логи:
логи:
Скачайте IceSword , поищите и удалите через опцию force delete файл:
ОтключитеКод:C:\WINDOWS\System32\Drivers\Winci05.sys C:\WINDOWS\system32\WinCtrl32.dll
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe O4 - HKLM\..\Run: [advap32] "C:\DOCUME~1\4977~1\LOCALS~1\Temp\loader.exe" /r O20 - AppInit_DLLs: , O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('wscsvcThemes'); DeleteService('UPSUPS'); DeleteService('TlntSvrNtLmSsp'); DeleteService('SpoolerWmi'); DeleteService('RasManERSvc'); DeleteService('HidServWmiApSrv'); DeleteService('BITSUPS'); DeleteService('wscsvcSwPrv'); DeleteService('Winci05'); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('srv.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winci05.sys',''); QuarantineFile('C:\DOCUME~1\4977~1\LOCALS~1\Temp\loader.exe',''); DeleteFile('C:\DOCUME~1\4977~1\LOCALS~1\Temp\loader.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winci05.sys'); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteService('wscsvcThemes'); BC_DeleteService('UPSUPS'); BC_DeleteService('TlntSvrNtLmSsp'); BC_DeleteService('SpoolerWmi'); BC_DeleteService('RasManERSvc'); BC_DeleteService('HidServWmiApSrv'); BC_DeleteService('BITSUPS'); BC_DeleteService('wscsvcSwPrv'); BC_DeleteService('Winci05'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
все сделал кроме:
BC_DeleteService('wscsvcThemes');
BC_DeleteService('UPSUPS');
BC_DeleteService('TlntSvrNtLmSsp');
BC_DeleteService('SpoolerWmi');
BC_DeleteService('RasManERSvc');
BC_DeleteService('HidServWmiApSrv');
BC_DeleteService('BITSUPS');
BC_DeleteService('wscsvcSwPrv');
BC_DeleteService('Winci05');
говорит: процедура не определена BC_DeleteService
вот:
c:\avir\60.com - это что-то переименованное?
Почему базы АВЗ не обновили? Обновить, выполнить скрипт
повторить логиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('FastUserSwitchingCompatibilityNetDDE'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('FastUserSwitchingCompatibilityNetDDE'); RebootWindows(true); end.
обновил...
логи:
Извините... Молодой. Дурной. Исправился.
Логи:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи с п.10 правил...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('FastUserSwitchingCompatibilityNetDDE'); DeleteFile('srv.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('FastUserSwitchingCompatibilityNetDDE'); BC_Activate; RebootWindows(true); end.
логи:
В логах чисто,жалобы есть?
Есть чувство благодарности! Спасибо. Все работает!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\services.exe - Trojan-Proxy.Win32.Small.uh (DrWEB: Trojan.Packed.573)
Уважаемый(ая) Alloy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.