Помогите избавиться от этого вируса, который каждый раз после перезагрузки появляется в папке drivers под разными именами - в частности - winao55.sys
Printable View
Помогите избавиться от этого вируса, который каждый раз после перезагрузки появляется в папке drivers под разными именами - в частности - winao55.sys
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строки: [code]O4 - HKLM\..\Run: [BMonq] C:\WINDOWS\system32\bmonq.exe
O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll[/code]
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('C:\WINDOWS\system32\bmonq.exe','');
QuarantineFile('C:\WINDOWS\system32\blphcvmaj0ea5l.scr','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xnq55.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmm55.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\services.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winao55.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winao55.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winao55.sys');
DeleteFile('C:\WINDOWS\system32\bmonq.exe');
BC_DeleteFile('C:\WINDOWS\system32\bmonq.exe');
DeleteFile('c:\windows\services.exe');
BC_DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmm55.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Winmm55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xnq55.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Xnq55.sys');
DeleteFile('C:\WINDOWS\system32\blphcvmaj0ea5l.scr');
BC_DeleteFile('C:\WINDOWS\system32\blphcvmaj0ea5l.scr');
BC_DeleteSvc('Xnq55');
BC_DeleteSvc('Winmm55');
BC_DeleteSvc('Winao55');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=25342[/url] , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.
Выполнил скрипты, перегрузился и все по новому - опять в папке с дровами Доктор Веб нашел файл Winhf11.sys зараженный Trojan.RNTM.10
Отключите восстановление системы, как написано в правилах.
Отключите антивирус.
Потом скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Запустите его, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл C:\WINDOWS\system32\Drivers\Winhf11.sys и если есть - сначала скопируйте его куда хотите при помощи Copy to..., чтобы прислать нам, а потом удалите с помощью force delete (нажмите по нему правой кнопкой мыши и выберите force delete, на запрос подтверждения ответьте "да").
Затем [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ncfpsys.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winhf11.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\temp\bn1.tmp','');
DeleteFile('c:\windows\temp\bn1.tmp');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winhf11.sys');
DelWinlogonNotifyByKeyName('WinCtrl32');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winhf11');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(5);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=25342[/url] ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Очистите временные папки и кеш браузера.
Сделайте новые логи.
как мне прислать зараженный файл?
Отключите восстановление системы, как написано в правилах! Там могут быть копии зловредов.
Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\Drivers\Winvd44.sys');
BC_ImportDeletedList;
DelWinlogonNotifyByKeyName('WinCtrl32');
ExecuteSysClean;
BC_DeleteSvc('Winvd44');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Это Вам знакомо?
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{570319CB-8E79-465A-939A-1F3FBE52660A}: NameServer = 10.0.0.1,195.222.70.10[/code]
Если незнакомо, то [url=http://virusinfo.info/showthread.php?t=4491]пофиксите в HijackThis[/url] эту строчку.
Карантин и зараженный файл в архиве с паролем virus загрузите сюда [url]http://virusinfo.info/upload_virus.php?tid=25342[/url]
Сделайте новые логи.