Не могу удалить Trojan-PSW.Win32.Kates.c
файл jslvb.vgm
Не могу удалить Trojan-PSW.Win32.Kates.c
файл jslvb.vgm
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{F7D502E3-3F1E-4143-BCDA-54F77A383E1F}'); DelBHO('{F4A245AD-640B-4FA7-9343-18D511A153AE}'); DelBHO('{5243E29F-8F34-4DE5-BCE9-1FBF04B445B0}'); DelBHO('{34DF45D1-6319-4A7F-84CA-7498BD0DAEFC}'); QuarantineFile('eeekp.dll',''); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\ddcDwxwW',''); QuarantineFile('C:\DOCUME~1\EN!M!~1.EN-\LOCALS~1\Temp\..\jslvb.vgm',''); DeleteService('Winye40'); DeleteService('Winye06'); DeleteService('Winxe73'); DeleteService('Winxe61'); DeleteService('Winwd62'); DeleteService('Winwc62'); DeleteService('Winta51'); DeleteService('Winta40'); DeleteService('Winta27'); DeleteService('Winsy27'); DeleteService('Winsy26'); DeleteService('Winsx63'); DeleteService('Winsx62'); DeleteService('Winsx40'); DeleteService('Winrx37'); DeleteService('Winqv62'); DeleteService('Winqv16'); DeleteService('Winpv72'); DeleteService('Winpv27'); DeleteService('Winpu84'); DeleteService('Winpu62'); DeleteService('Winpu40'); DeleteService('Winot38'); DeleteService('Winot15'); DeleteService('Winns52'); DeleteService('Winms38'); DeleteService('Winmr62'); DeleteService('Winmr05'); DeleteService('Winlr27'); DeleteService('Winlr05'); DeleteService('Winlq62'); DeleteService('Winlq15'); DeleteService('Winkq73'); DeleteService('Winkq04'); DeleteService('Winkp62'); DeleteService('Winkp27'); DeleteService('Winjo83'); DeleteService('Winhn83'); DeleteService('Winhn05'); DeleteService('Wingm48'); DeleteService('Wingm38'); DeleteService('Wingm16'); DeleteService('Wingl30'); DeleteService('Winfl74'); DeleteService('Winfl72'); DeleteService('Winfl27'); DeleteService('Winfk05'); DeleteService('Winek83'); DeleteService('Winej83'); DeleteService('Winej51'); DeleteService('Windi51'); DeleteService('Windi26'); DeleteService('Winbg84'); DeleteService('Winbg37'); DeleteService('Winai51'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf51.sys',''); DeleteService('Winaf51'); DeleteService('OMSCAN'); DeleteFile('C:\WINDOWS\System32\Drivers\Winaf51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winai51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbg37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbg84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windi26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windi51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winej83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winek83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfk05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfl27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfl72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfl74.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingl30.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingm16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingm38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingm48.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhn05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhn83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjo83.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkp27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkp62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkq04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkq73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlq15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlq62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlr05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlr27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmr05.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winmr62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winms38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winns52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winot15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpu38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpu40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpu62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpu84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpv27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpv72.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqv16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqv62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrx37.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsx40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsx62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsx63.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsy26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsy27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winta27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winta40.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winta51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvb51.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwc62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winwd62.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxe61.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxe73.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winye06.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winye40.sys'); DeleteFile('C:\DOCUME~1\EN!M!~1.EN-\LOCALS~1\Temp\..\jslvb.vgm'); DeleteFile('C:\WINDOWS\System32\ddcDwxwW'); DeleteFile('WinCtrl32.dll'); DeleteFile('eeekp.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ....
срочно устанавливайте сп3 + все последующие обновления ...
Спасибо, большое. Лечение помогло. Архив с вирусом я отправил раньше название
jslvb.zip
Добавлено через 10 минут
Помощь сайту оказал
Последний раз редактировалось Иркутск2009; 22.05.2009 в 23:50. Причина: Добавлено
...повторите логи ....
Логи после выполнения вашего скрипта и вторичного сканирования:
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\Drivers\Winot38.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winua85.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvb37.sys'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(1); BC_DeleteSvc('Winot38'); BC_DeleteSvc('Winua85'); BC_DeleteSvc('Winvb37'); BC_Activate; RebootWindows(true); end.
3. Пофиксите в HijackThis:
4. Повторите логи.O20 - Winlogon Notify: eeekp - C:\WINDOWS\
O20 - Winlogon Notify: qoMdCtRi - qoMdCtRi.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Сердце решает кого любить... Судьба решает с кем быть...
1. Скрипт выполнил.
2. Пофиксил.
3. Логи повторил
4. Результаты:
Вроде сделал. Эти строки отсутствуют:
O20 - Winlogon Notify: eeekp - C:\WINDOWS\
O20 - Winlogon Notify: qoMdCtRi - qoMdCtRi.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Ничего зловредного в логах нет.
Добавлено через 58 секунд
Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.
Последний раз редактировалось Aleksandra; 23.05.2009 в 18:36. Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Файл через форму не загружается
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \jslvb.vgm - Trojan-PSW.Win32.Kates.c ( DrWEB: Trojan.DownLoad.37246 )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Иркутск2009, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.