Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
скачайте C:\WINDOWS\system32\drivers\Winkp51.sys - force delete
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\Documents and Settings\I_AM\Local Settings\Temp\loader.exe','');
DeleteService('Winhm37');
DeleteService('Winrw73');
DeleteService('Winua73');
DeleteService('Winua85');
DeleteService('Winvb38');
DeleteService('Winwc51');
QuarantineFile('C:\WINDOWS\system32\drivers\mbam.sys','');
DeleteService('W32TimeNtLmSsp');
DeleteService('NetDDE LM Service');
DeleteService('lanmanworkstationTrkWks');
DeleteService('lanmanserverRemoteRegistry');
DeleteService('EventSystemEventlogSharedAccess');
DeleteService('EventlogSharedAccess');
DeleteService('Dnscachenhksrv');
DeleteService('CiSvcServiceLayer');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winkp51.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Winkp51.sys');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhm37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winot16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winua85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwc51.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\Winkp51.sys');
DeleteFile('C:\Documents and Settings\I_AM\Local Settings\Temp\loader.exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
Вложения
пофиксите...
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winkp51');
DeleteService('ImapiServiceWmiApSrv');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkp51.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи начиная с пункта 10 правил ...
Вложения
выполните скрипт ...
Код:
begin
BC_DeleteSvc('ImapiServiceWmiApSrv');
DeleteFile('srv.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите virusinfo_syscheck.zip
Вложения
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 5 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\i_am\\local settings\\temp\\loader.exe - Trojan.Win32.Agent.ypm (DrWEB: Trojan.DownLoad.2077) c:\\windows\\services.exe - Backdoor.Win32.Joleee.e (DrWEB: Trojan.Packed.573) c:\\windows\\system32\\drivers\\winkp51.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10) c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.axh (DrWEB: Trojan.DownLoad.3503) c:\\windows\\system32\\winivstr.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120