Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

Выполни скрипт AVZ (как выполнить скрипт - в шапке):


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ice_time.dll','');
QuarantineFile('C:\WINDOWS\system32\tuqrm.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\stdriver32.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\lsass.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\lsass.exe');
BC_DeleteFile('C:\Documents and Settings\Администратор\Application Data\lsass.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
begin

После перзагрузки еще один скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (стандартный скрипт AVZ)

Сделай еще лог Gmer

Загрузите GMER

Запустите программу, начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и выложи его.

Ссылка на комментарий
  • 0

Извините, что так долго. Вот логи:

virusinfo_syscheck.zip

ну так они и должны быть. без них не возможное нормальная работа ОС

Ну я это знаю. Я имею ввиду что раньше у меня был только один svchost.exe, а сейчас их несколько. После логов проблема осталась.


Кстати, как правильно отключить (а в последствии - включить) восстановление системы на Windows 7?

Ссылка на комментарий
  • 0

Majostik

в логах чисто. Могу по советовать посмотреть с помощью Process Explorer хедлы того процесса svhost который грузит системы и найти тот хейдел что грузит ЦП. там уже должно более менее стать понятно в чем причина

Добавлено спустя 9 минут 27 секунд:

Breanhard

Выполни скрипт AVZ (как выполнить скрипт - в шапке):


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\eghmi3.exe');
QuarantineFile('C:\Windows\system32\alg.exe','');
QuarantineFile('C:\Windows\system32\nwcwks.dll','');
QuarantineFile('C:\Windows\System32\nwcwks.dll','');
QuarantineFile('\SystemRoot\system32\drivers\zxdbabsbtwpdi7.sys','');
QuarantineFile('C:\Windows\system32\eghmi3.exe','');
QuarantineFile('C:\Windows\system32\config\systemprofile\0fzucjbay0.exe','');
QuarantineFile('C:\Windows\system32\config\systemprofile\0gtqpf26rh.exe','');
QuarantineFile('C:\Windows\system32\config\systemprofile\v12ua1pqvg.exe','');
QuarantineFile('C:\Windows\system32\cwmxswpy.dll','');
QuarantineFile('C:\Windows\system32\advapi32.exe','');
QuarantineFile('C:\Windows\ehome\ehRecvr.exe','');
QuarantineFile('C:\Windows\System32\mctadmin.exe','');
QuarantineFile('C:\Windows\System32\EhStorAuthn.exe','');
QuarantineFile('C:\Program Files\Conexant\Adsl\dslstat.exe','');
QuarantineFile('C:\Program Files\Conexant\Adsl\dslagent.exe','');
QuarantineFile('C:\Windows\System32\alg.exe','');
QuarantineFile('C:\Windows\system32\drivers\zxdbabsbtwpdi7.sys','');
QuarantineFile('c:\windows\system32\nwcwks.dll','');
QuarantineFile('c:\windows\system32\cwmxswpy.dll','');
QuarantineFile('c:\program files\conexant\adsl\dslagent.exe','');
QuarantineFile('c:\windows\system32\eghmi3.exe','');
DeleteFile('c:\windows\system32\eghmi3.exe');
DeleteFile('c:\windows\system32\cwmxswpy.dll');
DeleteFile('C:\Windows\system32\drivers\zxdbabsbtwpdi7.sys');
DeleteFile('C:\Windows\System32\EhStorAuthn.exe');
DeleteFile('C:\Windows\system32\cwmxswpy.dll');
DeleteFile('C:\Windows\system32\config\systemprofile\v12ua1pqvg.exe');
DeleteFile('C:\Windows\system32\config\systemprofile\0gtqpf26rh.exe');
DeleteFile('C:\Windows\system32\config\systemprofile\0fzucjbay0.exe');
DeleteFile('C:\Windows\system32\eghmi3.exe');
DeleteFile('\SystemRoot\system32\drivers\zxdbabsbtwpdi7.sys');
BC_DeleteFile('C:\Windows\system32\drivers\zxdbabsbtwpdi7.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\zajqkjsy\Parameters','ServiceDll');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','0fzucjbay0');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','0fzucjbay0');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','0gtqpf26rh');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','0gtqpf26rh');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','v12ua1pqvg');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','v12ua1pqvg');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','apps');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.

После перзагрузки еще один скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

LeviX

привет

вот лог с авз - http://zalil.ru/31572602

Выполни скрипт AVZ (как выполнить скрипт - в шапке):


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hidec','');
QuarantineFile('C:\WINDOWS\System32\logon.scr','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\UIUCU.EXE','');
QuarantineFile('C:\Program Files\Mozilla Firefox\mozjs.dll','');
QuarantineFile('C:\Program Files\Mozilla Firefox\freebl3.dll','');
QuarantineFile('C:\Program Files\mirc\mirc.exe','');
QuarantineFile('C:\Program Files\Samsung\Samsung New PC Studio\NPSDENG.exe','');
ClearHostsFile;
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\UIUCU.EXE');
BC_DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\UIUCU.EXE');
DeleteFile('C:\WINDOWS\system32\hidec');
BC_DeleteFile('C:\WINDOWS\system32\hidec');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.
begin

После перзагрузки еще один скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ ( стандартный скрипт AVZ)


Добавлено спустя 7 минут 8 секунд:

уже 2 компа - http://zalil.ru/31572626

Выполни скрипт AVZ (как выполнить скрипт - в шапке):


