Решена - вирус, который закрывает программы

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем merk, 27 окт 2011.

Статус темы:
Закрыта.
  1. merk

    merk Junior User

    помогите решить проблему с вирусом, который закрывает все программы поочереди.Постоянно выскакивают сообщения типа "программа закончила работу"
    Инструкцию выполнил: http://www.adminplanet.ru/t2067.html (ИНСТРУКЦИЯ ПО БОРЬБЕ С ВИРУСАМИ!)
    Вирус остался, далее пытаюсь выполнить скрипт, котрый указан в этой теме УДАЛЕНО, утилита AVZ закрывается так же, как и другие программы
    http://webfile.ru/5630064
    ответьте пожалуйста доступным языком
     
    Последнее редактирование модератором: 27 окт 2011
  2. oleg

    oleg Expert Вирусоборец

    Ни в коем случае не следует выполнять скрипты AVZ из других тем! Они делаются вирусоборцами индивидуально под каждый случай и применение "чужого" скрипта может нарушить работу системы.
     
    Последнее редактирование: 27 окт 2011
  3. merk

    merk Junior User

    я не знал, что написано то и делаю))
     
  4. oleg

    oleg Expert Вирусоборец

    Сделайте логи AVZ как показано в инструкции, если вы не понимаете, я объясню:

    ■ В AVZ: меню Файл -> Стандартные скрипты, отметьте галочкой скрипт №3 и нажмите "Выполнить отмеченные скрипты"; (более детально)
    ■ Дождитесь завершения процесса (появится сообщение Скрипты выполнены).
    ■ После чего в папке avz появится папка LOG, в ней найдите архив: virusinfo_SYSCURE.zip.
    ■ Этот архив, разместите на любом файлообменнике не устанавливая пароль (например webfile.ru, указав в своей теме ссылку на архив.
     
    Последнее редактирование: 27 окт 2011
  5. merk

    merk Junior User

  6. oleg

    oleg Expert Вирусоборец

    Доброе время суток!

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     TerminateProcessByName('c:\users\лютый\appdata\local\google\chrome\application\14.0.835.202\0.8584682637739375.exe');
     DeleteFile('c:\users\лютый\appdata\local\google\chrome\application\14.0.835.202\0.8584682637739375.exe');
     DeleteFile('C:\PROGRA~3\VKSaver\vksaver3.dll');
     DeleteFile('C:\Users\AABC~1\AppData\Local\Google\Chrome\APPLIC~1\140835~1.202\085846~1.EXE');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    O20 - AppInit_DLLs: C:\PROGRA~3\VKSaver\vksaver3.dll
    
    5. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 5) проверьте, остался ли вирус? Если да, выполните следующее:
     
  7. merk

    merk Junior User

    ничего не выходит, вставляю скрипт, нажимаю запустить, выскакивает окно: завершена работа AVZ
     
  8. oleg

    oleg Expert Вирусоборец

    Покажите в каком виде вы копируйте скрипт в окно для вставки скрипта в avz.

    Скрипт должен быть в точности, вот такой:

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearHostsFile;
    TerminateProcessByName('c:\users\лютый\appdata\local\google\chrome\application\14.0.835.202\0.8584682637739375.exe');
    DeleteFile('c:\users\лютый\appdata\local\google\chrome\application\14.0.835.202\0.8584682637739375.exe');
    DeleteFile('C:\PROGRA~3\VKSaver\vksaver3.dll');
    DeleteFile('C:\Users\AABC~1\AppData\Local\Google\Chrome\APPLIC~1\140835~1.202\085846~1.EXE');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
     
  9. oleg

    oleg Expert Вирусоборец

    Если выполнить скрипт так и не удалось,

    выполните следующее:

    1. Скопируйте лечебный скрипт из пункта 3 в блокнот и сохраните как C:\script.txt
    Внимание: файл должен называться именно так и не как больше, и лежать он должен в корне диска C.
    2. Перенесите папку avz4 в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким: C:\avz4\avz.exe
    3. Скачайте файл RunAVZScript.vbs и поместите его в корне диска C:\, путь до него должен быть такой С:\RunAVZScript.vbs

    После чего запустите файл С:\RunAVZScript.vbs, рабочий стол пропадет и будет выполнен скрипт автоматически, после чего компьютер должен сам перезагрузиться.
    -------------------------------------------

    После , выполните пункты 4,5.
     
  10. merk

    merk Junior User

    все равно закрывается
     
  11. merk

    merk Junior User

    Все сделал, точно по инструкции...
    исчезает рабочий стол, запускается avz, начинает выполняться скрипт, выскакивает окно: прекращена работа программы avz
     
  12. oleg

    oleg Expert Вирусоборец

    Последнее редактирование: 27 окт 2011
  13. merk

    merk Junior User

    запускаю файл С:\RunAVZScript.vbs, рабочий стол пропадет и начинает выполняться скрипт, через несколько секунд выскакивает окно:завершена работа утилиты AVZ
     
  14. merk

    merk Junior User

    Полиморфный AVZ тоже закрывается
     
  15. oleg

    oleg Expert Вирусоборец

    Скачайте оба файла по ссылкам ниже и сохраните их в ПАПКУ avz4.
    После чего, зайдите в папку avz4 и запустите файл 1.bat

    По истечению времени, компьютер должен перезагрузиться.
    Далее, отпишите, перезагрузка была или нет?

    http://zalil.ru/31945629
    http://zalil.ru/31945627
     
    Последнее редактирование: 27 окт 2011
  16. merk

    merk Junior User

    не перезагружается, открывается черное окно, потом выскакивает окно:завершена работа утилиты AVZ
     
  17. Nod

    Nod Moderator

    Скачайте RKill by Grinler на рабочий стол по одной из этих ссылок

    Закройте все программы,отключите антивирус/фаервол и прочее защитное ПО и запустите программу.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

    Дождитесь окончания работы программы и формирования лога который будет находиться по адресу C:\rkill.log. Прикрепите его к своему сообщению.

    Не перезагружая компьютер, выполните скрипт в AVZ:

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearHostsFile;
     TerminateProcessByName('c:\users\лютый\appdata\local\google\chrome\application\14.0.835.202\0.8584682637739375.exe');
     DeleteFile('c:\users\лютый\appdata\local\google\chrome\application\14.0.835.202\0.8584682637739375.exe');
     DeleteFile('C:\PROGRA~3\VKSaver\vksaver3.dll');
     DeleteFile('C:\Users\AABC~1\AppData\Local\Google\Chrome\APPLIC~1\140835~1.202\085846~1.EXE');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('TSW',2,3,true);
    RebootWindows(true);
    end.
    
    сообщите результат.
     
  18. merk

    merk Junior User

    я не следовал последней инструкции, выключил его на ночь, утром включил все в порядке.. спасибо
     
Статус темы:
Закрыта.

Поделиться этой страницей