Система заражена как минимум 2 вирусами, а может и что еще.
Комп подключен в инет по выделенке, и лазят на нем несколько человек, поэтому все симптомы рассказать не могу.
Помогите избавиться от всей дряни!
Система заражена как минимум 2 вирусами, а может и что еще.
Комп подключен в инет по выделенке, и лазят на нем несколько человек, поэтому все симптомы рассказать не могу.
Помогите избавиться от всей дряни!
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\System32\WinCtrl32.dll C:\WINDOWS\System32\WinCtrl32.bak C:\WINDOWS\System32\WinCtrl32.dl_
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winwv85'); DeleteService('Winvq43'); DeleteService('Winul23'); DeleteService('Winsh65'); DeleteService('Winrp76'); DeleteService('Winrk82'); DeleteService('Winqr76'); DeleteService('Winos78'); DeleteService('Winol66'); DeleteService('Winoa88'); DeleteService('Winlu78'); DeleteService('Winkj22'); DeleteService('Winiq06'); DeleteService('Wingf71'); DeleteService('Winbt11'); DeleteService('Winas88'); DeleteService('xmlprovFastUserSwitchingCompatibility'); DeleteService('xmlprovdmserver'); DeleteService('WmiApSrvDcomLaunchxmlprov'); DeleteService('WmdmPmSNRDSessMgr'); DeleteService('WebClientThemesWmi'); DeleteService('WebClientThemes'); DeleteService('WebClientSSDPSRV'); DeleteService('TermServicePolicyAgent'); DeleteService('seclogonVSS'); DeleteService('RSVPEventlogRemoteAccess'); DeleteService('RasManERSvc'); DeleteService('NtmsSvcNetTcpPortSharing'); DeleteService('nSvcLoglanmanserver'); DeleteService('MDMMSIServer'); DeleteService('EventSystemBrowser'); DeleteService('EventlogRemoteAccess'); DeleteService('DnscacheRDSessMgr'); DeleteService('dmadminWmdmPmSN'); DeleteService('DcomLaunchxmlprov'); DeleteService('COMSysAppNetlogon'); QuarantineFile('C:\WINDOWS\System32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winwv85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvq43.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winul23.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsh65.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrp76.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrk82.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winqr76.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winoy87.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winos78.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winol66.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winoa88.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlu78.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkj22.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winiq06.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingf71.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winas88.sys',''); QuarantineFile('C:\WINDOWS\system32\lphcl74j0et8n.exe',''); QuarantineFile('c:\windows\system32\lphcl74j0et8n.exe',''); DeleteFile('c:\windows\system32\lphcl74j0et8n.exe'); DeleteFile('C:\WINDOWS\system32\lphcl74j0et8n.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winas88.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbt11.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingf71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winiq06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkj22.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlu78.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winoa88.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winol66.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winos78.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winoy87.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqr76.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrk82.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsh65.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winul23.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvq43.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwv85.sys'); DeleteFile('C:\WINDOWS\system32\blphcl74j0et8n.scr'); DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winwv85'); BC_DeleteSvc('Winvq43'); BC_DeleteSvc('Winul23'); BC_DeleteSvc('Winsh65'); BC_DeleteSvc('Winrp76'); BC_DeleteSvc('Winrk82'); BC_DeleteSvc('Winqr76'); BC_DeleteSvc('Winos78'); BC_DeleteSvc('Winol66'); BC_DeleteSvc('Winoa88'); BC_DeleteSvc('Winlu78'); BC_DeleteSvc('Winkj22'); BC_DeleteSvc('Winiq06'); BC_DeleteSvc('Wingf71'); BC_DeleteSvc('Winbt11'); BC_DeleteSvc('Winas88'); BC_DeleteSvc('xmlprovFastUserSwitchingCompatibility'); BC_DeleteSvc('xmlprovdmserver'); BC_DeleteSvc('WmiApSrvDcomLaunchxmlprov'); BC_DeleteSvc('WmdmPmSNRDSessMgr'); BC_DeleteSvc('WebClientThemesWmi'); BC_DeleteSvc('WebClientThemes'); BC_DeleteSvc('WebClientSSDPSRV'); BC_DeleteSvc('TermServicePolicyAgent'); BC_DeleteSvc('seclogonVSS'); BC_DeleteSvc('RSVPEventlogRemoteAccess'); BC_DeleteSvc('RasManERSvc'); BC_DeleteSvc('NtmsSvcNetTcpPortSharing'); BC_DeleteSvc('nSvcLoglanmanserver'); BC_DeleteSvc('MDMMSIServer'); BC_DeleteSvc('EventSystemBrowser'); BC_DeleteSvc('EventlogRemoteAccess'); BC_DeleteSvc('DnscacheRDSessMgr'); BC_DeleteSvc('dmadminWmdmPmSN'); BC_DeleteSvc('DcomLaunchxmlprov'); BC_DeleteSvc('COMSysAppNetlogon'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Все провел, как сказали, карантин прикрепил, новые логи вложил.
Но, в свойствах экрана нет закладок "Рабочий стол" и "Заставка". Как их вернуть?
Спасибо.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('VSSidsvc'); QuarantineFile('C:\WINDOWS\system32\winlogon.exe',''); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('VSSidsvc'); BC_Activate; RebootWindows(true); end.
1. Запуститесь с дистрибутива.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. На приглашение введите строку:
Переписывание подтвердитеКод:copy C:\WINDOWS\ServicePackFiles\winlogon.exe C:\WINDOWS\system32\winlogon.exe
Если такой папки на диске C нет введите строку:
Переписывание подтвердитеКод:copy C:\i386\winlogon.exe C:\WINDOWS\system32\winlogon.exe
Если такой папки на диске C нет введите строку:
где X - буква для CD-драйва.Код:expand X:\i386\winlogon.ex_ C:\WINDOWS\system32\winlogon.exe
Переписывание подтвердите
4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
5. Загрузитесь нормально.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Вернем, как только от зловредов избавимся.Но, в свойствах экрана нет закладок "Рабочий стол" и "Заставка". Как их вернуть?
Все проделал по Вашей инструкции.
Высылаю логи.
- Выполните скрипт
После перезагрузки проинформируйте о состоянии ПК.Код:begin executerepair(5); executerepair(6); executerepair(8); executerepair(9); executerepair(11); executerepair(16); executerepair(17); RebootWindows(true); end.
Все проделал, после перезагрузки пока полет нормальный, даже пропавшие закладки в свойствах экрана появились.
Спасибо Вам Оргомное!
Поставьте Сервис Пак 3, возможно потребуется активация системы.
Обновите Джаву - Вашей еще фараоны пользовались
:-)
ок, спасибо.
Похоже такой же вирус (winctrl32.dll) есть и на другом компе, можно ли воспользоваться этими инструкциями там?
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Sergeika, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.