Помогите справится с заразой. В диспетчере задач появляется много процессов svchost.exe
Утилита CureIt не запускается даже в безопасном режиме.
PS. Система практически чистая (недавно установлена).
Помогите справится с заразой. В диспетчере задач появляется много процессов svchost.exe
Утилита CureIt не запускается даже в безопасном режиме.
PS. Система практически чистая (недавно установлена).
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('Rbo23', 4); StopService('Rbo23'); QuarantineFile('C:\WINDOWS\system32\syst28.dll',''); QuarantineFile('C:\WINDOWS\system32\win_7bd.dll',''); QuarantineFile('C:\WINDOWS\winlogon.exe',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Rbo23.sys',''); QuarantineFile('C:\WINDOWS\TEMP\1\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\imapi.exe',''); QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe',''); QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe',''); QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe'); DeleteFile('C:\WINDOWS\TEMP\1\svchost.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Rbo23.sys'); DeleteFile('WLCtrl32.dll'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('C:\WINDOWS\winlogon.exe'); BC_ImportAll; BC_DeleteSvc('Rbo23'); BC_DeleteSvc('RasMan'); BC_DeleteSvc('CcEvtSvc'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=21126
Повторите логи.
Повторные логи:
Для удаления C:\WINDOWS\system32\WLCtrl32.dll и C:\WINDOWS\System32\Drivers\Rbo23.sys
Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем указанные файлы.
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
Затем выполните в АВЗ.
Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\TEMP\\3\svchost.exe'); DeleteFile('C:\WINDOWS\system32\syst28.dll'); DeleteFile('WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\win_7bd.dll'); DeleteFile('C:\Documents and Settings\Алексей\Local Settings\Temporary Internet Files\Content.IE5\S3OPCZ8B\1[1].exe'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Rbo23.sys'); DeleteFile('C:\WINDOWS\system32\mnmsrvc.exe'); DeleteFile('c:\windows\system32\mssrv32.exe'); BC_ImportDeletedList; BC_DeleteSvc('msupdate'); BC_DeleteSvc('mnmsrvc'); BC_DeleteSvc('Rbo23'); BC_DeleteSvc('FCI'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Удалил с помощью IceSword файлы, перегрузил комп, выполнил скрипт в AVZ, перезагрузился.
Новые логи:
C:\WINDOWS\System32\Drivers\Blps75.sys удалите при момощи IceSword.
Пофиксите
Выполните в АВЗO20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\Drivers\Blps75.sys'); BC_ImportDeletedList; BC_DeleteSvc('Blps75'); BC_DeleteSvc('FCI'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
В Total Commander файл C:\WINDOWS\System32\Drivers\Blps75.sys не виден (rootkit?), но при момощи IceSword его удалил.
ПофиксилНеужели все почистили? Новые логи:Код:O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
Очистите папку C:\WINDOWS\TEMP\ .
Можно еще кое-что проверить на всякий случай, выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.sys',''); QuarantineFile('C:\Program Files\Total Commander\PLUGINS\WLX\SynPlus\SPlusEditStart.exe',''); QuarantineFile('Beep.sys',''); BC_ImportQuarantineList; BC_QrSvc('Beep'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=21126 ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Да, руткит. Неудивительно, что Тотал Коммандер его не видит. А IceSword неудивительно, что видит
Последний раз редактировалось kps; 07.04.2008 в 00:45.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Папка C:\WINDOWS\TEMP\ пустая, но в папке с кэшем интернет (C:\Documents and Settings\Алексей\Local Settings\Temporary Internet Files\Content.IE5\) нашел кучу вирусов.
Файла C:\WINDOWS\System32\Drivers\Beep.sys тоже нет, зато есть 'C:\WINDOWS\System32\Drivers\Beep.sys.bak
Свежая утилита CureIt говорит, что файл чистый. Наверное бэкап оригинального системного. Почему-то не удалось вручную его добавить в карантин.
Все проблемы пофиксил с помощью мастера поиска и устранения проблем AVZ.
Очистите все темп-папки http://virusinfo.info/showthread.php?t=10025
Все почистил.
Карантин можно удалять?
карантин удалить можно ...
сделайте логи начиная с пункта 10 правил ...
Повторные логи:
ничего зловредного не видно ...
какие-то проблемы остались ?
Пока проблем не замечаю.
Большое всем спасибо за помощь!
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\win_7bd.dll - Trojan-Downloader.Win32.Small.vwd (DrWEB: Trojan.DownLoader.14310)
- c:\\windows\\system32\\wlctrl32.dll - Trojan-Downloader.Win32.Mutant.ci (DrWEB: Trojan.DownLoader.54123)
Уважаемый(ая) Laur, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.