Заранее спасибо.
Printable View
Заранее спасибо.
Пофиксите с помощью hijackthis строки: [code]HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [advap32] "c:\npdylf.exe" /r
O4 - HKLM\..\Run: [lphctcdj0eev2] C:\WINDOWS\system32\lphctcdj0eev2.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll[/code]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\services.exe');
TerminateProcessByName('c:\windows\system32\lphctcdj0eev2.exe');
QuarantineFile('C:\Documents and Settings\Georg\Local Settings\Temp\31668.tmp','');
QuarantineFile('c:\npdylf.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxg85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwf52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkr85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winip17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winho28.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\lphctcdj0eev2.exe','');
QuarantineFile('C:\WINDOWS\system32\blphctcdj0eev2.scr','');
QuarantineFile('c:\program files\apbackup\srvany.exe','');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('c:\windows\system32\lphctcdj0eev2.exe','');
DeleteFile('C:\Documents and Settings\Georg\Local Settings\Temp\31668.tmp');
DeleteFile('c:\windows\system32\lphctcdj0eev2.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\blphctcdj0eev2.scr');
DeleteFile('C:\WINDOWS\system32\lphctcdj0eev2.exe');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winho28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winip17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkr85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwf52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxg85.sys');
DeleteFile('c:\npdylf.exe');
BC_DeleteSvc('Winho28');
BC_DeleteSvc('Winip17');
BC_DeleteSvc('Winkr85');
BC_DeleteSvc('Winwe52');
BC_DeleteSvc('Winwf52');
BC_DeleteSvc('Winxg85');
BC_Importall;
BC_Activate;
ExecuteSysClean;
executerepair(5);
executerepair(6);
executerepair(8);
RebootWindows(true);
end.[/code]Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=25174[/url] , как написано в прил.3 правил, и повторите логи, начиная с п. 10 правил.
Всё сделал. :>
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL] C:\WINDOWS\System32\Drivers\Winxe85.sys , C:\WINDOWS\System32\Drivers\Winpv74.sys - force delete
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winpv74');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winxe85.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Winxe85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv74.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
Извините за дурость ;) а зачем качать ?
Качать - потому что IceSword может увидеть и удалить те файлы, которые стандартными средствами вам сейчас обнаружить не удасться. Подробную инструкцию смотрите [url=http://virusinfo.info/showthread.php?t=17228]здесь[/url]
С:\WINDOWS\system32\Drivers\Winxe85.sys
С:\WINDOWS\System32\Drivers\Winpv74.sys
[COLOR=black]Файлы не нашёл но скрипт выполнил и собрал логи.[/COLOR]
И что дальше делать ? Есть у меня вирусы? :?
пофиксите ...
[code]
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/code]
больше ничего подозрительного ...
Большое спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\npdylf.exe - [B]Trojan-Downloader.Win32.Mutant.ahn[/B] (DrWEB: Trojan.Rntm.6)[*] c:\\windows\\services.exe - [B]Trojan.Win32.Agent.saz[/B] (DrWEB: Trojan.Packed.573)[*] c:\\windows\\system32\\lphctcdj0eev2.exe - [B]Trojan.Win32.Pakes.dfn[/B] (DrWEB: Trojan.Packed.512)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.ahp[/B] (DrWEB: Trojan.DownLoader.63553)[/LIST][/LIST]