Каждый раз после загрузки системы NOD32 выдает предупреждение:
файл
C:\WINDOWS\System32\drivers\Wingm73.sys
вирус
Win32/Wingon.CK троян
При подключении к интернету постоянно что-то качается судя по трафику.
Помогите, пожалуйта!
Каждый раз после загрузки системы NOD32 выдает предупреждение:
файл
C:\WINDOWS\System32\drivers\Wingm73.sys
вирус
Win32/Wingon.CK троян
При подключении к интернету постоянно что-то качается судя по трафику.
Помогите, пожалуйта!
Последний раз редактировалось galdikas; 22.02.2010 в 13:12.
Нарушения правил при сборе информации для раздела Помогите.
- Не закрыты все программы
Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
Спасибо за понимание.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\System32\Drivers\Winfk48.sys C:\WINDOWS\System32\Drivers\Winxd73.sys C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\WinCtrl32.bak C:\WINDOWS\system32\WinCtrl32.dl_
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxd73.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk48.sys',''); QuarantineFile('C:\WINDOWS\system32\~.exe/r',''); DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}'); QuarantineFile('C:\WINDOWS\system32\~.exe',''); QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll',''); DeleteService('dmserverRpcLocator'); DeleteService('EventSystem LM Service'); DeleteService('HTTPFilterALG'); DeleteService('Messengerdmadmin'); DeleteService('napagentWebClient'); DeleteService('Nlaodserv'); DeleteService('NVSvcLmHosts'); DeleteService('WmiDhcp'); DeleteService('seclogonSwPrv'); DeleteService('Winxd73'); DeleteService('Winfk48'); DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll'); DeleteFile('C:\WINDOWS\system32\~.exe'); DeleteFile('C:\WINDOWS\system32\~.exe/r'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfk48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxd73.sys'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_ImportAll; ExecuteSysClean; DeleteService('dmserverRpcLocator'); BC_DeleteSvc('EventSystem LM Service'); BC_DeleteSvc('HTTPFilterALG'); BC_DeleteSvc('Messengerdmadmin'); BC_DeleteSvc('napagentWebClient'); BC_DeleteSvc('Nlaodserv'); BC_DeleteSvc('NVSvcLmHosts'); BC_DeleteSvc('WmiDhcp'); BC_DeleteSvc('seclogonSwPrv'); BC_DeleteSvc('Winxd73'); BC_DeleteSvc('Winfk48'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Высылаю логи, карантин уже закачан.
Программы все закрывал, но оставались "процессы" из "Диспетчера задач". Если их тоже все нужно "завершить" перед сбором логов - сообщите, исправлюсь.
Сейчас сообщение о вирусе от NOD32 не возникает
Последний раз редактировалось galdikas; 22.02.2010 в 13:12.
В идеале в списке процессов должен быть только AVZ и Интернет Эксплорер
Можно добиться этого так:
1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему, далее по тексту.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('dmserverRpcLocator'); DeleteService('srserviceHidServ'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('dmserverRpcLocator'); BC_DeleteSvc('srserviceHidServ'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Прикрепите логи к новому сообщению.
Все сделал, высылаю логи.
Досылаю логи от HiJackThis
Последний раз редактировалось galdikas; 22.02.2010 в 13:12.
Ничего зловредного в логах нет.
Сердце решает кого любить... Судьба решает с кем быть...
Очень благодарен хелперам за помощь!!!!!
Дай Бог вам здоровья!!!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.j (DrWEB: Trojan.BitAcc)
- c:\\windows\\system32\\~.exe - Trojan-Downloader.Win32.Mutant.azn (DrWEB: BackDoor.Bulknet.206)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bdp (DrWEB: BackDoor.Bulknet.225)
Уважаемый(ая) galdikas, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.