Помогите плиз, попал в руки ноут переполненый всякими троянами, но что характерно никто их лечить не хочет, там стоит Symantec, пробовал Drweb и утилиту от касперского.
Помогите плиз, попал в руки ноут переполненый всякими троянами, но что характерно никто их лечить не хочет, там стоит Symantec, пробовал Drweb и утилиту от касперского.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\Winry31.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winiq42.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Winiq42.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winry31.sys'); DeleteFile('C:\WINDOWS\system32\lphct7fj0elc3.exe'); BC_ImportDeletedList; BC_DeleteSvc('xmlprovhelpsvc'); BC_DeleteSvc('wuauservSCardSvrTlntSvridsvc'); BC_DeleteSvc('wuauservSCardSvrTlntSvr'); BC_DeleteSvc('wuauservNtLmSsp'); BC_DeleteSvc('winmgmtSPBBCSvc'); BC_DeleteSvc('WebClientAudioSrv'); BC_DeleteSvc('ThemesEventSystem'); BC_DeleteSvc('TermServiceRemoteAccess'); BC_DeleteSvc('SysmonLogCryptSvcIDriverT'); BC_DeleteSvc('SysmonLogCryptSvc'); BC_DeleteSvc('SysmonLogClipSrvhelpsvc'); BC_DeleteSvc('SysmonLogClipSrv'); BC_DeleteSvc('SNDSrvcNetDDEdsdm'); BC_DeleteSvc('ShellHWDetectionThemesEventSystem'); BC_DeleteSvc('SENSCOMSysAppxmlprov'); BC_DeleteSvc('SENSCOMSysAppWebClientAudioSrvAlerter'); BC_DeleteSvc('SENSCOMSysAppWebClientAudioSrv'); BC_DeleteSvc('SENSCOMSysApp'); BC_DeleteSvc('SCardSvrTlntSvr'); BC_DeleteSvc('SCardSvrLmHosts'); BC_DeleteSvc('SCardSvrHTTPFilter'); BC_DeleteSvc('SavRoamwinmgmt'); BC_DeleteSvc('SavRoamNetlogon'); BC_DeleteSvc('RpcLocatorSwPrv'); BC_DeleteSvc('RDSessMgrmnmsrvcWebClientAudioSrv'); BC_DeleteSvc('RDSessMgrmnmsrvc'); BC_DeleteSvc('RasMandmserver'); BC_DeleteSvc('RasManCOMSysApp'); BC_DeleteSvc('RasAutostisvc'); BC_DeleteSvc('NtmsSvcFastUserSwitchingCompatibility'); BC_DeleteSvc('NtmsSvcDhcpEventlog'); BC_DeleteSvc('MSIServerSENSCOMSysApp'); BC_DeleteSvc('MSIServerMDM'); BC_DeleteSvc('dmserverdmadmin'); BC_DeleteSvc('DhcpThemesEventSystem'); BC_DeleteSvc('DhcpEventlogRasMan'); BC_DeleteSvc('DhcpEventlog'); BC_DeleteSvc('DefWatchstisvcRDSessMgr'); BC_DeleteSvc('DefWatchstisvc'); BC_DeleteSvc('DefWatchSamSs'); BC_DeleteSvc('CiSvcEventSystem'); BC_DeleteSvc('aspnet_statePlugPlayALG'); BC_DeleteSvc('aspnet_statePlugPlay'); BC_DeleteSvc('ALGNtLmSsp'); BC_DeleteSvc('AlerterDefWatchstisvcRDSessMgrwuauservSCardSvrTlntSvridsvc'); BC_DeleteSvc('AlerterDefWatchstisvcRDSessMgr'); BC_DeleteSvc('Winry31'); BC_DeleteSvc('Winiq42'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=31270
Повторите логи
Вот новые логи, карантин я выслал, только архив не паролил, если надо вышлю по новой, спасибо.
Отключите восстановление системы.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('SNDSrvcAlerter'); BC_DeleteSvc('dmadminDhcpEventlogRasMan'); BC_DeleteSvc('AdobeHTTPFilter'); BC_Activate; RebootWindows(true); end.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Повторите логи.Код:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Вот, смотрите.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('AdobeHTTPFilter'); BC_DeleteSvc('dmadminDhcpEventlogRasMan'); BC_DeleteSvc('SNDSrvcAlerter'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи логи по п. 2 и 3 Диагностики.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Все сделал как сказали.
Ничего подозрительного.
Жалобы есть?
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.boi (DrWEB: BackDoor.Bulknet.225)
Уважаемый(ая) Yakudza, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.