немогу удалить его,ругается NOD что сидит в windows/temp/***.tmp и шлёт всякие запросы на разные адреса...
немогу удалить его,ругается NOD что сидит в windows/temp/***.tmp и шлёт всякие запросы на разные адреса...
На время выполнения скрипта, отключитесь от сети, отключите антивирусный монитор, и отключите автоматическое восстановление.
Пофиксите с помощью Hijackthis строку:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dllСистема будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24293 , как написано в прил.3 правил, и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwp47.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwh56.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvu81.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvs71.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrc16.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winqf50.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winoj74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winoc26.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winns81.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winni54.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnd18.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winmc47.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winac07.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Rha22.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Rff50.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Jme16.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\IsDrv122.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\program files\Погода в Москве\pogoda.msk.ru.exe',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Jme16.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Jme16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rff50.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Rff50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Rha22.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Rha22.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winac07.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winac07.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmc47.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winmc47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnd18.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winnd18.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winni54.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winns81.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winns81.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winoc26.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winoc26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winoj74.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winoj74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqf50.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winqf50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrc16.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winrc16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvs71.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winvs71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvu81.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winvu81.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwh56.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winwh56.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwp47.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winwp47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\IsDrv122.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\IsDrv122.sys'); BC_DeleteSVC('Jme16'); BC_DeleteSVC('Rff50'); BC_DeleteSVC('Rha22'); BC_DeleteSVC('Winac07'); BC_DeleteSVC('Winmc47'); BC_DeleteSVC('Winnd18'); BC_DeleteSVC('Winni54'); BC_DeleteSVC('Winns81'); BC_DeleteSVC('Winoc26'); BC_DeleteSVC('Winoj74'); BC_DeleteSVC('Winqf50'); BC_DeleteSVC('Winrc16'); BC_DeleteSVC('Winvs71'); BC_DeleteSVC('Winvu81'); BC_DeleteSVC('Winwh56'); BC_DeleteSVC('Winwp47'); BC_ImportquarantineList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
спасибо ,стало лучше, но подозрение что ещё что-то осталось
Осталось отключить восстановление системы и подчистить мусор
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Жалобы есть?Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Для статистики: C:\WINDOWS\system32\WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.ado (по классификации лаборатории Касперского) . Перед выполнением рекомендаций от Гриша, обязательно отключите восстановление системы - там, в точках восстановления, тоже наблюдается Trojan-Downloader.Win32.Mutant.acm.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 47
- В ходе лечения обнаружены вредоносные программы:
- c:\\system volume information\\_restore{0719cd1d-1f56-4ceb-b5d5-3690de99b674}\\rp146\\a0038171.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\system volume information\\_restore{0719cd1d-1f56-4ceb-b5d5-3690de99b674}\\rp146\\a0038241.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ado (DrWEB: Trojan.MulDrop.16399)
Уважаемый(ая) bob666, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.