-
Junior Member
- Вес репутации
- 58
Не могу вычитить впрусы
Здравствуйте!
Проблема в том, что антивирусник переодически кричит о различных вирусах
(C:\WINDOWS\System32\drivers\Winsy63.sys Инфицирован Trojan.Rntm...
C:\WINDOWS\System32\drivers\Winyf06.sys Инфицирован Trojan.Rntm.10... )
Сканирование антивирусом выявляет зараженные файлы и они удаляются.
(svscchost.exe Trojan.Packed.573
braviax.exe Trojan.Packed.612
bn1.tmp c:=\windows\temp Trojan.Download.2077)
Повторное сканирование вирусов не выявляет.
После перерзагрузки все повторяется.
Спасибо
Валерий
Последний раз редактировалось ВалерийК; 03.02.2009 в 11:30.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Нарушения правил при сборе информации для раздела Помогите.
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winyf06');
DeleteService('Winvc52');
DeleteService('Winsy63');
DeleteService('Winou17');
DeleteService('WebClientBITS');
DeleteService('ThemesERSvc');
DeleteService('spiderntNetDDE');
DeleteService('RDSessMgrSamSs');
DeleteService('PolicyAgentMSDTC');
DeleteService('MSDTCwuauserv');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winou17.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winou17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsy63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyf06.sys');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winyf06');
BC_DeleteSvc('Winvc52');
BC_DeleteSvc('Winsy63');
BC_DeleteSvc('Winou17');
BC_DeleteSvc('WebClientBITS');
BC_DeleteSvc('ThemesERSvc');
BC_DeleteSvc('spiderntNetDDE');
BC_DeleteSvc('RDSessMgrSamSs');
BC_DeleteSvc('PolicyAgentMSDTC');
BC_DeleteSvc('MSDTCwuauserv');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Все выполнил.
Карантин выслал.
Прикрепляю логи.
Последний раз редактировалось ВалерийК; 03.02.2009 в 11:30.
-
Скачайте IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\system32\Drivers\Winwd52.sys
C:\WINDOWS\System32\Drivers\Winta06.sys
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winta06');
DeleteService('Winwd52');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winta06.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winwd52.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Winwd52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winta06.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winta06');
BC_DeleteSvc('Winwd52');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Был обнаружен только
C:\WINDOWS\system32\Drivers\Winwd52.sys
Теперь чисто?
Последний раз редактировалось ВалерийК; 03.02.2009 в 11:30.
-
Сообщение от
ВалерийК
Теперь чисто?
Пачти
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('DcomLaunchdmserver');
DeleteService('DhcpW32Time');
DeleteService('EventSystemTermService');
DeleteService('W32TimeWmdmPmSN');
DeleteService('upnphostALG');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('DcomLaunchdmserver');
BC_DeleteSvc('DhcpW32Time');
BC_DeleteSvc('EventSystemTermService');
BC_DeleteSvc('W32TimeWmdmPmSN');
BC_DeleteSvc('upnphostALG');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи начиная от п.10 правил.
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Затаил дыхание, жду ответа.)
Последний раз редактировалось ВалерийК; 03.02.2009 в 11:30.
-
Сообщение от
ВалерийК
Затаил дыхание, жду ответа.)
А зачем так таинственно? Откройте лог и посмотрите - ничего плохого.
Поставьте Сервис Пак 3, возможно потребуется активация системы.
-
-
Junior Member
- Вес репутации
- 58
Да, посмотрел лог. Действительно ничего страшного.)
Большое спасибо за помощь!
Подумалось, вот такие ресурсы как ваш, наверное, должны финансироваться государством!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\kib1\\мои документы\\мои рисунки\\infected.!!!\\files\\malware - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\~.exe - Trojan-Downloader.Win32.Agent.acmr (DrWEB: Trojan.MulDrop.1853
-