Junior Member
Вес репутации
58
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите антивирус и интернет!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winxp86');
DeleteService('Winui48');
DeleteService('Winmu57');
DeleteService('Winjp63');
DeleteService('Winhi41');
DeleteService('Wingp07');
DeleteService('Wingk74');
DeleteService('Wineu01');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxp86.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winui48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmu57.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhi41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingp07.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingk74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wineu01.sys','');
DeleteService('Winmt24');
DeleteService('Winkh55');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmt24.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkh55.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkh55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmt24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wineu01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingk74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingp07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhi41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmu57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winui48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxp86.sys');
DeleteFile('WinCtrl32.dll');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
58
Надеюсь с каратнином ничего не напутала
Вложения
1. Скачайте IceSword.
2. Запустите, слева внизу нажмите File, затем найдите:
C:\WINDOWS\System32\Drivers\Winif01.sys
и сделайте им Force Delete.
3. Отключите восстановление системы и антивирус.
4. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winif01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winif01.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
5. Пофиксите в HijackThis:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
6. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
58
Сообщение от
Aleksandra
1. Скачайте
IceSword.
2. Запустите, слева внизу нажмите File, затем найдите:
C:\WINDOWS\System32\Drivers\Winif01.sys
и сделайте им
Force Delete.
Не нашла. Его там нет Этого Winif01.sys
Junior Member
Вес репутации
58
Вложения
Пофиксить
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winif01');
DeleteFile('C:\WINDOWS\System32\Drivers\Winif01.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winif01');
BC_Activate;
RebootWindows(true);
end.
Повторите логи с п.10 правил...
Junior Member
Вес репутации
58
Вложения
В логах чисто,жалобы есть?
Junior Member
Вес репутации
58
Почта не отправляется. Но это может не от того
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 25 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\drivers\\winmt24.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10) c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aur (DrWEB: BackDoor.Bulknet.225)