилось:

http://ftp.burnet.ru/incoming/users/mo3g/

[D_Master]

maclagen

По логам всё чисто. Есть симпотмы заражения?

[maclagen]

D_Master

не знаю, вирус это или нет. Но иногда, допустим при установке каких-нибудь программ, выходит окно установки, потом бац и исчезнет, и не могу я установить (ну это не обязательно при установке там чего-либо). В тот же msconfig не могу зайти, появится окошко и через секунду исчезнет.

Пробовала через безопасный режим, там норм открывается (msconfig, к примеру), но при установке программ выдает ошибку хз че такое

[D_Master]

maclagen

Возможно у тебя файловый вирус, с которым бороться с помощью AVZ и других подобных утилит смысла нету. Поставь компьютер на полное сканирование антивирусом с обновленными базами.

В тот же msconfig не могу зайти, появится окошко и через секунду исчезнет.

Как мне помнится, так издевался пенетратор.

[VR]

maclagen

Рекомендую деинсталлировать CursorXP.

Проверь раздел в реестре

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE -

значение параметра по умолчанию д.б. C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

Типа запуска службы Windows Installer - вручную? Служба запускается? Ошибки в журнале событий есть? Если проблема связана с Windows Installer, попробуй по порядку, проверяя псоле каждого шага не исчезла ли проблема:

Пуск --> Выполнить: msiexec /unregister , затем msiexec /regserver

Переустановить Windows Installer 4.5

Примените твик реестра

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer]
"Description"="Позволяет добавлять, изменять и удалять приложения, предоставленные пакетом Windows Installer (*.msi). Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены."
"Type"=dword:00000020
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,0
0,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,73,00,69,00,65,00,78,00,65,00,6
3,00,2e,00,65,00,78,00,65,00,20,00,2f,00,56,00,00,00,00,00
"DisplayName"="Windows Installer"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,0
0,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,60,00,0
4,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,0
0,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,0
2,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,0
0,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,0
0,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Enum]
"0"="Root\\LEGACY_MSISERVER\00"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Сделой новые логи AVZ и необходимо обновить базы - при помощи автоматического обновления (Файл/Обновление баз)

Еще залей свой msconfig на фтп сылку напиши сдесь, может твой msconfig заражон вирусом иначе непонятно что ему делать в автозагрузке

[maclagen]

о спасибо большое! помогло)))

и это я отписала в теме "для тех, чьи системы заражены вирусами" хах

[VR]

maclagen

Всетаки залей свой msconfig на фтп и сылку тут кинь.

Какой конкретно тебе помог совет? Твик реестра?

[D_Master]

непонятно что ему делать в автозагрузке

После настройки системы в автозагрузке появляется msconfig.exe с ключом /auto - сообщение, что была сделана настройка системы и возможность отключить автозагрузку msconfig (поставить галочку). Но не всегда она (галочка эта) срабатывает - у меня, допустим, были случаи, когда msconfig грузился при каждой загрузке системы.

[maclagen]

VR

http://ftp.burnet.ru/incoming/users/mo3g/

ну вот

служба вручную была...

[The ArGen]

ftp://ftp.burnet.ru/incoming/users/D_Master/ArGEn

кабы вот!!!!!!

прада делал неделю назад!!!!!!!!

[D_Master]

ArGen

нет, недельной давности не пойдет. Делай снова.

[MostWanted]

D_Master перезалей пожалуйста эту прогу HiJackThis.

[D_Master]

MostWanted

перезалито

[Tigr@]

D_Master, у меня такой вопрос: удалил с диска 3 фильма, зашел в корзину чтобы до конца удалить, а там всего 2 (!) фильма!!! Куда третий фильмец-то делся?! Самопроизвольно что ли из корзины удалился? Подозрительно все это... <_

[D_Master]

Tigr@

1. Оффтоп

2. Возможно, размер файла был слишком большой, что в корзину не помещался и был удален напрямую.

[Tigr@]

D_Master, почему оффтоп? Вдруг у меня вирус какой, вот я и спросил. Вот еще ситуация: этот же фильм я копировал в другую папку (перед его удалением), и оттуда, откуда я его копировал, он просто исчез! Должно же по идее 2 фильма быть - оригинал как бы и его копия, копия есть, "оригинал" испарился. Может у меня вирус?

[D_Master]

Tigr@

К вирусам эта ситуация вряд ли относится. Так что, оффтоп.

[Tigr@]

Вот еще ситуация: этот же фильм я копировал в другую папку (перед его удалением), и оттуда, откуда я его копировал, он просто исчез! Должно же по идее 2 фильма быть - оригинал как бы и его копия, копия есть, "оригинал" испарился. Может у меня вирус?

На этот вопрос можешь ответить? А то чет я засомневался на счет наличия у меня в системе вирусов.