Симптомы как и у всех. Помогите плз. Логи:
Симптомы как и у всех. Помогите плз. Логи:
Отключите восстановление системы!
Отключив интернет и антивирус, выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winim14.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winim14.sys'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\system32\blphc5fdj0eece.scr'); BC_ImportALL; BC_DeleteSvc('Winim14'); ExecuteSysClean; BC_Activate; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=29142).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Скрипт выполнил. Карантин выслан. Логи:
Что дальше?
1. Повторяю:
Отключите восстановление системы!
2. С помощью Ice Sword, как написано здесь:
http://virusinfo.info/showthread.php?t=17228
удалите файлы:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winim14.sys
3. Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\blphc5fdj0eece.scr'); DeleteFile('C:\WINDOWS\system32\lphc5fdj0eece.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winim14.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
4. Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Всё выполнил, заметил, что восстановление системы само вроде периодически включается, хотя я его выключал и в первый раз.
Логи:
Выполните такой скрипт в AVZ:
После перезагрузки пришлите новый карантин по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('dwshd.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\dwshd.sys',''); DeleteFile('C:\WINDOWS\system32\blphc5fdj0eece.scr'); DeleteFile('C:\WINDOWS\system32\lphc5fdj0eece.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Winlw58'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Карантин выслал. Что дальше?
На рабочем столе сейчас "Виндовс варнинг месседж" не появляется, только при загруке и выходе из системы. Восстановление системы тоже вроде не включается само.
Скачайте Malwarebytes Antimalware, скан, ничего не удалять, лог - в студию.
Вот лог:
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\wpx2.cpx',''); QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll',''); QuarantineFile('C:\WINDOWS\msauc.exe',''); QuarantineFile('C:\WINDOWS\iexplorer.exe',''); QuarantineFile('C:\WINDOWS\system32\shell31.dll',''); QuarantineFile('C:\WINDOWS\system32\wpx1.cpx',''); QuarantineFile('C:\WINDOWS\system32\wpx2.cpx',''); QuarantineFile('C:\WINDOWS\system32\wpx37.cpx',''); QuarantineFile('C:\WINDOWS\system32\lich.dat',''); QuarantineFile('C:\WINDOWS\system32\phc5fdj0eece.bmp',''); QuarantineFile('C:\WINDOWS\Temp\BN1.tmp',''); QuarantineFile('C:\WINDOWS\Temp\.tt2.tmp',''); QuarantineFile('C:\WINDOWS\Temp\.tt3.tmp',''); QuarantineFile('C:\WINDOWS\Temp\.tt4.tmp',''); QuarantineFile('C:\WINDOWS\Temp\.tt5.tmp',''); QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt1.tmp',''); QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt2.tmp',''); QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt3.tmp',''); QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt4.tmp',''); QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt5.tmp',''); QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt6.tmp',''); QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt7.tmp',''); QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt8.tmp',''); QuarantineFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt9.tmp',''); DeleteFile('C:\WINDOWS\system32\wpx2.cpx'); DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll'); DeleteFile('C:\WINDOWS\msauc.exe'); DeleteFile('C:\WINDOWS\iexplorer.exe'); DeleteFile('C:\WINDOWS\system32\shell31.dll'); DeleteFile('C:\WINDOWS\system32\wpx1.cpx'); DeleteFile('C:\WINDOWS\system32\wpx2.cpx'); DeleteFile('C:\WINDOWS\system32\wpx37.cpx'); DeleteFile('C:\WINDOWS\system32\lich.dat'); DeleteFile('C:\WINDOWS\system32\phc5fdj0eece.bmp'); DeleteFile('C:\WINDOWS\Temp\BN1.tmp'); DeleteFile('C:\WINDOWS\Temp\.tt2.tmp'); DeleteFile('C:\WINDOWS\Temp\.tt3.tmp'); DeleteFile('C:\WINDOWS\Temp\.tt4.tmp'); DeleteFile('C:\WINDOWS\Temp\.tt5.tmp'); DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt1.tmp'); DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt2.tmp'); DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt3.tmp'); DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt4.tmp'); DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt5.tmp'); DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt6.tmp'); DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt7.tmp'); DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt8.tmp'); DeleteFile('C:\Documents and Settings\Надя.NADYA\Local Settings\Temp\.tt9.tmp'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\services.exe - Trojan.Win32.Agent.xna (DrWEB: Trojan.Packed.573)
- c:\\windows\\system32\\lphc5fdj0eece.exe - Backdoor.Win32.Frauder.bu (DrWEB: Trojan.Packed.619)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aza (DrWEB: Trojan.Packed.573)
Уважаемый(ая) Васильев Макс, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.