-
Junior Member
- Вес репутации
- 53
Windows Security Alert
Добрый вечер!
Вот такая вот ересь. Вылетает спонтанно, но т.к. я приезжающий админ - никак не могу с ней совпасть.
Реестр чистил органайзером. Весь мусор и времянку поудалял. Др-вебом полную проверку делал.
Надеюсь на Вашу помощь!
П.С. Кстати компьютер как то медленно работает, может что заметите.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-Пофиксите:
Код:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
-Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('msupdate.sys','');
StopService('oseSchedule');
StopService('WmdmPmSNwuauserv');
StopService('msupdate');
StopService('EventlogBITS');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\BttnCm.dll','');
QuarantineFile('msupdate.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\msupdate.sys','');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\srv.exe');
DeleteFile('C:\WINDOWS\system32\srv.exe');
DeleteFile('msupdate.sys');
DeleteFile('C:\WINDOWS\system32\drivers\msupdate.sys');
DeleteService('oseSchedule');
DeleteService('WmdmPmSNwuauserv');
DeleteService('msupdate');
DeleteService('EventlogBITS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('oseSchedule');
BC_DeleteSvc('WmdmPmSNwuauserv');
BC_DeleteSvc('msupdate');
BC_DeleteSvc('EventlogBITS');
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
После перезагрузки:
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
Спасибо.
Устройство удалил.
Карантин выслал.
Собираю новые логи.
П.С. После сбора первых логов -был установлен пакет всех критических обновлений винды вышедших после SP3. Надеюсь, это не затруднит Вам анализ. На всякий случай прилепляю лог установки заплаток.
-
Junior Member
- Вес репутации
- 53
Новые логи после выполнения скрипта и фикса хайджека.
Жду дальнейших указаний.
-
Junior Member
- Вес репутации
- 53
Уважаемый Rene-gad, вы не забыли про меня??? А то домой уже хочется
Сижу на работе, жду Ваших комментов...или сегодня не ждать?
Добавлено через 37 минут
П.С. Проверил, Ad-Aware 8.1
Удалено 28 объектов и 6 в карантине заЛогить не успел - перезагрузка.
Поехал-ка я домой.....Спасибо за помощь!
Последний раз редактировалось kesha333; 27.10.2009 в 22:48.
Причина: Добавлено
-
Сообщение от
kesha333
Уважаемый Rene-gad, вы не забыли про меня???
Хэлперы тоже люди. Им тоже нужно отдыхать
Выполните скрипт в AVZ
Код:
begin
DelBHO('{3C2B0505-43AA-4576-A453-162080D9B531}');
DeleteFile('C:\WINDOWS\system32\BttnCm.dll');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
thyrex
Хэлперы тоже люди. Им тоже нужно отдыхать
Да это понятно, но можно было б хоть предупредить что на сегодня консультация закончена что б я не ждал на работе 2 часа тыкая в F5
thyrex,по Вашему мнению это окончательные действия с этим компом или после скрипта потребуются ещё дополнительные??? Просто я на работе в врядли появлюсь на этой неделе, но по телефону смогу юзверу объяснить как выполнить скрипт, а вот сделать новые логи, думаю, будет ему проблематично
-
Сообщение от
kesha333
можно было б хоть предупредить что на сегодня консультация закончена
Никого предупреждать мы не будем, т.к. у нас форум, а не хотлайн, и появление тут хелперов не запрограммировано. У кого есть время и желание - приходит и помогает.
после скрипта потребуются ещё дополнительные???
Увидим логи - будем решать.
смогу юзверу объяснить как выполнить скрипт, а вот сделать новые логи, думаю, будет ему проблематично
Почему? Пусть правила читает, они даже для непродвинутых доступны.
-
-
Junior Member
- Вес репутации
- 53
Всем привет!
Прошу прощения за задержку, только добрался до работы.
Всё сделал. Выкладываю новые логи.
Жду Ваших комментариев.
Заранее спасибо.
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteService('Winuc53');
DeleteService('Winov75');
DeleteService('Winjq18');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuc53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winov75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjq18.sys');
DeleteFile('C:\WINDOWS\system32\BttnCm.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 53
Привет!
Всё сделал.
Выкладываю новые логи.
-
В логах чисто.
Посетите Microsoft Update для установки последних обновлений безопасности
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\bttncm.dll - Trojan.Win32.Smardf.fuz ( BitDefender: Gen:Adware.Heur.hC4@yaHxcSn, AVAST4: Win32:Rootkit-gen [Rtk] )
-