Завелся зверь, после каждой перезагрузки nod его изолирует, но победить не может.
Завелся зверь, после каждой перезагрузки nod его изолирует, но победить не может.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
пофиксить с помощью HijackThis:
ОтключитеКод:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
- ПК от интернета/локалки
- Антивирус nod
Сделайте повторные логи по правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{43D29D14-460E-4F3A-9037-E60F11EF12F0}'); DelBHO('{2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F}'); QuarantineFile('C:\WINNT\System32\drivers\Winxk64.sys',''); QuarantineFile('C:\WINNT\System32\drivers\Winwe42.sys',''); QuarantineFile('C:\WINNT\System32\drivers\Winoy46.sys',''); QuarantineFile('C:\WINNT\System32\drivers\Winmp81.sys',''); QuarantineFile('C:\WINNT\System32\drivers\Winlo28.sys',''); QuarantineFile('C:\WINNT\System32\drivers\Winbg68.sys',''); DeleteService('Ttc53'); QuarantineFile('C:\WINNT\System32\Drivers\Ttc53.sys',''); DeleteService('tcpsr'); QuarantineFile('C:\WINNT\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINNT\System32\Drivers\Rha10.sys',''); QuarantineFile('C:\WINNT\system32\Drivers\Pcouffin.sys',''); QuarantineFile('C:\WINNT\System32\Drivers\Mbg00.sys',''); QuarantineFile('C:\WINNT\system32\DRIVERS\tcpip.sys',''); QuarantineFile('C:\WINNT\system32\drivers\hardlock.sys',''); TerminateProcessByName('c:\winnt\system32\cpl32ver.exe'); QuarantineFile('c:\winnt\system32\cpl32ver.exe',''); DeleteFile('c:\winnt\system32\cpl32ver.exe'); DeleteFile('C:\WINNT\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINNT\System32\Drivers\Ttc53.sys'); DeleteFile('C:\WINNT\System32\drivers\Winbg68.sys'); DeleteFile('C:\WINNT\System32\drivers\Winlo28.sys'); DeleteFile('C:\WINNT\System32\drivers\Winmp81.sys'); DeleteFile('C:\WINNT\System32\drivers\Winoy46.sys'); DeleteFile('C:\WINNT\System32\drivers\Winwe42.sys'); DeleteFile('C:\WINNT\System32\drivers\Winxk64.sys'); DeleteService('Winbg68'); DeleteService('Winlo28'); DeleteService('Winmp81'); DeleteService('Winoy46'); DeleteService('Winwe42'); DeleteService('Winxk64'); BC_ImportAll; ExecuteSysClean; BC_Activate; executerepair(6); executerepair(8); executerepair(9); RebootWindows(true); end.
Закачайте карантин по ссылке http://virusinfo.info/upload_virus.php?tid=30295
Последний раз редактировалось drongo; 16.09.2008 в 19:04.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
В соответствии с инструкциями
Выполнить:
Сделать новые логи с п.10 ПравилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Yyr78'); BC_DeleteSvc('Wyj72'); BC_DeleteSvc('Rha10'); BC_DeleteSvc('Qgl33'); BC_DeleteSvc('Mbg00'); BC_DeleteSvc('Eec52'); BC_DeleteSvc('TermServicestisvc'); BC_DeleteSvc('NetDDEdsdmsrservice'); BC_DeleteSvc('napagentPolicyAgent'); BC_DeleteSvc('DnscacheImapiService'); BC_DeleteSvc('Dhcp Smart'); DeleteFile('C:\WINNT\System32\Drivers\Qgl33.sys'); DeleteFile('C:\WINNT\System32\Drivers\Rha10.sys'); DeleteFile('C:\WINNT\System32\Drivers\Wyj72.sys'); DeleteFile('C:\WINNT\System32\Drivers\Yyr78.sys'); DeleteFile('C:\WINNT\System32\Drivers\Mbg00.sys'); DeleteFile('C:\WINNT\System32\Drivers\Eec52.sys'); ExecuteSysClean; BC_ImportDeletedList; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Обновленные логи после скрипта
В логах на мой взгляд чисто. Еще какие-то проблемы остались?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сам то я не сильно продвинутый, а тут как на зло сис админ наш съехал на недельку, вот я и маялся самостоятельно.
В любом случае большое человеческое.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 42
- В ходе лечения обнаружены вредоносные программы:
- c:\\winnt\\system32\\cpl32ver.exe - Trojan.Win32.Crypt.ua (DrWEB: BackDoor.Bulknet.237)
Уважаемый(ая) Alex Zor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
