Здравствуйте!
Помогите, плиз, удалить вирус Mutant.aim. Касперский якобы удаляет, но после перезагрузки вирус возрождается и начинает рассылку спама вновь. Причем в безопасном режиме не удаляется файл c:\windows\system32\winctrl32.dll и соответствующая ветка в реестре.
Логи присоединены.
Спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключив интернет и антивирус, выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\328.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\468.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winug44.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\156.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\156.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Winug44.sys'); DeleteFile('C:\WINDOWS\system32\drivers\468.exe'); DeleteFile('C:\WINDOWS\system32\drivers\328.exe'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('Winwi33'); BC_DeleteSvc('Winro55'); BC_DeleteSvc('Winpv11'); BC_DeleteSvc('Winoq44'); BC_DeleteSvc('Wingk33'); BC_DeleteSvc('Winfj33'); BC_DeleteSvc('Winfa88'); BC_DeleteSvc('Wincy66'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 2 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=30888).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Выполнено
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине ...avz\quarantine\Код:C:\WINDOWS\system32\Drivers\Winug44.sys C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\WinCtrl32.bak C:\WINDOWS\system32\WinCtrl32.dl_
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\875.exe',''); QuarantineFile('WinCtrl32.dll',''); DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}'); QuarantineFile('C:\WINDOWS\system32\Drivers\Winug44.sys',''); DeleteFile('C:\WINDOWS\system32\Drivers\Winug44.sys'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\875.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('SharedAccessupnphost'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Здравствуйте,
проверьте, пожалуйста, еще раз логи после проведенных рекомендованных выше операций.
Спасибо.
Профиксить остаток:
Вот с этим надо разобраться:Код:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Плюс поставить СП3.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\156.exe - Trojan.Win32.Inject.iga (DrWEB: BackDoor.IRC.Nite.1
- c:\\windows\\system32\\drivers\\328.exe - Trojan.Win32.Inject.iga (DrWEB: BackDoor.IRC.Nite.1
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bnn (DrWEB: BackDoor.Bulknet.225)
Уважаемый(ая) xedos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
