Здравствуйте.Как и у всех при запуске появляются неубираемые обои.Прошу помочь,Nod 32 ничего не находит,также нельзя поменять заставку и обои в настройках экрана.
Здравствуйте.Как и у всех при запуске появляются неубираемые обои.Прошу помочь,Nod 32 ничего не находит,также нельзя поменять заставку и обои в настройках экрана.
Отключив интернет и антивирус, выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll',''); QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Winll58.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\Winll58.sys'); DeleteFile('C:\WINDOWS\system32\blphceg7j0eldj.scr'); DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll'); DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll'); BC_ImportDeletedList; BC_DeleteSvc('Winll58'); BC_DeleteSvc('WZCSVCxmlprov'); BC_DeleteSvc('WMPNetworkSvcRasMan'); BC_DeleteSvc('WmdmPmSNNetDDESCardSvr'); BC_DeleteSvc('winmgmtTapiSrv'); BC_DeleteSvc('W32Timemnmsrvc'); BC_DeleteSvc('VSSTabletService'); BC_DeleteSvc('TrkWks HotKey Poller'); BC_DeleteSvc('Themessrservice'); BC_DeleteSvc('ThemesNetman'); BC_DeleteSvc('TermServiceDhcpLightScribeService'); BC_DeleteSvc('TapiSrvAudioSrv'); BC_DeleteSvc('ShellHWDetectionsrservice'); BC_DeleteSvc('ShellHWDetectionALG'); BC_DeleteSvc('ServiceLayerwscsvc'); BC_DeleteSvc('Samsungstisvc'); BC_DeleteSvc('RDSessMgrTapiSrv'); BC_DeleteSvc('RasAutoTabletService'); BC_DeleteSvc('RasAutoRasAuto'); BC_DeleteSvc('oseHTTPFilter'); BC_DeleteSvc('NetlogonSENS'); BC_DeleteSvc('NetDDESCardSvr'); BC_DeleteSvc('LmHostsNOD32krn'); BC_DeleteSvc('lanmanserveroseHTTPFilter'); BC_DeleteSvc('ImapiServiceWudfSvc'); BC_DeleteSvc('helpsvchkmsvc'); BC_DeleteSvc('dmadminRasAuto'); BC_DeleteSvc('DhcpLightScribeService'); BC_DeleteSvc('ClipSrv LM Service'); BC_DeleteSvc('btwdinsRpcSs'); BC_DeleteSvc('BrowserProtexisLicensing'); BC_DeleteSvc('aspnet_stateWebClient'); BC_DeleteSvc('aspnet_stateW32Time'); BC_DeleteSvc('ALGFastUserSwitchingCompatibility'); ExecuteSysClean; BC_Activate; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=29180).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
обои с вирусом пропали,смена заставок и обоев разрешена,вот новые логи
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\SYSTEM32\WinCtrl32.dll C:\WINDOWS\SYSTEM32\WinCtrl32.bak C:\WINDOWS\SYSTEM32\WinCtrl32.dl_ C:\WINDOWS\System32\Drivers\Winll58.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winll58.sys',''); DeleteService('Winll58'); DeleteService('ImapiServiceLightScribeService'); DeleteService('W32TimemnmsrvcImapiService'); DeleteService('upnphostSCardSvr'); DeleteService('TermServiceDhcpLightScribeServiceALGFastUserSwitchingCompatibility'); DeleteFile('C:\WINDOWS\System32\Drivers\Winll58.sys'); DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL'); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winll58'); BC_DeleteSvc('ImapiServiceLightScribeService'); BC_DeleteSvc('W32TimemnmsrvcImapiService'); BC_DeleteSvc('upnphostSCardSvr'); BC_DeleteSvc('TermServiceDhcpLightScribeServiceALGFastUserSwitchingCompatibility'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
карантин отправил,новые логи.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('lanmanserver HotKey Poller'); ExecuteSysClean; BC_DeleteSvc('lanmanserver HotKey Poller'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.w (DrWEB: Trojan.BhoSpy.2)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.azr (DrWEB: Trojan.DownLoad.3503)
- \\winctrl32.dl_ - Trojan-Downloader.Win32.Mutant.bbr (DrWEB: Trojan.DownLoad.3503)
- \\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bbr (DrWEB: Trojan.DownLoad.3503)
- \\winll.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
Уважаемый(ая) колобок, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.