Здравствуйте! Касперский обнаружил троянскую программу, удаление невозможно.
Прикрепляю логи:
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
Здравствуйте! Касперский обнаружил троянскую программу, удаление невозможно.
Прикрепляю логи:
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
ОтключитеВосстановление системы: включено
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('E:\WINDOWS\system32\grddrv32.cpl',''); QuarantineFile('e:\windows\system32\svchost.exe',''); QuarantineFile('E:\Poker\Titan Poker\casino.exe',''); QuarantineFile('E:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('E:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('E:\WINDOWS\System32\Drivers\Winbs03.sys'); DeleteFile('E:\WINDOWS\System32\Drivers\Wincs15.sys'); DeleteFile('E:\WINDOWS\System32\Drivers\Winee57.sys'); DeleteFile('E:\WINDOWS\System32\Drivers\Winia46.sys'); DeleteFile('E:\WINDOWS\System32\Drivers\Winmd82.sys'); DeleteFile('E:\WINDOWS\System32\Drivers\Winnn47.sys'); DeleteFile('E:\WINDOWS\System32\Drivers\Winnv03.sys'); DeleteFile('E:\WINDOWS\System32\Drivers\Wintt57.sys'); DeleteFile('E:\WINDOWS\System32\Drivers\Winwn60.sys'); DeleteFile('WinCtrl32.dll'); DeleteFile('E:\System Volume Information\_restore{FA36924B-E067-4B59-B46C-087772D96BBD}\RP336\A0039541.sys'); DeleteFile('E:\System Volume Information\_restore{FA36924B-E067-4B59-B46C-087772D96BBD}\RP337\A0040617.sys'); DeleteFile('E:\System Volume Information\_restore{FA36924B-E067-4B59-B46C-087772D96BBD}\RP337\A0040618.sys'); DeleteFile('E:\System Volume Information\_restore{FA36924B-E067-4B59-B46C-087772D96BBD}\RP339\A0043635.sys'); DeleteFile('E:\WINDOWS\system32\drivers\Winlc48.sys'); DeleteService('Winwn60'); DeleteService('Wintt57'); DeleteService('Winnv03'); DeleteService('Winnn47'); DeleteService('Winmd82'); DeleteService('Winia46'); DeleteService('Winee57'); DeleteService('Wincs15'); DeleteService('Winbs03'); DeleteService('wuauservUPS'); DeleteService('wuauservTrkWks'); DeleteService('WmiShellHWDetection'); DeleteService('TermServicedmserver'); DeleteService('SysmonLogNVSvcAVP'); DeleteService('ShellHWDetectionShellHWDetection'); DeleteService('ShellHWDetectionAppMgmt'); DeleteService('RDSessMgrVSS'); DeleteService('ProtectedStorageMSIServer'); DeleteService('PolicyAgentNtmsSvc'); DeleteService('NVSvcAVP'); DeleteService('NtLmSspwuauserv'); DeleteService('NlaNVSvc'); DeleteService('NetDDEdsdmSCardSvr'); DeleteService('MessengerCryptSvcW32Time'); DeleteService('LmHostsMSDTC'); DeleteService('lanmanworkstationTermService'); DeleteService('lanmanserverTrkWksPolicyAgent'); DeleteService('lanmanserverTrkWks'); DeleteService('EventSystemLmHosts'); DeleteService('CryptSvcW32Time'); DeleteService('CryptSvcNetDDEdsdmSCardSvr'); DeleteService('clr_optimization_v2.0.50727_32clr_optimization_v2.0.50727_32'); DeleteService('AlerterVSS'); BC_ImportALL; BC_DeleteSvc('wuauservUPS'); BC_DeleteSvc('wuauservTrkWks'); BC_DeleteSvc('WmiShellHWDetection'); BC_DeleteSvc('TermServicedmserver'); BC_DeleteSvc('SysmonLogNVSvcAVP'); BC_DeleteSvc('ShellHWDetectionShellHWDetection'); BC_DeleteSvc('ShellHWDetectionAppMgmt'); BC_DeleteSvc('RDSessMgrVSS'); BC_DeleteSvc('ProtectedStorageMSIServer'); BC_DeleteSvc('PolicyAgentNtmsSvc'); BC_DeleteSvc('NVSvcAVP'); BC_DeleteSvc('NtLmSspwuauserv'); BC_DeleteSvc('NlaNVSvc'); BC_DeleteSvc('NetDDEdsdmSCardSvr'); BC_DeleteSvc('MessengerCryptSvcW32Time'); BC_DeleteSvc('LmHostsMSDTC'); BC_DeleteSvc('lanmanworkstationTermService'); BC_DeleteSvc('lanmanserverTrkWksPolicyAgent'); BC_DeleteSvc('lanmanserverTrkWks'); BC_DeleteSvc('EventSystemLmHosts'); BC_DeleteSvc('CryptSvcW32Time'); BC_DeleteSvc('CryptSvcNetDDEdsdmSCardSvr'); BC_DeleteSvc('clr_optimization_v2.0.50727_32clr_optimization_v2.0.50727_32'); BC_DeleteSvc('AlerterVSS'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
Пофиксить в HijackThis следующие строчки
Код:O20 - Winlogon Notify: WinCtrl32 - E:\WINDOWS\SYSTEM32\WinCtrl32.dll
Microsoft Most Valuable Professional in Consumer Security
высылаю карантин. Посмотрите пожалуйста!!!
Спасибо за помощь!
не получилось сразу отправить как надо...
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- e:\\system volume information\\_restore{fa36924b-e067-4b59-b46c-087772d96bbd}\\rp336\\a0039541.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- e:\\system volume information\\_restore{fa36924b-e067-4b59-b46c-087772d96bbd}\\rp337\\a0040617.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- e:\\system volume information\\_restore{fa36924b-e067-4b59-b46c-087772d96bbd}\\rp337\\a0040618.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- e:\\system volume information\\_restore{fa36924b-e067-4b59-b46c-087772d96bbd}\\rp339\\a0043635.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- e:\\windows\\system32\\drivers\\winlc48.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- e:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bdk (DrWEB: BackDoor.Bulknet.225)
Уважаемый(ая) Trinn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.