Пробовал сам чистить, не получается... что-то не добил... помогите разобраться!
Логи вложил...
Пробовал сам чистить, не получается... что-то не добил... помогите разобраться!
Логи вложил...
В IceSword сделайте этому файлу Force Delete:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:C:\WINDOWS\System32\Drivers\Winaw31.sys
Пришлите карантин по правилам и повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winyv83'); DeleteService('Winyj73'); DeleteService('Winye55'); DeleteService('Winyb28'); DeleteService('Winxd82'); DeleteService('Winwh00'); DeleteService('Winvb55'); DeleteService('Winuu45'); DeleteService('Winty68'); DeleteService('Wintb60'); DeleteService('Winsi14'); DeleteService('Winrm86'); DeleteService('Winrj88'); DeleteService('Winrc55'); DeleteService('Winqb63'); DeleteService('Winpu73'); DeleteService('Winps77'); DeleteService('Winpi33'); DeleteService('Winov50'); DeleteService('Winoo77'); DeleteService('Winnq84'); DeleteService('Winlb71'); DeleteService('Winku73'); DeleteService('Winkp07'); DeleteService('Winkn70'); DeleteService('Winjj88'); DeleteService('Winje85'); DeleteService('Winid85'); DeleteService('Winid64'); DeleteService('Winhh00'); DeleteService('Wingt17'); DeleteService('Winfu25'); DeleteService('Winfn50'); DeleteService('Winfk46'); DeleteService('Winfi65'); DeleteService('Winfa63'); DeleteService('Winfa46'); DeleteService('Winev05'); DeleteService('Windf84'); DeleteService('Wincy22'); DeleteService('Wincw86'); DeleteService('Wincp08'); DeleteService('Winck30'); DeleteService('Wince14'); DeleteService('Winbd65'); DeleteService('Winbd64'); DeleteService('Winbb57'); DeleteService('Winac64'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winac64.sys',''); DeleteService('Winaw31'); QuarantineFile('C:\WINDOWS\system32\Drivers\Winaw31.sys',''); QuarantineFile('c:\documents and settings\user\user.exe',''); DeleteFile('C:\WINDOWS\system32\Drivers\Winaw31.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winac64.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbb57.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbd64.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbd65.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbt64.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wince14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winck30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wincp08.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wincw86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wincy22.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windf84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winev05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfa46.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfa63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfi65.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfk46.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfn50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfu25.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingt17.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhh00.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winid64.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winid85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winil36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winje85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjj88.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkn70.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkp07.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winku73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlb71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winoo77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winov50.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpi33.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winps77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpu73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqb63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrc55.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrj88.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrm86.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsi14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintb60.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winty68.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winuu45.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvb55.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwh00.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxd82.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyb28.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winye55.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyj73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winyv83.sys'); DeleteFile('WinCtrl32.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Карантин отправил: Файл сохранён как 081204_032907_virus_4937a2e36f394.zip
логи прикладываю... вычистилось не все и логи делал в безопасном режиме потому что в обычном тупит ужасно...
Логи нужны из обычного режима...
в обычном режиме не могу зайти на диси, в моем компьютере ничего не видит... в диспетчере появились какие-то странные прилодения "User.exe" и "netsh.exe"....
логи из обычного режима:
В IceSword сделайте этим файлам Force Delete:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:C:\WINDOWS\system32\drivers\Winyv84.sys C:\WINDOWS\system32\WinCtrl32.dll
Повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winaw31'); DeleteService('Winnq84'); DeleteFile('C:\WINDOWS\system32\Drivers\Winnq84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winaw31.sys'); DeleteFile('C:\Documents and Settings\User\User.exe'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\drivers\Winyv84.sys'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winaw31'); BC_DeleteSvc('Winnq84'); BC_Activate; RebootWindows(true); end.
Приложил логи
Но тупит сильно... особенно в моем компьютере при открытии долго обновляет список дисков...
Пофиксить
Код:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Это вам известно?
Код:C:\Documents and Settings\User\Рабочий стол\InternetConnect2.exe
C:\Documents and Settings\User\Рабочий стол\InternetConnect2.exe
нет, это не известно... но и на рабочем столе не нашел такого файла...
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Если попадет в карантин пришлите...Код:begin ClearQuarantine; QuarantineFile('C:\Documents and Settings\User\Рабочий стол\InternetConnect2.exe',''); end.
ок, пришлю.
еще, что может означать данная запись при сканировании AVZ:
1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=2136, имя = "\Device\HarddiskVolume1\WINDOWS\system32\wbem\wmi adap.exe"
>> обнаружена подмена имени, новое имя = "\\?\c:\windows\system32\wbem\wmiadap.exe"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
Добавлено через 3 минуты
нет, в карантин ничего не попало...
Последний раз редактировалось fGremlin; 04.12.2008 в 14:24. Причина: Добавлено
Это нормальный файл...
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите пункт 2 диагностики...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\User\Рабочий стол\InternetConnect2.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
что есть пункт 2? стандартные скрипты?
В правилах посмотрите...
Сори, затупил... прикладываю
В логе чисто, SP3 установите и все остальные апдейты...
Ок, буду наблюдать! Огромное спасибо!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 60
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\winbb57.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winbd64.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winbd65.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winbt64.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\wince14.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winck30.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\wincp08.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\wincw86.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\wincy22.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\windf84.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winev05.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winfa46.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winfa63.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winfi65.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winfk46.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winfu25.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\wingt17.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winhh00.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winid64.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winid85.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winil36.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winje85.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winjj88.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winkn70.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winkp07.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winku73.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winlb71.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winnq84.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winoo77.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winov50.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winps77.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winpu73.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winqb63.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winrc55.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winrj88.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winrm86.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winsi14.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\wintb60.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winuu45.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winvb55.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winwh00.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winxd82.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winyb28.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winye55.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winyj73.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winyv83.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winyv84.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
Уважаемый(ая) fGremlin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.