Нарушения правил при сборе информации для раздела Помогите.
- Не выключен установленный антивирус.
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.
Скачайте IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\SYSTEM32\WinCtrl32.bak
C:\WINDOWS\SYSTEM32\WinCtrl32.dl_
C:\WINDOWS\SYSTEM32\WinDat.cab
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WmiApSrvTapiSrv');
DeleteService('upnphostWebClient');
DeleteService('TermService Office Groove Audit Service');
DeleteService('SSDPSRVOracleOraHome92SNMPPeerMasterAgentOracleMTSRecoveryService');
DeleteService('SSDPSRVOracleOraHome92SNMPPeerMasterAgent');
DeleteService('SharedAccessHTTPFilter');
DeleteService('SENSRemoteAccess');
DeleteService('Schedule Mail Scanner');
DeleteService('RemoteAccessRemoteRegistry');
DeleteService('ProtectedStorageWZCSVC');
DeleteService('PolicyAgentDcomLaunch');
DeleteService('oseCiSvc');
DeleteService('odservBrowser');
DeleteService('NtmsSvcsrservice');
DeleteService('NetNla');
DeleteService('MSSQL$TEST_DBWmi');
DeleteService('MSSQL$TEST_DBOracleMTSRecoveryService');
DeleteService('HTTPFilterAlerter');
DeleteService('EventSystemose Driver HPZ12');
DeleteService('EventSystemose');
DeleteService('dmadminALGSpoolerWebClient');
DeleteService('dmadminALGSpooler');
DeleteService('dmadminALG');
DeleteService('COMSysAppstisvc');
DeleteService('COMSysAppRpcLocator');
DeleteService('CiSvcUPS');
DeleteService('Aticlr_optimization_v2.0.50727_32');
DeleteService('AtiClipSrv');
DeleteService('Wwm84');
DeleteService('Winyd78');
DeleteService('Winxx80');
DeleteService('Winxx48');
DeleteService('Winxi01');
DeleteService('Winxd12');
DeleteService('Winwh45');
DeleteService('Winvq78');
DeleteService('Winvb68');
DeleteService('Winsx80');
DeleteService('Winsi46');
DeleteService('Winrc67');
DeleteService('Winqq66');
DeleteService('Winqg67');
DeleteService('Winqb34');
DeleteService('Winot81');
DeleteService('Winoj78');
DeleteService('Winnn25');
DeleteService('Winnd45');
DeleteService('Winku46');
DeleteService('Winkf14');
DeleteService('Winin67');
DeleteService('Wingl01');
DeleteService('Winfp56');
DeleteService('Winff55');
DeleteService('Winfa80');
DeleteService('Winet67');
DeleteService('Winej70');
DeleteService('Winds34');
DeleteService('Windn24');
DeleteService('Wincc57');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wwm84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyd78.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxx80.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxx48.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxi01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxd12.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwh45.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvq78.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb68.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsx80.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsi46.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrc67.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqq66.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqg67.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winqb34.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winot81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winoj78.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnn25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winnd45.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winku46.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winin67.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingl01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfp56.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winff55.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfa80.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winet67.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winej70.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winds34.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windn24.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincc57.sys','');
QuarantineFile('C:\WINDOWS\system32\blphc7hfj0e5be.scr','');
QuarantineFile('C:\WINDOWS\system32\lphc7hfj0e5be.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe_','');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\ntos.exe_');
DeleteFile('C:\WINDOWS\system32\lphc7hfj0e5be.exe');
DeleteFile('C:\WINDOWS\system32\blphc7hfj0e5be.scr');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincc57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windn24.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winds34.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winet67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfa80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winff55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfp56.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingl01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winin67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkf14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winku46.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnd45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnn25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winoj78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winot81.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqb34.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqg67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqq66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrc67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsi46.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsx80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb68.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvq78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwh45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxd12.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxi01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxx48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxx80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyd78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wwm84.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('WmiApSrvTapiSrv');
BC_DeleteSvc('upnphostWebClient');
BC_DeleteSvc('TermService Office Groove Audit Service');
BC_DeleteSvc('SSDPSRVOracleOraHome92SNMPPeerMasterAgentOracleMTSRecoveryService');
BC_DeleteSvc('SSDPSRVOracleOraHome92SNMPPeerMasterAgent');
BC_DeleteSvc('SharedAccessHTTPFilter');
BC_DeleteSvc('SENSRemoteAccess');
BC_DeleteSvc('Schedule Mail Scanner');
BC_DeleteSvc('RemoteAccessRemoteRegistry');
BC_DeleteSvc('ProtectedStorageWZCSVC');
BC_DeleteSvc('PolicyAgentDcomLaunch');
BC_DeleteSvc('oseCiSvc');
BC_DeleteSvc('odservBrowser');
BC_DeleteSvc('NtmsSvcsrservice');
BC_DeleteSvc('NetNla');
BC_DeleteSvc('MSSQL$TEST_DBWmi');
BC_DeleteSvc('MSSQL$TEST_DBOracleMTSRecoveryService');
BC_DeleteSvc('HTTPFilterAlerter');
BC_DeleteSvc('EventSystemose Driver HPZ12');
BC_DeleteSvc('EventSystemose');
BC_DeleteSvc('dmadminALGSpoolerWebClient');
BC_DeleteSvc('dmadminALGSpooler');
BC_DeleteSvc('dmadminALG');
BC_DeleteSvc('COMSysAppstisvc');
BC_DeleteSvc('COMSysAppRpcLocator');
BC_DeleteSvc('CiSvcUPS');
BC_DeleteSvc('Aticlr_optimization_v2.0.50727_32');
BC_DeleteSvc('AtiClipSrv');
BC_DeleteSvc('Wwm84');
BC_DeleteSvc('Winyd78');
BC_DeleteSvc('Winxx80');
BC_DeleteSvc('Winxx48');
BC_DeleteSvc('Winxi01');
BC_DeleteSvc('Winxd12');
BC_DeleteSvc('Winwh45');
BC_DeleteSvc('Winvq78');
BC_DeleteSvc('Winvb68');
BC_DeleteSvc('Winsx80');
BC_DeleteSvc('Winsi46');
BC_DeleteSvc('Winrc67');
BC_DeleteSvc('Winqq66');
BC_DeleteSvc('Winqg67');
BC_DeleteSvc('Winqb34');
BC_DeleteSvc('Winot81');
BC_DeleteSvc('Winoj78');
BC_DeleteSvc('Winnn25');
BC_DeleteSvc('Winnd45');
BC_DeleteSvc('Winku46');
BC_DeleteSvc('Winkf14');
BC_DeleteSvc('Winin67');
BC_DeleteSvc('Wingl01');
BC_DeleteSvc('Winfp56');
BC_DeleteSvc('Winff55');
BC_DeleteSvc('Winfa80');
BC_DeleteSvc('Winet67');
BC_DeleteSvc('Winej70');
BC_DeleteSvc('Winds34');
BC_DeleteSvc('Windn24');
BC_DeleteSvc('Wincc57');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.