Урезаны права на реестр, не могу поставить НОД,
Не могу войти как администратор
Урезаны права на реестр, не могу поставить НОД,
Не могу войти как администратор
Не подскажите что это за фаил WinCtrl32.dll
1) Отключите восстановление системы, как написано в правилах.
2) Скачайте IceSword.
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы
C:\WINDOWS\System32\drivers\Winti74.sys
C:\WINDOWS\SYSTEM32\VIDEO.sys
и если есть - сначала скопируйте их куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по каждому из них правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
3) Потом выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Владелец\Local Settings\Temp\loader.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp',''); QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winwn24.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlj73.sys',''); QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winti74.sys',''); QuarantineFile('C:\WINDOWS\system32\winhelp32.exe',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll',''); QuarantineFile('c:\windows\system32\winhelp32.exe',''); DeleteFile('c:\windows\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\system32\vmmreg32.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_'); DeleteFile('C:\WINDOWS\system32\winhelp32.exe'); DeleteFile('C:\WINDOWS\System32\drivers\Winti74.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlj73.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Winwn24.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp'); DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe'); DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe'); DeleteFile('C:\Documents and Settings\Владелец\Local Settings\Temp\loader.exe'); DelBHO('7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('NtLmSspCiSvc'); BC_DeleteSvc('LmHostsALG'); BC_DeleteSvc('lanmanserverRpcSs'); BC_DeleteSvc('HidServRpcLocator'); BC_DeleteSvc('DnscacheNetlogon'); BC_DeleteSvc('Winti74'); BC_DeleteSvc('VIDEO'); BC_DeleteSvc('Winwn24'); BC_DeleteSvc('Winlj73'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению №3 правил и скопированные Вами файлы в архиве с паролем virus (загружать здесь: http://virusinfo.info/upload_virus.php?tid=28235 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Проблемы остались.
Вот логи.
Отключите восстановление системы, как написано в правилах!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O24 - Desktop Component AutorunsDisabled: (no name) - (no file) O20 - AppInit_DLLs: vmmreg32.dll O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('TapiSrvLmHosts'); BC_DeleteSvc('RasAutoSamSs'); BC_Activate; ExecuteRepair(6); ExecuteRepair(8); RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка'); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Сделайте новые логи.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\владелец\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Agent.aayp (DrWEB: Trojan.DownLoad.2077)
- c:\\windows\\system32\\vmmreg32.dll - Trojan-PSW.Win32.Agent.kne (DrWEB: Trojan.Siggen.172)
Уважаемый(ая) MoPDBuH, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.