Добрый день. антивирус Nod 32 постоянно находит трояны в C:\WINDOWS\system32\drivers\ такого вида -WinXXYY.sys (XX -две буквы, YY- две цифры). Пример Winkr85.sys. Nod 32 переносит в карантин, но после перезагрузки троян восстанавливается.
Добрый день. антивирус Nod 32 постоянно находит трояны в C:\WINDOWS\system32\drivers\ такого вида -WinXXYY.sys (XX -две буквы, YY- две цифры). Пример Winkr85.sys. Nod 32 переносит в карантин, но после перезагрузки троян восстанавливается.
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\system32\drivers\Winyg17.sys C:\WINDOWS\system32\drivers\Winkq06.sys C:\WINDOWS\system32\Drivers\Winxe06.sys C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\WinCtrl32.bak C:\WINDOWS\system32\WinCtrl32.dl_
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg17.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winyf05.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc52.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winta63.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrx30.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winqw63.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv62.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkq28.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winio63.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfl74.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfl41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winek85.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winek41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winag05.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxe06.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\Winkq06.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\Winyg17.sys',''); DeleteService('Winxe06'); DeleteService('Winyg17'); DeleteService('Winyf05'); DeleteService('Winvc52'); DeleteService('Winta63'); DeleteService('Winrx30'); DeleteService('Winqw63'); DeleteService('Winpv62'); DeleteService('Winkr85'); DeleteService('Winkq28'); DeleteService('Winio63'); DeleteService('Winfl74'); DeleteService('Winfl41'); DeleteService('Winek85'); DeleteService('Winek41'); DeleteService('Winag05'); DeleteFile('C:\WINDOWS\system32\drivers\Winyg17.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Winkq06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxe06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winag05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfl41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfl74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkr85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqw63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrx30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winta63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvc52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyf05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyg17.sys'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winxe06'); BC_DeleteSvc('Winyg17'); BC_DeleteSvc('Winyf05'); BC_DeleteSvc('Winvc52'); BC_DeleteSvc('Winta63'); BC_DeleteSvc('Winrx30'); BC_DeleteSvc('Winqw63'); BC_DeleteSvc('Winpv62'); BC_DeleteSvc('Winkr85'); BC_DeleteSvc('Winkq28'); BC_DeleteSvc('Winio63'); BC_DeleteSvc('Winfl74'); BC_DeleteSvc('Winfl41'); BC_DeleteSvc('Winek85'); BC_DeleteSvc('Winek41'); BC_DeleteSvc('Winag05'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Уважаемый(ая) perez, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.