Здравствуйте.
НОД32 показал при проверке кучу дряни.
Помогите разобраться, пожалуйста.
Printable View
Здравствуйте.
НОД32 показал при проверке кучу дряни.
Помогите разобраться, пожалуйста.
Отключив интернет и антивирус -
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\Sasha\LOCALS~1\Temp\winlogon.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Sasha\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\DOCUME~1\Sasha\LOCALS~1\Temp\winlogon.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winqx64');
BC_DeleteSvc('Winov31');
BC_DeleteSvc('Winnu53');
BC_DeleteSvc('Winkr64');
BC_DeleteSvc('Winiq18');
BC_DeleteSvc('Winip41');
BC_DeleteSvc('Winhp75');
BC_DeleteSvc('Wingo06');
BC_DeleteSvc('Winfm20');
BC_DeleteSvc('Winel20');
BC_DeleteSvc('Windk31');
BC_DeleteSvc('Wel31');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Owe64');
BC_DeleteSvc('Iqx75');
BC_DeleteSvc('Fnu20');
BC_DeleteSvc('Fmt31');
BC_DeleteSvc('Dls31');
BC_DeleteSvc('winmgmtNOD32krn');
BC_DeleteSvc('NtLmSspRpcLocator');
BC_DeleteSvc('NOD32krnseclogon');
BC_DeleteSvc('lanmanworkstationRemoteRegistry');
BC_DeleteSvc('DhcpThemes');
BC_DeleteSvc('CryptSvcDhcp');
BC_DeleteSvc('AppMgmtPlugPlay');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=26043[/url]).
Сделайте новые логи, начиная с п.10 правил.
Все сделал.
Визуально вроде все нормально.
Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('Winsb63');
BC_DeleteSvc('Winqx42');
BC_DeleteSvc('Winah07');
BC_DeleteSvc('winmgmtNOD32krnSCardSvr');
BC_DeleteSvc('VSSRemoteAccess');
BC_DeleteSvc('AudioSrvdmserver');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\services.exe - [B]Trojan.Win32.Agent.sef[/B] (DrWEB: Trojan.Packed.573)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.aks[/B] (DrWEB: Trojan.Rntm.7)[/LIST][/LIST]