Можно попытаться "это" спасти?
Можно попытаться "это" спасти?
Поздно, Маня, пить боржом, когда почка отказала (с)
Система не патченная ни разу.
Внимание !!! База AVZ поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\SYSTEM32\WinCtrl32.dll C:\WINDOWS\SYSTEM32\WinCtrl32.bak C:\WINDOWS\SYSTEM32\WinCtrl32.dl_ C:\WINDOWS\System32\drivers\Winxi53.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winte06'); DeleteService('Winqb28'); DeleteService('Winoj53'); DeleteService('Winje85'); DeleteService('Winid31'); DeleteService('Winhc41'); DeleteService('Winet40'); DeleteService('WebClientWZCSVC'); DeleteService('W32TimeHidServNetDDEdsdm'); DeleteService('TrkWksRSVP'); DeleteService('seclogonWebClientWZCSVC'); DeleteService('ScheduleVSS'); DeleteService('RpcSsdmadmin'); DeleteService('ProtectedStoragePlugPlay'); DeleteService('HidServNetDDEdsdm'); DeleteService('BITSWmdmPmSp'); QuarantineFile('c:\windows\system32\winlogon.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winxi53.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winty31.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winte06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winqb28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winoj53.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winoe30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winje85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winid31.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winhc41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winet40.sys',''); DeleteFile('C:\WINDOWS\System32\Drivers\Winet40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhc41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winid31.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winje85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winoe30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winoj53.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqb28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winte06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winty31.sys'); DeleteFile('C:\WINDOWS\System32\drivers\Winxi53.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winte06'); BC_DeleteSvc('Winqb28'); BC_DeleteSvc('Winoj53'); BC_DeleteSvc('Winje85'); BC_DeleteSvc('Winid31'); BC_DeleteSvc('Winhc41'); BC_DeleteSvc('Winet40'); BC_DeleteSvc('WebClientWZCSVC'); BC_DeleteSvc('W32TimeHidServNetDDEdsdm'); BC_DeleteSvc('TrkWksRSVP'); BC_DeleteSvc('seclogonWebClientWZCSVC'); BC_DeleteSvc('ScheduleVSS'); BC_DeleteSvc('RpcSsdmadmin'); BC_DeleteSvc('ProtectedStoragePlugPlay'); BC_DeleteSvc('HidServNetDDEdsdm'); BC_DeleteSvc('BITSWmdmPmSp'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Сори... Обновил базы, зараза жива.
Нужно заменить системный файл
1. Запуститесь с дистрибутива.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. На приглашение введите строку:
Переписывание подтвердитеКод:copy C:\WINDOWS\ServicePackFiles\i386\winlogon.exe C:\WINDOWS\system32\winlogon.exe
4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
5. Загрузитесь нормально, далее по тексту.
Если нет дистрибутива - загрузитесь с любого LiveCD или перемонтируйте диск в другой здоровый комп.
IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\SYSTEM32\WinCtrl32.dll C:\WINDOWS\SYSTEM32\WinCtrl32.bak C:\WINDOWS\SYSTEM32\WinCtrl32.dl_ C:\WINDOWS\System32\drivers\Winxi53.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winxi53.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\Winxi53.sys'); DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Процедура не помогла... Поменял winlogon.exe, попросился на активацию и после перегруза - опять там же зараза.
Решил поудаляв все файлы из под LiveCD, докучи грохнул ещё один файл из папки system32/drivers, вернее скопировал в корень диска с:
На него Зайцев "ругается".
Вроде чисто, теперь...
Спасибо!
P.S. На рабочем столе скопированная Айсом зараза.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('W32Timemnmsrvc'); DeleteService('ProtectedStorageSwPrv'); DeleteService('NtmsSvcAVP'); ExecuteSysClean; BC_DeleteSvc('W32Timemnmsrvc'); BC_DeleteSvc('ProtectedStorageSwPrv'); BC_DeleteSvc('NtmsSvcAVP'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
Ее плиз, закачайте, по приложениям 2 и 3 правил .
Спасибо
Последний раз редактировалось Rene-gad; 20.08.2008 в 20:20. Причина: Добавлено
Тем временем поставился 3 пак... Надеюсь не введу никого в заблуждение.
Мы всякое видали ...
Вот эти 3 записи
удалите, как тут описано: http://virusinfo.info/showpost.php?p=80604&postcount=2Код:O23 - Service: Съемные ЗУ NtmsSvcAVP (NtmsSvcAVP) - Unknown owner - .exe (file missing) O23 - Service: Защищенное хранилище ProtectedStorageSwPrv (ProtectedStorageSwPrv) - Unknown owner - .exe (file missing) O23 - Service: Служба времени Windows W32Timemnmsrvc (W32Timemnmsrvc) - Unknown owner - .exe (file missing)
А потом - если они в логах больше не возникнут - можно и логи не прикреплять.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\user\\рабочий стол\\1\\winctrl32.dl_ - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)
- c:\\documents and settings\\user\\рабочий стол\\1\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)
- c:\\documents and settings\\user\\рабочий стол\\1\\winxi53.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
Уважаемый(ая) mike345, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.