Junior Member
Вес репутации
58
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачать IceSword. В нем удалить:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Hoq58.sys
C:\WINDOWS\System32\drivers\tcpsr.sys
C:\WINDOWS\System32\Drivers\Winwe14.sys
Затем профиксить в hijackthis
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
После этого выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\BN2.tmp','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
DeleteService('tcpsr');
DeleteService('TosIde');
DeleteService('ooQ14');
DeleteService('hoY57');
DeleteService('cjL15');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe14.sys','');
SetServiceStart('Winwe14', 4);
QuarantineFile('C:\WINDOWS\System32\Drivers\Hoq58.sys','');
DeleteService('Hoq58');
SetServiceStart('Hoq58', 4);
DeleteService('xmlprovAppMgmtMSIServer');
DeleteService('WZCSVCoseHidServNetmanWmi');
DeleteService('wscsvcEventSystem');
DeleteService('WmiERSvcProtectedStorage');
DeleteService('WmiERSvcHidServ');
DeleteService('WmiERSvc');
DeleteService('UPSTermService');
DeleteService('TrkWksWmiERSvcHidServ');
DeleteService('TlntSvrPlugPlay');
DeleteService('TapiSrvSpoolerFastUserSwitchingCompatibilityNetmanWmiERSvc');
DeleteService('TapiSrvSpooler');
DeleteService('SSDPSRVwinmgmt');
DeleteService('srserviceAppMgmtMessenger');
DeleteService('ShellHWDetectionNetman');
DeleteService('ScheduleRasAuto');
DeleteService('ScheduleERSvc');
DeleteService('SamSsRasAutoTlntSvr');
DeleteService('RSVPProtectedStorage');
DeleteService('RpcSsThemesEhttpSrv');
DeleteService('RpcSsThemes');
DeleteService('RpcLocatorRpcSs');
DeleteService('RasAutoTlntSvr');
DeleteService('ProtectedStorageSysmonLog');
DeleteService('oseHidServNetmanWmi');
DeleteService('oseEventlog');
DeleteService('NetmanWmiApSrvMessenger');
DeleteService('NetmanWmiApSrv');
DeleteService('MSIServerEventSystem');
DeleteService('MDMxmlprov');
DeleteService('HidServNetmanWmi');
DeleteService('HidServNetman');
DeleteService('FastUserSwitchingCompatibilityNetmanWmiERSvc');
DeleteService('FastUserSwitchingCompatibilityNetman');
DeleteService('EhttpSrvWZCSVCdmserver');
DeleteService('EhttpSrvWZCSVC');
DeleteService('DnscacheScheduleERSvc');
DeleteService('DcomLaunchAudioSrv');
DeleteService('AppMgmtMSIServer');
DeleteService('AppMgmtMessenger');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winwe14.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Hoq58.sys','');
QuarantineFile('c:\windows\temp\bn11.tmp','');
TerminateProcessByName('c:\windows\temp\bn11.tmp');
DeleteFile('c:\windows\temp\bn11.tmp');
DeleteFile('C:\WINDOWS\system32\Drivers\Hoq58.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winwe14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hoq58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\cjL15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\hoY57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ooQ14.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\Temp\BN2.tmp');
DeleteFile('C:\WINDOWS\Temp\BN36.tmp');
DeleteFile('C:\WINDOWS\Temp\BN4.tmp');
DeleteFile('C:\WINDOWS\Temp\BN8.tmp');
DeleteFile('C:\WINDOWS\Temp\BNB.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузить по Правилам карантин. Почистить папку C:\WINDOWS\Temp\
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
58
карантин прислал вот логи,посомтрите пожалуйста
Вложения
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('cjL15');
BC_DeleteSvc('Hoq58');
BC_DeleteSvc('xmlprovAppMgmtMSIServer');
BC_DeleteSvc('WZCSVCoseHidServNetmanWmi');
BC_DeleteSvc('wscsvcEventSystem');
