и т.д. Прочие симптомы стандартны
Printable View
и т.д. Прочие симптомы стандартны
D:\Documents and Settings\Мария\Мои документы\школа\природоведение\biologiya_kletka.zip - Вредоносный объект [b]Trojan.Win32.StartPage.aty [/b] как поступим?
Скачайте [url="http://ifolder.ru/6493654"]Icesword[/url]
Запустите программу.
Внизу слева выберите меню File.
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('D:\WINDOWS\System32\drivers\Wintb41.sys','');
QuarantineFile('D:\WINDOWS\system32\WinCtrl32.dll','');
SetServiceStart('Winwe30', 4);
SetServiceStart('Winry28', 4);
SetServiceStart('Winqw74', 4);
SetServiceStart('Winnt52', 4);
SetServiceStart('Winjp73', 4);
SetServiceStart('Winbh52', 4);
DeleteService('Winwe30');
DeleteService('Winry28');
DeleteService('Winqw74');
DeleteService('Winnt52');
DeleteService('Winjp73');
DeleteService('Winbh52');
DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('D:\WINDOWS\System32\drivers\Wintb41.sys');
DeleteFile('srv.exe');
DeleteFile('D:\WINDOWS\System32\Drivers\Winbh52.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winjp73.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winnt52.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winqw74.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winry28.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winwe30.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('D:\WINDOWS\system32\blphc7urj0e94e.scr');
BC_ImportALL;
BC_DeleteFile('srv.exe');
BC_DeleteSvc('SysmonLogwuauserv');
BC_DeleteSvc('MSDTCNetman');
BC_DeleteSvc('hkmsvcWmdmPmSN');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить в HijackThis следующие строчки[/URL]
[CODE] O20 - Winlogon Notify: WinCtrl32 - D:\WINDOWS\SYSTEM32\WinCtrl32.dll
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\[/CODE]
Спасибо за участие.
Архив с вирусом удалил. Не очень понял об IceSword. Он что, должен быть просто запущен, когда работает AVZ? Или им нужно было удалить файл с вирусом?
Скрипт выполнил, HiJack-ом пофиксил, но после перезагрузки WinCtrl32 висит снова. Картинка на рабочем столе осталась, а в свойствах экрана остались те же 3 закладки.
[URL="http://virusinfo.info/showthread.php?t=17228"]начинам отсюда[/URL]
и выполняем все рекомендации заново ...
ой моя ошибка не все указал :( прошу простить
Скачайте [url="http://ifolder.ru/6493654"]Icesword[/url]
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита:
D:\WINDOWS\SYSTEM32\WinCtrl32.dll
D:\WINDOWS\System32\drivers\Wintb41.sys
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.
(вот как оно должно выглядеть)
потом выполняйте написанные ранее скрипты.
Сделал, WinCtrl32 больше не висит, но в свойствах экрана по прежнему 3 закладки. :-(
делайте новые логи ....
Новые логи ...
выполните скрипт ...
[code]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]
Всем большое спасибо. От заразы избавился.
Мини-дополнение:
AVZ - Файл - Восст системы - п.5 отметить - нажать "Выполнить"
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.amm[/B] (DrWEB: Trojan.DownLoader.63553)[/LIST][/LIST]