Avast переодически предупреждает о рутките-предлагает удалить и перегрузиться-всё выполняешь и снова появляется окошко с предупреждением!
Avast переодически предупреждает о рутките-предлагает удалить и перегрузиться-всё выполняешь и снова появляется окошко с предупреждением!
Скачайте IceSword , поищите и удалите через опцию force delete файлы:
Если какие-то файлы не удастся найти и/или удалить - не печальтесь, переходите к следующему пункту.Код:C:\WINDOWS\System32\Drivers\Wintx36.sys C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\System32\Drivers\Winko60.sys C:\WINDOWS\System32\Drivers\Winlp03.sys C:\WINDOWS\System32\Drivers\Dil50.sys C:\WINDOWS\System32\Drivers\Kor47.sys C:\WINDOWS\System32\Drivers\Nru82.sys C:\WINDOWS\System32\Drivers\Winyd47.sys C:\WINDOWS\System32\drivers\Winxc03.sys C:\WINDOWS\System32\Drivers\Wintx82.sys C:\WINDOWS\System32\Drivers\Wintx36.sys
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Если эти данные Вам ничего не говорят:Код:R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file) O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKLM\..\Run: [advap32] "c:\ttmxls.exe" /r O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
пофиксите и эти записи:netname: INFRA-PFS
descr: Plateforme De Service
country: FR
- Выполните скриптКод:O17 - HKLM\System\CCS\Services\Tcpip\..\{2CD9C5AB-5DC6-4342-9E41-F4F28754F9AB}: NameServer = 86.64.145.145 O17 - HKLM\System\CCS\Services\Tcpip\..\{49244CFC-642A-467D-BFB4-73F6CEEA4A68}: NameServer = 86.64.145.145 O17 - HKLM\System\CCS\Services\Tcpip\..\{94B46A46-ABFB-4041-87CC-796AABFDA7F8}: NameServer = 86.64.145.145 O17 - HKLM\System\CCS\Services\Tcpip\..\{A129DB87-9C05-4450-BEA8-50F5BC172CAA}: NameServer = 86.64.145.145 O17 - HKLM\System\CCS\Services\Tcpip\..\{C477AC86-2160-49DC-8C95-9D4BE316A256}: NameServer = 86.64.145.145 O17 - HKLM\System\CCS\Services\Tcpip\..\{C88A8F28-DD5F-40EA-A9A5-1EEDA1F7EC14}: NameServer = 86.64.145.145 O17 - HKLM\System\CS1\Services\Tcpip\..\{2CD9C5AB-5DC6-4342-9E41-F4F28754F9AB}: NameServer = 86.64.145.145 O17 - HKLM\System\CS2\Services\Tcpip\..\{2CD9C5AB-5DC6-4342-9E41-F4F28754F9AB}: NameServer = 86.64.145.145
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\georgina\ie_updates3r.exe'); QuarantineFile('c:\ttmxls.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wintx36.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wintx82.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winxc03.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyd47.sys',''); DeleteService('Winyd47'); DeleteService('Winxc03'); DeleteService('Wintx82'); DeleteService('Wintx36'); DeleteService('Winps03'); DeleteService('Winim58'); DeleteService('Wingj58'); DeleteService('Windh25'); DeleteService('Winae71'); DeleteService('Nru82'); DeleteService('Kor47'); DeleteService('Dil50'); DeleteService('Winlp03'); DeleteService('Winko60'); DeleteService('glok+7f6e-1eb'); DeleteService('Google Online Services'); QuarantineFile('C:\WINDOWS\System32\Drivers\Nru82.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Kor47.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Dil50.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlp03.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winko60.sys',''); QuarantineFile('C:\Documents and Settings\georgina\ie_updates3r.exe',''); QuarantineFile('C:\WINDOWS\glok+7f6e-1eb.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\documents and settings\georgina\ie_updates3r.exe',''); DeleteFile('c:\documents and settings\georgina\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\glok+7f6e-1eb.sys'); DeleteFile('C:\Documents and Settings\georgina\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winko60.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlp03.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Kor47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Nru82.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyd47.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winxc03.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintx82.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintx36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winps03.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winim58.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingj58.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windh25.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winae71.sys'); DeleteFile('c:\ttmxls.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Предупреждение о "руткит" выскакивает!
Это хорошо
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:O4 - HKLM\..\Run: [jkfdjg9e4rgfgfdgftdf] C:\WINDOWS\TEMP\winlogan.exe O4 - HKCU\..\Run: [jkfdjg9e4rgfgfdgftdf] C:\WINDOWS\TEMP\winlogan.exe O4 - HKUS\.DEFAULT\..\Run: [HJdfke9kfdf] C:\WINDOWS\TEMP\csrssc.exe (User 'Default user') O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O20 - Winlogon Notify: winctrl32 - WinCtrl32.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('winxc47'); DeleteService('winnr58'); DeleteService('Dil50'); QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe',''); QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxc47.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnr58.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Dil50.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\dc0f5f56.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\dc0f5f56.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Dil50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnr58.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxc47.sys'); DeleteFile('C:\WINDOWS\TEMP\csrssc.exe'); DeleteFile('C:\WINDOWS\TEMP\winlogan.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; BC_DeleteSvc('winxc47'); BC_DeleteSvc('winnr58'); BC_DeleteSvc('Dil50'); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Странички открываются без картинок-как будто "голая"!!
выполните скрипт ....
картинки не показывает где? в ИЕ ?Код:begin ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
Всё в порядке(пока)-благодарю! Картинки не показывали в ИЕ-в сервисе-настройках обозревателя-не было "галочки"-показывать рисунки! Поставил!
Как работает ПК?
Сервис Пак 3 нужно поставить.
ПК работает нормально!!!После всех манипуляций, посоветованных вами-на диске С освободилось почти 2 ГБ(!!!)-странно-регулярно пользуюсь Ccleaner!! Насчёт Сервис Пак 3-БОЯЗНО-не очень хорошо разбираюсь в ПК-боюсь последствий!!!
лучше бойтесь последствий не установки обновлений ...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\georgina\\ie_updates3r.exe - Trojan-Downloader.Win32.Winlagons.aas (DrWEB: Trojan.DownLoader.based)
- c:\\ttmxls.exe - Trojan-Downloader.Win32.Mutant.aoz (DrWEB: Trojan.Rntm.6)
- c:\\windows\\glok+7f6e-1eb.sys - Email-Worm.Win32.Zhelatin.aec (DrWEB: Trojan.MulDrop.17826)
- c:\\windows\\system32\\drivers\\winxc03.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aph (DrWEB: Trojan.Rntm.16)
Уважаемый(ая) Георгина, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.