BC_DeleteSvc('WmiERSvcProtectedStorage');
BC_DeleteSvc('WmiERSvcHidServ');
BC_DeleteSvc('WmiERSvc');
BC_DeleteSvc('UPSTermService');
BC_DeleteSvc('TrkWksWmiERSvcHidServ');
BC_DeleteSvc('TlntSvrPlugPlay');
BC_DeleteSvc('TapiSrvSpoolerFastUserSwitchingCompatibilityNetmanWmiERSvc');
BC_DeleteSvc('TapiSrvSpooler');
BC_DeleteSvc('SSDPSRVwinmgmt');
BC_DeleteSvc('srserviceAppMgmtMessenger');
BC_DeleteSvc('ShellHWDetectionNetman');
BC_DeleteSvc('ScheduleRasAuto');
BC_DeleteSvc('ScheduleERSvc');
BC_DeleteSvc('SamSsRasAutoTlntSvr');
BC_DeleteSvc('RSVPProtectedStorage');
BC_DeleteSvc('RpcSsThemesEhttpSrv');
BC_DeleteSvc('RpcSsThemes');
BC_DeleteSvc('RpcLocatorRpcSs');
BC_DeleteSvc('RasAutoTlntSvr');
BC_DeleteSvc('ProtectedStorageSysmonLog');
BC_DeleteSvc('oseHidServNetmanWmi');
BC_DeleteSvc('oseEventlog');
BC_DeleteSvc('NetmanWmiApSrvMessenger');
BC_DeleteSvc('NetmanWmiApSrv');
BC_DeleteSvc('MSIServerEventSystem');
BC_DeleteSvc('MDMxmlprov');
BC_DeleteSvc('HidServNetmanWmi');
BC_DeleteSvc('HidServNetman');
BC_DeleteSvc('FastUserSwitchingCompatibilityNetmanWmiERSvc');
BC_DeleteSvc('FastUserSwitchingCompatibilityNetman');
BC_DeleteSvc('EhttpSrvWZCSVCdmserver');
BC_DeleteSvc('EhttpSrvWZCSVC');
BC_DeleteSvc('DnscacheScheduleERSvc');
BC_DeleteSvc('DcomLaunchAudioSrv');
BC_DeleteSvc('AppMgmtMSIServer');
BC_DeleteSvc('AppMgmtMessenger');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
58
Вложения
Еще чуть-чуть почистим:
Код:
begin
BC_DeleteSvc('HidServwuauserv');
BC_DeleteSvc('RpcLocatorPolicyAgent');
BC_DeleteSvc('srserviceAppMgmtMessengerMSIServer');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Профиксить:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Если в покер не играете, то еще и вот эти строчки:
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
И снова сделать логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
58
Сделал
Вложения
Надеюсь последний скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Winwe14.sys');
BC_DeleteSvc('Winwe14');
BC_DeleteSvc('ooQ14');
BC_DeleteSvc('hoY57');
BC_DeleteSvc('NetDDEdsdmThemes')
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
58
Спс за помошь
Вложения
Проблемы какие-то наблюдается? Врагов в логах не видать.
Junior Member
Вес репутации
58
ВРоде всё отлично)Спс огромное вам)
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 20 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\user\\рабочий стол\\world of warcraft\\lacd_client.exe.bak - Trojan.Win32.Pakes.jlw c:\\windows\\system32\\drivers\\cjl15.sys - Trojan-Dropper.Win32.Agent.stj c:\\windows\\system32\\drivers\\hoy57.sys - Trojan-Dropper.Win32.Agent.stj c:\\windows\\system32\\drivers\\ooq14.sys - Trojan-Dropper.Win32.Agent.stj c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ait (DrWEB: Trojan.DownLoader.63553) c:\\windows\\temp\\bnb.tmp - Trojan.Win32.Pakes.cyu (DrWEB: BackDoor.Bulknet.204) c:\\windows\\temp\\bn11.tmp - Trojan-Dropper.Win32.Mutant.a (DrWEB: Trojan.Rntm.6) c:\\windows\\temp\\bn2.tmp - Trojan.Win32.Pakes.cyu (DrWEB: BackDoor.Bulknet.204) c:\\windows\\temp\\bn3.tmp - Trojan.Win32.Pakes.cyu (DrWEB: BackDoor.Bulknet.204) c:\\windows\\temp\\bn36.tmp - Trojan.Win32.Pakes.cyu (DrWEB: BackDoor.Bulknet.204) c:\\windows\\temp\\bn4.tmp - Trojan.Win32.Pakes.cyu (DrWEB: BackDoor.Bulknet.204) c:\\windows\\temp\\bn8.tmp - Trojan-Dropper.Win32.Agent.smb (DrWEB: BackDoor.Bulknet.206) \\2008-07-01\\bcqr00019.dta - Trojan-Downloader.Win32.Mutant.adh (DrWEB: BackDoor.Bulknet.206) \\2008-07-01\\bcqr00020.dta - Trojan-Downloader.Win32.Mutant.adh (DrWEB: BackDoor.Bulknet.206)