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\drivers\evbda.sys','');
QuarantineFile('C:\Users\755E~1\AppData\Local\MICROS~1\Windows\TEMPOR~1\Content.IE5\95EVJXZG\B6ADFE~1.EXE','');
QuarantineFile('C:\Program Files (x86)\Common Files\LightScribe\LSSMsg.dll','');
QuarantineFile('C:\Windows\system32\DRIVERS\udfs.sys','');
QuarantineFile('C:\Program Files (x86)\Common Files\LightScribe\LSSProxy.dll','');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\components\browsercomps.dll','');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\mozalloc.dll','');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\freebl3.dll','');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\mozjs.dll','');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\ssl3.dll','');
DeleteFile('C:\Users\755E~1\AppData\Local\MICROS~1\Windows\TEMPOR~1\Content.IE5\95EVJXZG\B6ADFE~1.EXE');
BC_DeleteFile('C:\Users\755E~1\AppData\Local\MICROS~1\Windows\TEMPOR~1\Content.IE5\95EVJXZG\B6ADFE~1.EXE');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.
begin

После перзагрузки еще один скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

http://zalil.ru/31572878- карантин

http://zalil.ru/31572870- новый лог

Добавлено спустя 11 минут 29 секунд:

не хочет делать скрипт 2 компа, прога виснет при попытке выполнить скрипт

в чем может быть проблема? win 7 64

Ссылка на комментарий
  • 0

LeviX

Интересно что то в карантин нечего не попало. Что с проблемами? В логах нечего плохого не увидел

Добавлено спустя 1 минуту 37 секунд:

не хочет делать скрипт 2 компа, прога виснет при попытке выполнить скрипт

в чем может быть проблема? win 7 64

Да скорей всего? Ты точно AVZ запускал от именин администратора?

Попробуй тогда такой скрипт:


QuarantineFile('C:\Windows\System32\drivers\evbda.sys','');
QuarantineFile('C:\Users\755E~1\AppData\Local\MICROS~1\Windows\TEMPOR~1\Content.IE5\95EVJXZG\B6ADFE~1.EXE','');
QuarantineFile('C:\Program Files (x86)\Common Files\LightScribe\LSSMsg.dll','');
QuarantineFile('C:\Windows\system32\DRIVERS\udfs.sys','');
QuarantineFile('C:\Program Files (x86)\Common Files\LightScribe\LSSProxy.dll','');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\components\browsercomps.dll','');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\mozalloc.dll','');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\freebl3.dll','');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\mozjs.dll','');
QuarantineFile('C:\Program Files (x86)\Mozilla Firefox\ssl3.dll','');
DeleteFile('C:\Users\755E~1\AppData\Local\MICROS~1\Windows\TEMPOR~1\Content.IE5\95EVJXZG\B6ADFE~1.EXE');
BC_DeleteFile('C:\Users\755E~1\AppData\Local\MICROS~1\Windows\TEMPOR~1\Content.IE5\95EVJXZG\B6ADFE~1.EXE');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.
begin

Добавлено спустя 40 секунд:

Извиняюсь, забыл сейчас изменить скрипт убрал вот эти две строчки

SearchRootkit(true, true);
SetAVZGuardStatus(True);

Ссылка на комментарий
  • 0
Что с проблемами?

svchost.exe оперативную память жрет

crss.exe

winlogon.exe spoolsv.exe елый букет

Добавлено спустя 31 секунду:

2

http://zalil.ru/31573063 карантин

http://zalil.ru/31573080 log

Ссылка на комментарий
  • 0

VR

А что с моими логами?

Извините, что так долго. Вот логи:

virusinfo_syscheck.zip

ну так они и должны быть. без них не возможное нормальная работа ОС

Ну я это знаю. Я имею ввиду что раньше у меня был только один svchost.exe, а сейчас их несколько. После логов проблема осталась.


Кстати, как правильно отключить (а в последствии - включить) восстановление системы на Windows 7?

Ссылка на комментарий
  • 0

ViktorOBM,

это нормально что присутствуют несколько процессов svhost. Количество svhost зависит от системы, а так же установлены прог.

Какие именно проблемы остались?

Ссылка на комментарий
  • 0

VR

Да так, разные мелочи (было один раз, что браузер не сразу всю страницу сначала загружал, а потом картинки и т.д., а загружал постепенно, всё подгруживая сразу, и ещё тоже один раз было, когда звук увеличивал, он сам постепенно до нуля уменьшался, так невозможно было прибавить громкость), но всё решалось перезагрузкой компьютера. А так впринципе всё нормально. Тоесть, если всё в порядке с svhost'ами, то значит был другой вирус? И на что он влиял? Интересненько!

Ссылка на комментарий
  • 0

LeviX

VR что тут?

Переделай доги AVZ новой версии, скачать можно тут

Сделай еще лог Gmer

Загрузите GMER

Запустите программу, начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и выложи его.

Добавлено спустя 8 минут 45 секунд:

Chris55

Пределай логи новой версией AVZ? скачать можно тут

Добавлено спустя 7 минут 26 секунд:


ope1SiN

прошу прощения за задержку, был в отъезде.

логи и карантин. после запуска GMER'а вылетает БСОД =/

Тогда попробуй сделать логи ComboFix

Скачайте ComboFix , и сохраните на рабочий стол.

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Добавлено спустя 4 минуты 27 секунд:


Хр

Выполни скрипт AVZ (как выполнить скрипт - в шапке):


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\polagent.dll','');
QuarantineFile('C:\WINDOWS\System32\logon.scr','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aa48g5v8.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\aa48g5v8.SYS');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\aa48g5v8.SYS');
ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
begin

После перзагрузки еще один скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0

Chris55

>>>> ?????? - ???? avz.exe ???????, ??? CRC ?? ?????? ???????? ?? ???? ??????????

Эта строчка говорит о том что на компьютере присуствует активный файловый вирус. Для его лечения сделай полную проверку компа с помощью Kaspersky Virus Removal Tool 2011

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...