Опять вирус, помогите
Опять вирус, помогите
Последний раз редактировалось propp; 07.08.2008 в 17:02.
Отключите антивирус и интернет!
Скачать,меню,File,появится аналог проводника,найти:
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.Код:C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\Drivers\Winbg04.sys
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); QuarantineFile('C:\WINDOWS\iexplorer.exe',''); QuarantineFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\loader.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winej51.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbf61.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\docker19.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winbg04.sys',''); QuarantineFile('C:\WINDOWS\twain_1d.dll',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('c:\windows\services.exe',''); QuarantineFile('c:\windows\msauc.exe',''); TerminateProcessByName('c:\windows\msauc.exe'); TerminateProcessByName('c:\windows\services.exe'); DeleteService('Winej51'); DeleteService('Winbf61'); DeleteService('Winbg04'); DeleteService('WmiApSrvSpooler'); DeleteService('WmdmPmSNCryptSvc'); DeleteService('ThemesWebClient'); DeleteService('SENSRpcSs'); DeleteService('SCardSvrseclogon'); DeleteService('PolicyAgentmnmsrvc'); DeleteService('docker19'); DeleteService('gusvcWebClient'); DeleteFile('c:\windows\msauc.exe'); DeleteFile('c:\windows\services.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\twain_1d.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winbg04.sys'); DeleteFile('C:\WINDOWS\system32\drivers\docker19.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbf61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej51.sys'); DeleteFile('C:\DOCUME~1\05A2~1\LOCALS~1\Temp\loader.exe'); DeleteFile('C:\WINDOWS\iexplorer.exe'); DeleteFile('WinCtrl32.dll'); DelCLSID('{53B95212-7D77-11D2-9F80-00104B107C97}'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Winej51'); BC_DeleteSvc('Winbf61'); BC_DeleteSvc('Winbg04'); BC_DeleteSvc('WmiApSrvSpooler'); BC_DeleteSvc('WmdmPmSNCryptSvc'); BC_DeleteSvc('ThemesWebClient'); BC_DeleteSvc('SENSRpcSs'); BC_DeleteSvc('SCardSvrseclogon'); BC_DeleteSvc('PolicyAgentmnmsrvc'); BC_DeleteSvc('docker19'); BC_DeleteSvc('gusvcWebClient'); BC_Activate; RebootWindows(true); end.
Высылаю новые логи
Последний раз редактировалось propp; 07.08.2008 в 17:02.
C:\WINDOWS\system32\userinit.exe - нужно заменить на чистый с другой машины или дистрибутива ...
выполните скрипт ...
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Winvb61'); BC_DeleteSvc('Winuy37'); BC_DeleteSvc('Winej73'); BC_DeleteSvc('wscsvcVSS'); BC_DeleteSvc('ThemesWebClientW32Time'); BC_DeleteSvc('ServiceLayerBITS'); BC_DeleteSvc('LmHostsThemes'); BC_DeleteSvc('lanmanserverMSIServer'); BC_DeleteSvc('HidServSysmonLog'); BC_DeleteSvc('gusvcxmlprov'); BC_DeleteSvc('dmserverBITS'); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winuy37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvb61.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторил логи
Последний раз редактировалось propp; 07.08.2008 в 17:02.
пофиксите ...
больше ничего подозрительного ...Код:O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - (no file) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Спасибо
Уважаемый(ая) propp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.