Перед выполнением удаления с помощью IceSword и последующих скриптов, отключитесь от сети и отключите антивирусный монитор.
Скачайте IceSword, найдите с его помощью и удалите файлы:
Код:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winio27.sys
Обязательно перезагрузите машину после удаления.
После перезагрузки, пофиксите с помощью Hijackthis строки:
Код:
O2 - BHO: (no name) - {2FAC2892-B368-4132-AA38-805EDEF1C4E1} - C:\WINDOWS\system32\pmnkIyAQ.dll (file missing)
O2 - BHO: (no name) - {44D80BC5-A626-4E00-A307-655DF3C5DC8E} - C:\Documents and Settings\Olga\Local Settings\Temporary Internet Files\Content.IE5\7BPZNXCW\3077htsbdjyf[1].dll (file missing)
O2 - BHO: (no name) - {759E561A-2E57-4A68-9310-4180EA9A1429} - C:\WINDOWS\system32\dodedeva.dll (file missing)
O2 - BHO: (no name) - {850F33D0-A515-4232-963E-FF1D7E113AE6} - C:\WINDOWS\system32\hgGxXqoL.dll (file missing)
O2 - BHO: (no name) - {AEE65957-9C19-4EFF-83CD-033C6BCE5B76} - C:\WINDOWS\system32\tupladok.dll (file missing)
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [fumokanuju] Rundll32.exe "C:\WINDOWS\system32\fibufeti.dll",s
O4 - HKLM\..\Run: [382f6366] rundll32.exe "C:\WINDOWS\system32\ciwfsnqd.dll",b
O4 - HKLM\..\Run: [BM3b1c50fa] Rundll32.exe "C:\WINDOWS\system32\mxyltruq.dll",s
O4 - HKUS\S-1-5-19\..\Run: [fumokanuju] Rundll32.exe "C:\WINDOWS\system32\fibufeti.dll",s (User 'LOCAL SERVICE')
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Quarantinefile('C:\is161788.exe','');
Quarantinefile('C:\WINDOWS\system32\bfjuewdi.dll','');
Quarantinefile('C:\WINDOWS\system32\gfphytvc.dll','');
Quarantinefile('C:\WINDOWS\system32\kaywqrtl.dll','');
Quarantinefile('C:\WINDOWS\system32\mljkldhy.dll','');
Quarantinefile('C:\WINDOWS\system32\opNHbaWN.dll','');
Quarantinefile('C:\WINDOWS\system32\osauqyxj.dll','');
Quarantinefile('C:\WINDOWS\system32\rrnfjhri.dll','');
Quarantinefile('C:\WINDOWS\system32\ubgsjmkm.dll','');
Quarantinefile('C:\WINDOWS\system32\wjhnybua.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe','');
QuarantineFile('C:\WINDOWS\system32\tupladok.dll','');
QuarantineFile('C:\WINDOWS\system32\hgGxXqoL.dll','');
QuarantineFile('C:\WINDOWS\system32\dodedeva.dll','');
QuarantineFile('C:\Documents and Settings\Olga\Local Settings\Temporary Internet Files\Content.IE5\7BPZNXCW\3077htsbdjyf[1].dll','');
QuarantineFile('C:\WINDOWS\system32\pmnkIyAQ.dll','');
QuarantineFile('C:\WINDOWS\system32\mxyltruq.dll','');
QuarantineFile('C:\WINDOWS\system32\fibufeti.dll','');
QuarantineFile('C:\WINDOWS\system32\ciwfsnqd.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winta62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy40.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsa30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqw40.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winms51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfl84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winag85.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winio27.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Winio27.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Winio27.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag85.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winag85.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winfl84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfl84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winms51.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winms51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqw40.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winqw40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa30.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winsa30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsy40.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winsy40.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta62.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winta62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf06.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winyf06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf38.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winyf38.sys');
DeleteFile('C:\WINDOWS\system32\ciwfsnqd.dll');
BC_DeleteFile('C:\WINDOWS\system32\ciwfsnqd.dll');
DeleteFile('C:\WINDOWS\system32\fibufeti.dll');
BC_DeleteFile('C:\WINDOWS\system32\fibufeti.dll');
DeleteFile('C:\WINDOWS\system32\mxyltruq.dll');
BC_DeleteFile('C:\WINDOWS\system32\mxyltruq.dll');
DeleteFile('C:\WINDOWS\system32\pmnkIyAQ.dll');
BC_DeleteFile('C:\WINDOWS\system32\pmnkIyAQ.dll');
DeleteFile('C:\Documents and Settings\Olga\Local Settings\Temporary Internet Files\Content.IE5\7BPZNXCW\3077htsbdjyf[1].dll');
BC_DeleteFile('C:\Documents and Settings\Olga\Local Settings\Temporary Internet Files\Content.IE5\7BPZNXCW\3077htsbdjyf[1].dll');
DeleteFile('C:\WINDOWS\system32\dodedeva.dll');
BC_DeleteFile('C:\WINDOWS\system32\dodedeva.dll');
DeleteFile('C:\WINDOWS\system32\hgGxXqoL.dll');
BC_DeleteFile('C:\WINDOWS\system32\hgGxXqoL.dll');
DeleteFile('C:\WINDOWS\system32\tupladok.dll');
BC_DeleteFile('C:\WINDOWS\system32\tupladok.dll');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhi64.exe');
DeleteFile('C:\is161788.exe');
DeleteFile('C:\WINDOWS\system32\bfjuewdi.dll');
DeleteFile('C:\WINDOWS\system32\gfphytvc.dll');
DeleteFile('C:\WINDOWS\system32\kaywqrtl.dll');
DeleteFile('C:\WINDOWS\system32\mljkldhy.dll');
DeleteFile('C:\WINDOWS\system32\opNHbaWN.dll');
DeleteFile('C:\WINDOWS\system32\osauqyxj.dll');
DeleteFile('C:\WINDOWS\system32\rrnfjhri.dll');
DeleteFile('C:\WINDOWS\system32\ubgsjmkm.dll');
DeleteFile('C:\WINDOWS\system32\wjhnybua.dll');
BC_DeleteSvc('Winyf38');
BC_DeleteSvc('Winyf06');
BC_DeleteSvc('Winta62');
BC_DeleteSvc('Winsy40');
BC_DeleteSvc('Winsa30');
BC_DeleteSvc('Winqw40');
BC_DeleteSvc('Winms51');
BC_DeleteSvc('Winfl84');
BC_DeleteSvc('Winag85');
BC_DeleteSvc('Winio27');
DelBHO('{AEE65957-9C19-4EFF-83CD-033C6BCE5B76}');
DelBHO('{850F33D0-A515-4232-963E-FF1D7E113AE6}');
DelBHO('{759E561A-2E57-4A68-9310-4180EA9A1429}');
DelBHO('{44D80BC5-A626-4E00-A307-655DF3C5DC8E}');
DelBHO('{2FAC2892-B368-4132-AA38-805EDEF1C4E1}');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=28732 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.