На компе завелся вирус с одноименным названием. Очень надеюсь на Вашу помощь.
На компе завелся вирус с одноименным названием. Очень надеюсь на Вашу помощь.
Скачайте IceSword. Запустите, слева внизу нажмите File, затем найдите:
и сделайте им Force Delete.C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Winip44.sys
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winug02'); DeleteService('Winrr88'); DeleteService('Winpn22'); DeleteService('Winnh44'); DeleteService('Winbg55'); DeleteService('Winbf11'); DeleteService('Winip44'); DeleteService('WZCSVCwinmgmt'); DeleteService('WudfSvclanmanworkstation'); DeleteService('VSSLmHostsupnphostBrowserMSIServer'); DeleteService('VSSLmHosts'); DeleteService('upnphostBrowserMSIServer'); DeleteService('ThemesNVSvc'); DeleteService('TapiSrvwscsvcAppMgmt'); DeleteService('TapiSrvwscsvc'); DeleteService('seclogonwuauserv'); DeleteService('SamSsLmHostsSamSsLmHosts'); DeleteService('SamSsLmHosts'); DeleteService('RDSessMgrwscsvcSchedule'); DeleteService('RDSessMgrwscsvc'); DeleteService('PlugPlayCiSvc'); DeleteService('MicrosoftPlugPlayCiSvcBrowserRasMan'); DeleteService('MicrosoftPlugPlayCiSvc'); DeleteService('MicrosoftHidServ'); DeleteService('DnscacheAlerter'); DeleteService('dmserverAppMgmt'); DeleteService('BrowserRasMan'); DeleteService('BrowserMSIServer'); DeleteService('AlerterProtectedStorage'); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\blphcnb0j0ej6r.scr',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winug02.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrr88.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpn22.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winnh44.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg55.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbf11.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winip44.sys',''); QuarantineFile('srv.exe',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winip44.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbf11.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbg55.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winnh44.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpn22.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrr88.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winug02.sys'); DeleteFile('C:\WINDOWS\system32\blphcnb0j0ej6r.scr'); DelWinlogonNotifyByKeyName('WinCtrl32'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winug02'); BC_DeleteSvc('Winrr88'); BC_DeleteSvc('Winpn22'); BC_DeleteSvc('Winnh44'); BC_DeleteSvc('Winbg55'); BC_DeleteSvc('Winbf11'); BC_DeleteSvc('Winip44'); BC_DeleteSvc('WZCSVCwinmgmt'); BC_DeleteSvc('WudfSvclanmanworkstation'); BC_DeleteSvc('VSSLmHostsupnphostBrowserMSIServer'); BC_DeleteSvc('VSSLmHosts'); BC_DeleteSvc('upnphostBrowserMSIServer'); BC_DeleteSvc('ThemesNVSvc'); BC_DeleteSvc('TapiSrvwscsvcAppMgmt'); BC_DeleteSvc('TapiSrvwscsvc'); BC_DeleteSvc('seclogonwuauserv'); BC_DeleteSvc('SamSsLmHostsSamSsLmHosts'); BC_DeleteSvc('SamSsLmHosts'); BC_DeleteSvc('RDSessMgrwscsvcSchedule'); BC_DeleteSvc('RDSessMgrwscsvc'); BC_DeleteSvc('PlugPlayCiSvc'); BC_DeleteSvc('MicrosoftPlugPlayCiSvcBrowserRasMan'); BC_DeleteSvc('MicrosoftPlugPlayCiSvc'); BC_DeleteSvc('MicrosoftHidServ'); BC_DeleteSvc('DnscacheAlerter'); BC_DeleteSvc('dmserverAppMgmt'); BC_DeleteSvc('BrowserRasMan'); BC_DeleteSvc('BrowserMSIServer'); BC_DeleteSvc('AlerterProtectedStorage'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29253
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Выполнил выше описанные действия, файл с карантином отправил.
Я логов не вижу.
Сердце решает кого любить... Судьба решает с кем быть...
Извиняюсь, последнюю строчку не заметил. Прикладываю новые логи.
Ничего зловредного в логах нет.
Пофиксите в HijackThis:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\Устраняется в AVZ: "Файл" -> "Мастер поиска и устранения проблем" -> нажать "Пуск".9. Мастер поиска и устранения проблем
>> Заблокирована закладка Рабочий стол в окне свойств экрана
>> Заблокирована закладка Заставка в окне свойств экрана
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
В найденных проблемах отметить их и нажать "Исправить отмеченные проблемы".
Сердце решает кого любить... Судьба решает с кем быть...
Все сделал в точности как Вы сказали. Прикладываю логи. (Вирусная обоина почему то осталась на месте, ее надо ручками удалить, или еще процесс завершен не до конца?)
Отключите
- Системное восстановление.
- Выполните скрипт
После перезагрузки проинформируйте о состоянии ПК.Код:begin executerepair(5); executerepair(6); executerepair(8); RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper',''); RebootWindows(true); end.
Работает все отлично. Но на всякий случай прикладываю логи. Огромное Вам спасибо Александра , спасибо Ренегад.
Удалите Ad-Aware за бесполезностью.
Поставьте Сервис Пак 3, возможно потребуется активация системы.
Ad-Aware удалил, а вот sp3 почему то не хочет ставиться, выскакивает такая ошибка: "Диспетчеру установки не удалось проверить целостность файла Update.inf. Убедитесь, что службы криптографии запущены на данном компьютере".
Проверил, служба криптографии работает, а вот ошибка все равно выскакивает. Может еще что то надо сделать?
Качал сп3 с микрософт.ру (WindowsXP-KB936929-SP3-x86-RUS.exe), так что файл, вроде как, не должен быть битым.
Сделал как Вы сказали и вот что получилось:
1. C:\Documents and Settings\Nick>net stop cryptsvc
Служба "Службы криптографии" останавливается.
Служба "Службы криптографии" успешно остановлена.
C:\Documents and Settings\Nick>ren %systemroot%\system32\catroot2 oldcatroot2
C:\Documents and Settings\Nick>
Перезагрузился, сп3 вылетело с той же ошибкой
2. Попробовал еще раз:
C:\Documents and Settings\Nick>net stop cryptsvc
Служба "Службы криптографии" останавливается.
Служба "Службы криптографии" успешно остановлена.
C:\Documents and Settings\Nick>ren %systemroot%\system32\catroot2 oldcatroot2
Отказано в доступе.
Дальше пробовать не стал. А вообще, до этого, у меня служба криптографии стояла на автозапуске.
Войдите в безопасном как Администратор. Удалите после net stop cryptsvc папку C:\WINDOWS\system32\CatRoot2 в проводнике со всем ее содержимым. Перегрузитесь.
Результат такой:
C:\Documents and Settings\Nick>net stop cryptsvc
Служба "Службы криптографии" останавливается.
Служба "Службы криптографии" успешно остановлена.
C:\Documents and Settings\Nick>ren %systemroot%\system32\catroot2 oldcatroot2
Не удается найти указанный файл.
Установка сп3 прерывается с той же ошибкой. Может просто потому, что винда левая и не проходит тест на вшивость?
Извиняюсь, просто не посчитал нужным т.к. в России, по-моему, 1% использует лицензию.
Тогда, похоже, вопрос с установкой сп3 можно считать закрытым
Спасибо за помощь, и потраченное на меня время.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Nort, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.