Сообщение на рабочем столе и вирусы Троя, которые не лечаться
Сообщение на рабочем столе и вирусы Троя, которые не лечаться
Нарушения правил при сборе информации для раздела Помогите.
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не выключено системное восстановление.
- Не закрыты все программы
- Не запущен Интернет Эксплорер.
- Не выключен установленный антивирус.
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\windows\system32\WinCtrl32.dll C:\windows\system32\WinCtrl32.bak C:\windows\system32\WinCtrl32.dl_
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winlk85'); DeleteService('Winho80'); DeleteService('Wincm40'); DeleteService('wuauservNWCWorkstation'); DeleteService('winmgmtNtmsSvc'); DeleteService('upnphostALG'); DeleteService('TrkWkswuauservNWCWorkstation'); DeleteService('TapiSrvstisvc'); DeleteService('SysmonLogRDSessMgr'); DeleteService('SysmonLogAudioSrv'); DeleteService('SSDPSRVSchedule'); DeleteService('SpeedFastUserSwitchingCompatibilityTermService'); DeleteService('SpeedFastUserSwitchingCompatibility'); DeleteService('ShellHWDetectionNetman'); DeleteService('SENSSwPrv'); DeleteService('SENSSENSSwPrv'); DeleteService('SENSlanmanworkstation'); DeleteService('seclogonAlerter'); DeleteService('SCardSvrgusvc'); DeleteService('SamSs Smart'); DeleteService('RSVPNla'); DeleteService('RemoteAccessTermService'); DeleteService('RDSessMgrPlugPlayRemoteRegistry'); DeleteService('PlugPlayRemoteRegistry'); DeleteService('PlugPlayNwSapAgent'); DeleteService('PlugPlayCOMSysApp'); DeleteService('NtmsSvcALG'); DeleteService('NtLmSspCryptSvc'); DeleteService('NProtectServiceBITSCryptSvcDhcp'); DeleteService('NProtectServiceBITSaspnet_state'); DeleteService('NProtectServiceBITS'); DeleteService('NlaSchedule'); DeleteService('NetmanNWCWorkstation'); DeleteService('NetmanNetlogon'); DeleteService('NetDDERasMan'); DeleteService('MSDTCwinmgmt'); DeleteService('MSDTCALG'); DeleteService('mnmsrvcProtectedStorage'); DeleteService('lanmanworkstationHTTPFilter'); DeleteService('HTTPFiltermnmsrvc'); DeleteService('HTTPFilterBrowser'); DeleteService('dmserverSysmonLogAudioSrv'); DeleteService('CryptSvcDhcp'); DeleteService('COMSysAppHidServ'); DeleteService('ClipSrvWmi'); DeleteService('ClipSrvNlaScheduleMessenger'); DeleteService('ClipSrvNlaSchedule'); DeleteService('CiSvcWebClient'); DeleteService('AudioSrvupnphostALG'); DeleteService('aspnet_stateTapiSrv'); DeleteService('AppMgmtShellHWDetectionNetman'); DeleteService('AlerterDhcp'); QuarantineFile('E:\setup.exe',''); QuarantineFile('C:\windows\system32\WinCtrl32.dll',''); QuarantineFile('C:\windows\System32\Drivers\Wincm40.sys',''); QuarantineFile('C:\windows\System32\Drivers\Winho80.sys',''); QuarantineFile('C:\windows\System32\Drivers\Winlk85.sys',''); QuarantineFile('C:\windows\system32\lphc5bej0ej03.exe',''); QuarantineFile('c:\windows\system32\lphc5bej0ej03.exe',''); DeleteFile('c:\windows\system32\lphc5bej0ej03.exe'); DeleteFile('C:\windows\system32\lphc5bej0ej03.exe'); DeleteFile('C:\windows\System32\Drivers\Winlk85.sys'); DeleteFile('C:\windows\System32\Drivers\Winho80.sys'); DeleteFile('C:\windows\System32\Drivers\Wincm40.sys'); DeleteFile('C:\windows\system32\blphc5bej0ej03.scr'); DeleteFile('C:\windows\system32\WinCtrl32.dll'); BC_ImportAll; ExecuteSysClean; DeleteService('Winlk85'); BC_DeleteSvc('Winho80'); BC_DeleteSvc('Wincm40'); BC_DeleteSvc('wuauservNWCWorkstation'); BC_DeleteSvc('winmgmtNtmsSvc'); BC_DeleteSvc('upnphostALG'); BC_DeleteSvc('TrkWkswuauservNWCWorkstation'); BC_DeleteSvc('TapiSrvstisvc'); BC_DeleteSvc('SysmonLogRDSessMgr'); BC_DeleteSvc('SysmonLogAudioSrv'); BC_DeleteSvc('SSDPSRVSchedule'); BC_DeleteSvc('SpeedFastUserSwitchingCompatibilityTermService'); BC_DeleteSvc('SpeedFastUserSwitchingCompatibility'); BC_DeleteSvc('ShellHWDetectionNetman'); BC_DeleteSvc('SENSSwPrv'); BC_DeleteSvc('SENSSENSSwPrv'); BC_DeleteSvc('SENSlanmanworkstation'); BC_DeleteSvc('seclogonAlerter'); BC_DeleteSvc('SCardSvrgusvc'); BC_DeleteSvc('SamSs Smart'); BC_DeleteSvc('RSVPNla'); BC_DeleteSvc('RemoteAccessTermService'); BC_DeleteSvc('RDSessMgrPlugPlayRemoteRegistry'); BC_DeleteSvc('PlugPlayRemoteRegistry'); BC_DeleteSvc('PlugPlayNwSapAgent'); BC_DeleteSvc('PlugPlayCOMSysApp'); BC_DeleteSvc('NtmsSvcALG'); BC_DeleteSvc('NtLmSspCryptSvc'); BC_DeleteSvc('NProtectServiceBITSCryptSvcDhcp'); BC_DeleteSvc('NProtectServiceBITSaspnet_state'); BC_DeleteSvc('NProtectServiceBITS'); BC_DeleteSvc('NlaSchedule'); BC_DeleteSvc('NetmanNWCWorkstation'); BC_DeleteSvc('NetmanNetlogon'); BC_DeleteSvc('NetDDERasMan'); BC_DeleteSvc('MSDTCwinmgmt'); BC_DeleteSvc('MSDTCALG'); BC_DeleteSvc('mnmsrvcProtectedStorage'); BC_DeleteSvc('lanmanworkstationHTTPFilter'); BC_DeleteSvc('HTTPFiltermnmsrvc'); BC_DeleteSvc('HTTPFilterBrowser'); BC_DeleteSvc('dmserverSysmonLogAudioSrv'); BC_DeleteSvc('CryptSvcDhcp'); BC_DeleteSvc('COMSysAppHidServ'); BC_DeleteSvc('ClipSrvWmi'); BC_DeleteSvc('ClipSrvNlaScheduleMessenger'); BC_DeleteSvc('ClipSrvNlaSchedule'); BC_DeleteSvc('CiSvcWebClient'); BC_DeleteSvc('AudioSrvupnphostALG'); BC_DeleteSvc('aspnet_stateTapiSrv'); BC_DeleteSvc('AppMgmtShellHWDetectionNetman'); BC_DeleteSvc('AlerterDhcp'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо, все попробую, я делетант и прошу не обижаться на мои ошибки, буду учиться
Уважаемый(ая) Alla, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.