Помогите избавиться от этого вируса, который каждый раз после перезагрузки появляется в папке drivers под разными именами - в частности - winao55.sys
Помогите избавиться от этого вируса, который каждый раз после перезагрузки появляется в папке drivers под разными именами - в частности - winao55.sys
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строки:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:O4 - HKLM\..\Run: [BMonq] C:\WINDOWS\system32\bmonq.exe O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dllСистема будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=25342 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\services.exe'); QuarantineFile('C:\WINDOWS\system32\bmonq.exe',''); QuarantineFile('C:\WINDOWS\system32\blphcvmaj0ea5l.scr',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Xnq55.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winmm55.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\windows\services.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winao55.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Winao55.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winao55.sys'); DeleteFile('C:\WINDOWS\system32\bmonq.exe'); BC_DeleteFile('C:\WINDOWS\system32\bmonq.exe'); DeleteFile('c:\windows\services.exe'); BC_DeleteFile('c:\windows\services.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmm55.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winmm55.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Xnq55.sys'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\Xnq55.sys'); DeleteFile('C:\WINDOWS\system32\blphcvmaj0ea5l.scr'); BC_DeleteFile('C:\WINDOWS\system32\blphcvmaj0ea5l.scr'); BC_DeleteSvc('Xnq55'); BC_DeleteSvc('Winmm55'); BC_DeleteSvc('Winao55'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Выполнил скрипты, перегрузился и все по новому - опять в папке с дровами Доктор Веб нашел файл Winhf11.sys зараженный Trojan.RNTM.10
Отключите восстановление системы, как написано в правилах.
Отключите антивирус.
Потом скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winhf11.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ncfpsys.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winhf11.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\windows\temp\bn1.tmp',''); DeleteFile('c:\windows\temp\bn1.tmp'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winhf11.sys'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Winhf11'); BC_Activate; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(5); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25342 ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
как мне прислать зараженный файл?
Отключите восстановление системы, как написано в правилах! Там могут быть копии зловредов.
Потом выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\Drivers\Winvd44.sys'); BC_ImportDeletedList; DelWinlogonNotifyByKeyName('WinCtrl32'); ExecuteSysClean; BC_DeleteSvc('Winvd44'); BC_Activate; RebootWindows(true); end.
Это Вам знакомо?
Если незнакомо, то пофиксите в HijackThis эту строчку.Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{570319CB-8E79-465A-939A-1F3FBE52660A}: NameServer = 10.0.0.1,195.222.70.10
Карантин и зараженный файл в архиве с паролем virus загрузите сюда http://virusinfo.info/upload_virus.php?tid=25342
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Уважаемый(ая) Zillli, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.